##0. [문제]DDOS 방어에 관하여 설명하시오 (25점)
##1. 서론###- 정의: 분산 서비스 거부 공격 방어DDOS (Distributed Denial of Service) 방어는 다수의 분산된 공격 근원지(좀비 PC, Botnet)가 특정 대상 시스템(서버, 네트워크)에 대량의 트래픽이나 비정상적인 요청을 집중시켜 서비스의 정상적인 가용성(Availability)을 마비시키는 행위를 탐지하고, 공격 트래픽을 정교하게 필터링하여 정상적인 트래픽만을 서비스 대상에 전달하는 일련의 보안 기술 및 전략을 의미합니다.
###- 배경: 공격의 지능화 및 대규모화과거의 DoS 공격이 단일 근원지에서 발생했다면, 현재의 DDOS는 수많은 좀비 PC (Botnet)를 이용하고, 단순한 트래픽 과부하를 넘어 정상적인 패킷 형태를 위장하거나, 애플리케이션 계층(L7)의 취약점을 악용하는 형태로 진화했습니다. 이러한 조직화되고 금전적 목적을 가진 공격 양상에 대응하기 위해, 기존의 네트워크 경계 방어(방화벽)만으로는 한계가 발생하며, 더욱 심층적이고 다각적인 방어 체계가 요구되고 있습니다.
###- 목적: 서비스 가용성 및 연속성 확보DDOS 방어의 궁극적인 목적은 공격의 종류나 규모에 관계없이 대상 서비스의 가용성을 훼손으로부터 보호하고, 비즈니스 활동의 연속성(Business Continuity)을 보장하는 것입니다.
##2. 본론###2.1. DDOS 공격의 기술적 한계와 방어의 복잡성DDOS 공격을 방어하기 어려운 근본적인 기술적 이유는 다음과 같습니다.
- 분산된 근원지: 공격의 근원지 IP가 수많은 좀비 PC에 분산되어 있어, 특정 IP 차단만으로는 효과를 보기 어렵습니다.
- 정상 트래픽 위장: 단순한 트래픽 과부하 공격(Volumetric Attack)뿐 아니라, 정상적인 것처럼 보이는 패킷을 사용하여 서비스의 자원(Resource)을 고갈시키는 공격(예: Slowloris, RUDY)이 증가하고 있어, 트래픽을 구분하는 데 한계가 있습니다.
가장 근본적인 방어를 위해서는 네트워크 레벨의 보안뿐만 아니라, C&C (Command & Control) 서버로부터 명령을 전달받아 공격을 감행하는 좀비 PC 자체를 차단하는 것이 필요합니다.
###2.2. DDOS 방어의 다차원적 전략 및 기술DDOS 방어는 공격 트래픽의 종류와 발생 지점을 고려하여 Client 측면과 Network 측면에서 다차원적으로 접근해야 합니다.
####가. Network 측면 방어 전략 (경계 및 인프라 방어)이 전략은 주로 대량의 트래픽을 흡수 및 필터링하는 데 중점을 둡니다.
- 임계치 기반 탐지 및 차단:
- 네트워크의 트래픽 흐름을 실시간으로 모니터링하여 평소와 다른 비정상적인 트래픽 증가(Volume)를 감지합니다.
- 미리 설정된 임계치(Threshold)를 초과하는 트래픽에 대해 자동으로 필터링 및 차단 정책을 적용합니다.
- 클린 파이프(Clean Pipe) 서비스:
- ISP(Internet Service Provider)나 전문 DDOS 방어 서비스 제공업체(Scrubbing Center)를 통해 대용량의 공격 트래픽을 흡수하고, 공격 트래픽을 정화(Scrubbing)하여 정상 트래픽만 서비스 대상에 전달하는 방식입니다.
- 프로토콜/패킷 필터링:
- L3/L4 계층에서 SYN Flood, UDP Flood 등 프로토콜 취약점을 이용한 공격 패턴을 식별하고, 비정상적인 패킷 구조를 가진 트래픽을 즉시 차단합니다.
