디도스 공격이란 무엇입니까?
만약 20명의 고객이 매장을 방문한다면 좋은 일이겠지만, 1,000명의 고객이 가게에 들어와 입구를 막는다면 문제가 생깁니다. 사이버 공간에서 DDoS 공격이 벌이는 일이 이와 유사합니다. 그렇다면 디도스 공격이란 정확히 무엇일까요? 아래 글에서 알아보세요.
목차
디도스 공격이란 무엇이며 그 원리는 무엇입니까?
컴퓨팅에서 서비스 거부 공격(Distributed denial-of-service attack)은 가해자가 인터넷에 연결된 호스트의 서비스를 일시적 또는 무기한 중단하여 의도된 사용자가 기계 또는 네트워크 리소스를 사용할 수 없도록 하는 사이버 공격을 DDoS 공격이라 합니다. 서비스 거부는 일반적으로 시스템에 과부하를 주어 합법적인 요청의 일부 또는 전체가 이행되는 것을 방지하기 위해 대상 시스템 또는 리소스에 불필요한 요청을 과도하게 사용하여 수행됩니다.
DDoS 공격은 매장의 입구에 붐비는 집단과 유사하며 합법적인 고객이 입장하지 못하도록 하는 방식으로 거래를 방해합니다. DoS 공격의 범죄자는 은행이나 신용 카드 결제 게이트웨이와 같은 유명 웹 서버에서 호스팅되는 사이트나 서비스를 표적으로 삼는 경우가 많습니다. 복수, 협박 및 행동주의는 이러한 공격에 동기를 부여할 수 있습니다.
즉, 쉽게 말하자면, DDoS 공격은 대상 서버, 서비스 또는 네트워크가 이를 사용하려는 모든 사람의 액세스를 거부하도록 합니다. 비유하자면, DDoS 공격은 큰길이 해커가 보낸 차들로 꽉 차 있는 반면, 옆길에서 들어오는 정상적인 차량은 더 이상 진입할 수 없는 교통 체증과 유사합니다.
DDoS 공격은 여러 대의 컴퓨터 또는 기타 장치를 사용하기 때문에 매우 강력합니다. 해커는 장치를 감염 시켜 봇으로 만든 다음 원격으로 특정 IP 주소로 한 번에 유도하여 네트워크를 만들며, 이로 인해 서비스가 중단될 수 있습니다.
DDoS 공격은 24시간 이상 지속될 수 있으며 추적하기 어렵습니다. 여러분의 컴퓨터는 봇넷 군대의 일부일 수 있으며, 악성 명령에 비밀리에 응답할 수 있으며, 사용자는 알지 못할 수도 있습니다. DDos 공격의 유일한 징후는 성능이 약간 저하되거나 장치가 과열되는 정도이기 때문에 알아차리기 어렵습니다. 대상을 공격하는 트래픽은 감염된 합법적인 장치에서 발생합니다. 이로 인해 실제 트래픽과 악성 트래픽을 구별하기가 더욱 어려워집니다.
사용자의 장치가 해커의 봇으로 변해 다른 장치를 공격하거나 먹통이 되는 이러한 불상사를 막기 위해서는 바이러스 및 위협 방지Pro와 같은 실시간 온라인 보안 툴을 사용하는 것이 좋습니다. 인터넷 브라우징 시 위험한 웹사이트 방문을 막고, 악성 소프트웨어가 장치에 침투하는 것을 방지하며 실수로 악성 링크를 클릭하는 일이 없도록 미리 광고를 차단합니다.
DDoS 공격은 네트워크 연결의 특정 구성 요소 또는 이들의 혼합 구성 요소를 대상으로 할 수 있으며, 인터넷을 통해 이루어진 모든 연결은 OSI 모델 계층을 거칩니다. 대부분의 DDoS 공격은 다음의 세 계층에서 발생합니다.