####나. Client 측면 방어 전략 (근원지 격리 및 치료)이 전략은 공격의 근본 원인인 좀비 PC의 활동을 제어하는 데 중점을 둡니다.
- 좀비 PC 네트워크 격리 및 치료:
- 악성 C&C 서버의 명령을 받고 공격을 수행하는 좀비 PC를 네트워크에서 격리하고, 악성코드를 치료하여 공격 근원지로서의 기능을 상실하게 합니다.
- C&C 서버 통신 차단:
- 내부 PC가 외부의 C&C 서버와 통신하는 행위를 탐지하고 차단함으로써, 좀비 PC가 명령을 전달받지 못하게 합니다.
- Threat Intelligence (위협 인텔리전스)를 활용하여 알려진 C&C 서버 IP나 도메인과의 통신을 사전에 차단합니다.
| ###2.3. DDOS 방어 솔루션 및 전문가적 고려 사항####가. 주요 방어 솔루션 | 솔루션 구분 | 적용 계층 | 주요 방어 기능 |
|---|---|---|---|
| Anti-DDoS 장비 | L3/L4/L7 | 대용량 트래픽 흡수, 임계치 기반 차단, 프로토콜 분석 | 네트워크 경계에 위치하며 고성능 필수. |
| WAF (웹방화벽) | L7 (HTTP/HTTPS) | HTTP GET/POST Flood, Slow Attack 등 웹 애플리케이션 취약점 DDOS 방어 | Application Layer 공격에 특화됨. |
| IPS/NGFW | L3 ~ L7 | 알려진 공격 패턴 기반 차단, 세션 관리 취약점 방어 | 평상시 보안 정책 적용 및 비정상 세션 탐지. |
| CDN/클라우드 방어 | Edge | 지리적 분산 및 캐싱을 통한 공격 트래픽 분산 및 흡수 | 서비스 가용성을 높이는 간접적 방어 효과. |
####나. 전문가적 고려 사항1. 정교한 탐지(False Positive 최소화): DDOS 방어는 공격 트래픽을 차단하는 과정에서 정상적인 사용자의 트래픽을 오탐(False Positive)하여 차단할 수 있습니다. 이는 곧 정상적인 서비스까지 거부하는 결과를 초래하므로, 트래픽 패턴 분석의 정교함을 최대화하여 오탐률을 낮추는 것이 핵심 과제입니다.
2. 자원 최적화: 방어 솔루션의 성능은 공격 트래픽 규모에 비례해야 하므로, 충분한 트래픽 처리 용량(Throughput)과 세션 처리 능력을 확보해야 합니다.
3. 방어 체계 자동화: 대규모 DDOS 공격은 수 분 내에 서비스 마비를 야기하므로, 공격 탐지 후 자동으로 우회 및 필터링 정책을 적용할 수 있는 SOAR(Security Orchestration, Automation and Response) 기반의 자동화된 대응 체계 구축이 필수적입니다.
##3. 결론###- 요약: DDOS 방어를 위한 통합적 접근 제언 (기술적 제언)DDOS 방어는 단순한 장비 도입을 넘어, 네트워크 인프라의 강건성 확보와 공격 근원지 차단을 결합한 통합적인 접근이 필수적입니다. 기술 책임자는 클린 파이프 서비스 등 대용량 트래픽 처리 능력이 있는 외부 환경과 연동하고, 내부적으로는 C&C 서버 통신 차단 및 좀비 PC 격리를 위한 보안 시스템을 강화해야 합니다. 궁극적으로는 공격 트래픽의 '양'을 줄이고 '정상' 트래픽을 선별하는 정교한 정책 관리를 통해 서비스의 안정성을 보장해야 합니다.
###- 어린이버전 요약DDOS 방어는 나쁜 친구들(좀비 PC)이 수백 명이 동시에 우리 집 문을 두드려 시끄럽게 하고 문을 못 열게 하는 것을 막는 일이에요. 이럴 땐 큰 경비 아저씨(Anti-DDoS 장비)를 불러 나쁜 친구들을 막아내고, 몰래 숨어 있는 대장(C&C 서버)이 명령을 못 내리게 통신을 끊어버리는 것입니다.