- 네트워크 계층(계층 3): 이 계층에 대한 공격에는 Smurf Attacks, ICMP Floods 및 IP/ICMP Fragmentation이 있습니다.
- 전송 계층(계층 4): 이러한 공격에는 SYN Floods, UDP Floods 및 TCP Connection Exhaustion 등이 있습니다.
- 애플리케이션 계층(계층 7): 주로 HTTP 암호화 공격입니다.
DDoS 공격 역사
세계에서 세 번째로 오래된 ISP인 Panix가 최초의 DoS 공격으로 여겨집니다. 1996년 9월 6일, Panix는 SYN 플러드 공격을 받아 며칠 동안 서비스를 중단시켰고 하드웨어 공급업체, 특히 Cisco는 적절한 방어책을 찾았습니다.
DoS 공격의 또 다른 초기 시연은 1997년 Khan C. Smith가 DEF CON 행사에서 한 것으로, 라스베가스 스트립의 인터넷 액세스를 1시간 이상 중단시켰으며, 이 이벤트 기간 동안 샘플 코드가 공개되면서 이듬해 Sprint, EarthLink, E-Trade 및 기타 주요 기업의 온라인 공격이 발생했습니다.
최근의 사건으로는, 2018년 3월 5일 미국에 소재한 서비스 제공업체인 Arbor Networks의 이름 없는 고객이 당시 최대 규모(초당 약 1.7테라비트의 최고 속도)의 DDoS에 희생되었던 일이 있습니다. 이전 기록은 며칠 전인 2018년 3월 1일에 GitHub가 초당 1.35테라비트의 공격을 받았던 사건이었습니다. 2020년 2월, 아마존 웹 서비스에서도 최대 초당 2.3테라비트의 공격을 당한 적이 있습니다.
DDoS 공격 유형
#1 TCP 연결 공격
SYN 플러드 공격이라고도 하는 TCP 연결 공격은 호스트와 서버 간의 3방향 TCP 핸드셰이크가 완료되지 않을 때 발생합니다. 이 공격에서 핸드셰이크가 시작되지만 해커는 서버를 정지 상태로 두고 포트를 엽니다. 이는 서버가 다른 요청을 받을 수 없음을 의미하며, 해커는 계속해서 더 많은 핸드셰이크를 발생시켜 결국 충돌을 일으킵니다.
#2 체적 공격
체적 공격은 가장 일반적인 유형의 DDoS 공격입니다. 대상과 인터넷 사이에서 사용 가능한 모든 대역폭을 소모하며, 이는 주로 봇넷을 사용하여 특정 대상으로 지정하여 수행됩니다.
체적 공격의 한 예는 해커가 피해자의 IP를 스푸핑하고 열린 DNS 서버에 여러 요청을 보내는 것일 수 있습니다. 또한 공격은 DNS 서버가 응답할 때 처리할 수 있는 것보다 더 많은 데이터를 피해자에게 보내도록 구성됩니다.
#3 단편화 공격
인터넷을 통해 전송되는 트래픽은 데이터 패킷으로 나뉩니다. TCP 또는 UDP 전송 프로토콜이 사용되는지 여부에 따라 이동하고 다른 방식으로 재조립되며, 조각화 공격은 데이터 흐름을 왜곡하여 서버를 압도하는 가짜 데이터 패킷을 보냅니다.
#4 애플리케이션 계층 공격
응용 프로그램 계층 또는 계층 7 공격은 이름에서 알 수 있듯이 응용 프로그램, 즉 서버가 웹 페이지를 생성하고 HTTP 요청에 응답하는 계층을 대상으로 합니다. 이러한 공격은 누군가가 같은 페이지에서 새로 고침을 여러 번 누르는 것처럼 서버에 보일 것이며, 서버가 넘치고 너무 늦을 때까지는 합법적인 트래픽처럼 보일 것입니다. 또한 이러한 공격은 네트워크 계층 공격보다 비용이 적게 들고 탐지하기 어렵습니다.
클릭 한 번으로 온라인 보안을 확보할 수 있습니다. 세계 최고의 VPN으로 보안을 유지하세요.
DDoS 공격과 비슷한 유형
TDoS(전화 서비스 거부)
VoIP(Voice over IP)는 발신자 ID 스푸핑을 통해 통화 발신지가 잘못 표시되는 것을 허용하면서 많은 수의 전화 음성 통화에 대한 남용 발신을 저렴하고 쉽게 자동화할 수 있도록 합니다. 미국 연방 수사국에 따르면 TDoS(전화 서비스 거부)는 다양한 사기 수법의 일부로 나타났으며, 그 수법은 다음과 같이 일어납니다.
사기꾼은 피해자의 은행원이나 중개인에게 연락하여 피해자인 척하며자금 이체를 요청합니다. 은행원은 송금 확인을 위해 피해자에게 연락하려고 시도하지만 피해자의 전화선이 수천 건의 가짜 전화로 넘쳐 피해자에게 연락할 수 없도록 만들고 있기 때문에 은행원은 피해자에게 전화를 걸지 못합니다. 사기꾼이 수천 달러의 미지불된 급여일 대출을 받기 위해 가짜 주장으로 소비자에게 연락합니다. 소비자가 이의를 제기하면 사기꾼은 피해자의 고용주에게 수천 건의 자동 전화를 쏟아부음으로써 보복합니다. 어떤 경우에는 경찰이나 법 집행 기관으로 위장하기 위해 발신자 ID를 스푸핑 하기도 합니다.
사기꾼이 허위 채권 추심 요구로 소비자에게 연락하고 경찰을 보내겠다고 위협합니다. 피해자가 주저하면 사기꾼은 발신자 ID를 스푸핑 하여 피해자의 번호로 지역 경찰에 계속 전화를 겁니다. 경찰은 곧 피해자의 집에 도착하여 전화의 발신지를 찾으려고 합니다.
인터넷 전화 없이도 전화 서비스 거부를 이용할 수 있습니다. 2002년 뉴햄프셔 상원 선거 전화 교란 스캔들에서 텔레마케터는 선거 당일 전화 교란 전화를 걸기 위해 가짜 전화를 정치적 반대자들에게 쏟아붓는 데 사용되었습니다. 1981년에 여러 명의 지역 번호 가입자가 노래 대한 응답으로 매일 수백 건의 잘못된 전화를 걸었던 일이 있었습니다. 이처럼 번호가 널리 알려지면, 피해자가 핸드폰을 사용할 수 없게 될 만큼 엄청나게 많은 전화를 받게 될 수 있습니다.
즉, TDoS는 발신된 전화의 수에 따라 전화 괴롭힘(장난 전화 및 음란 전화 등)과 다릅니다. 반복되는 자동 통화로 지속적으로 회선을 점유하여 피해자는 일상적인 전화와 긴급 전화를 걸거나 받지 못하게 됩니다. 또한 관련 침해로는 SMS 플러딩 공격과 블랙 팩스 또는 팩스 루프 전송이 포함됩니다.
PDoS
‘플래싱(phlashing)’이라고도 부르는 영구 서비스 거부(PDoS)는 시스템을 손상시켜 하드웨어를 교체하거나 다시 설치해야 하는 공격입니다. 분산 서비스 거부 공격과 달리 PDoS 공격은 공유기, 프린터 또는 기타 네트워킹 하드웨어와 같은 피해자 하드웨어의 관리 인터페이스에서 원격 관리를 허용하는 보안 결함을 악용합니다. 공격자는 이러한 취약성을 사용하여 장치의 펌웨어를 수정되었거나 손상되었거나 결함이 있는 펌웨어 이미지로 교체하며, 이 과정을 합법적으로 수행하는 경우를 ‘플래싱’이라고 합니다. 따라서 이러한 공격을 받는 경우 공격자는 장치를 ‘벽돌’로 만들어 수리하거나 교체할 수 있을 때까지 원래 목적으로 사용할 수 없게 만듭니다.
PDoS는 DDoS 공격에서 봇넷 또는 루트/가상 서버를 사용하는 것보다 훨씬 더 빠르고 더 적은 리소스를 필요로 하는 순수한 하드웨어 표적 공격입니다. 이러한 기능과 NEED(네트워크 지원 내장 장치)에 대한 보안 악용의 가능성과 높은 가능성으로 인해 이 기술은 수많은 해킹 커뮤니티의 주목을 받았습니다.
APDoS
APDoS(고급 영구 DoS)는 지능형 지속적 위협과 관련이 있으며 특수 DDoS 완화가 필요한 공격입니다. 이러한 공격은 몇 주 동안 지속될 수 있으며, 지금까지 기록된 가장 긴 연속 기간은 38일이었습니다. 이 공격에는 약 50페타비트(50,000테라비트) 이상의 악성 트래픽이 포함되었습니다.
이 시나리오에서 공격자는 방어적인 DDoS 대응책을 피하기 위해 여러 목표 사이를 전술적으로 전환할 수 있지만 결국에는 공격의 주요 추진력을 단일 희생자에게 집중시킵니다. 또한 이 시나리오에서 공격자는 매우 강력한 여러 네트워크 리소스에 지속적으로 액세스하여 엄청난 수준의 증폭되지 않은 DDoS 트래픽을 생성하는 장기간의 캠페인을 유지할 수 있습니다.
DDoS 증폭 유형
DDoS 증폭 공격은 사이버 범죄자가 특히 DNS(도메인 이름 시스템) 서버의 보안 취약성을 노리는 공격입니다. 이러한 공격은 작은 요청을 거대한 요청으로 변환하여(따라서 ’증폭’이라는 용어) 피해자의 대역폭을 억제하고 불행한 대상 서버의 프로세스를 효과적으로 중지합니다. 증폭 공격에는 DNS 반사와 CharGEN 반사의 두 가지 유형이 있습니다.
DNS 반사
DNS 서버의 역할은 검색 창에 입력한 도메인 이름의 IP 주소를 찾는 것입니다. 인터넷 주소록입니다. DNS 반사 공격은 해커가 피해자의 IP 주소를 복사하고 DNS 서버에 요청을 보내 대규모 응답을 요청하는 것이며, 이러한 응답은 평소의 70배까지 증폭돼 피해자를 순식간에 압도하는 것으로 알려졌습니다.
CharGEN 반사
CharGEN은 인터넷 표준에 따라 디버깅 또는 테스트 목적으로 1983년에 만들어진 고대 프로토콜입니다. 안타깝게도 인터넷에 연결된 많은 프린터나 복사기는 여전히 이 프로토콜을 적극적으로 사용하여 해커가 CharGEN의 노화로 인한 허점을 악용할 수 있습니다. 해커는 피해자의 IP 주소로 위장하여 CharGEN에서 실행되는 모든 데이터에 작은 데이터 패킷을 많이 보냅니다. 그런 다음 장치는 UDP(사용자 데이터그램 프로토콜) 응답으로 피해자의 시스템을 플러딩하여 대상 서버를 압도하고 재부팅하거나 완전히 차단되도록 합니다.
DDoS 공격의 수
정보 통신 기술이 발전하고 보안 시스템이 매년 점점 더 정교해짐에 따라 이를 해킹하는 데 사용되는 도구 또한 발전하고 있습니다. 1990년대 공격의 위력을 오늘날의 표준 DDoS 공격의 위력과 비교하자면, DDoS 공격의 위력이 점점 더 강력해지고 있다는 걸 알 수 있습니다.
90년대 DDoS 공격의 평균 요청은 초당 150개를 겨우 넘었습니다. 하지만, 90년대의 공격을 최근에 있었던 가장 강력한 DDoS 공격인 2018년 GitHub 공격과 비교하자면, 당시 사이트에서 초당 1.35테라비트의 트래픽이 발생했고 이 공격으로 인해 사이트가 일시적으로 손상되었으며 8분 동안이나 공격이 지속되었습니다.
DDoS 공격으로 인해 발생하는 피해액은 얼마입니까?
DDoS 공격이 단 24시간 만에 기업에 입힐 수 있는 금전적 피해 금액에는 다시는 이런 일이 발생하지 않도록 적극적인 조치를 취할 수 있을 정도의 비용이 수반됩니다. Corero Network Security의 2018년 보고서에 따르면 DDoS 공격으로 인한 수익 손실, 직원 생산성 중단 및 공격을 막기 위한 실제 보안 비용으로 인해 공격당 최대 50,000달러의 비용이 발생할 수 있다고 밝혔습니다. 그러나 사이버 범죄자와 봇 군대를 고용하는 데 비용이 얼마나 들까요?
대부분의 온라인 범죄 활동과 마찬가지로 서비스 가격표를 보려면 다크 웹, 딥웹을 조사해야 합니다. 이 서비스의 비용은 원하는 DDoS 공격 길이에 따라 달라지며 기본 속도는 300초에서 시작하여 10,800초(3시간)까지 늘어나는데, 분명히 공격이 짧을수록 더 적은 비용이 들 것입니다.
흥미롭게도 이러한 서비스를 제공하는 많은 범죄자들이 유사 구독 서비스를 제공합니다. 예를 들어, 월 60유로의 비용으로 3시간 동안 지속되는 공격을 1회 할 수 있는 서비스를 비밀리에 제공하고 있습니다.
디도싱은 불법인가요?
디도싱은 많은 국가에서 불법으로 간주됩니다. 예를 들어, 미국에서 DDoS는 연방 범죄로 간주될 수 있으며 처벌 및 구금으로 이어질 수 있습니다. 대부분의 유럽 국가에서 DDoSing은 체포로 이어질 수 있지만 영국에서는 최대 10년의 징역형을 선고받을 수 있습니다.
DDoS 공격을 추적할 수 있나요?
DDoS 공격은 대부분이 수백 수천 개의 다른 장치에 분산되어 있기 때문에 추적하기가 매우 어렵습니다. 또한 이러한 공격을 시작하는 사람들은 일반적으로 발견되지 않도록 노력합니다.
특정 사이버 보안 도구를 사용하여 트래픽을 분석함으로써 DDoS 공격이 발생했을 때 식별할 수 있지만 일반적으로 중지하기에는 너무 늦습니다. 기껏해야 데이터를 분석하고 향후 있을 일을 대비하여 사이버 보안을 변경하는 것밖에 하지 못합니다. 그러나 이러한 조치는 소 잃고 외양간 고치는 꼴일 겁니다.
VPN이 DDoS 방어하는 데 도움이 됩니까?
디도싱은 주로 개발자와 퍼블리셔를 협박하거나 특정인 또는 플랫폼의 평판이나 판매를 훼손하는 데 사용되지만, 개별 사용자도 영향을 받을 수 있습니다. 이러한 행위는 일반적으로 온라인 게이머에게 발생하며, 상대방이 게임 플레이를 방해하기 위해 DDoS를 시도할 수 있습니다. 이는 보안 위험 자체는 아니지만 특히 경쟁적으로 플레이하는 경우 매우 달갑지 않은 경험을 줄 수 있습니다.
게임 서버에 대한 공격을 막을 방법이 없습니다. 그러나 P2P 게임에서 다른 플레이어와 직접 연결하면 상대방이 내 IP 주소를 찾아 DDoS에 사용할 수 있습니다. 만약 우리가 VPN을 사용한다면 원래 IP를 암호화하여 이러한 공격을 방지할 수 있습니다. 공격자가 여러분의 실제 IP를 모른다면 DDoS 공격하기가 어려워질 겁니다.