점점 증가하는 애플리케이션 계층 DDoS 공격 방어하기
세 가지 핵심 전략으로 애플리케이션 복원력 강화
분산 서비스 거부(DDoS) 공격은 애플리케이션 계층에 대한 가장 일반적인 위협 중 하나가 되었으며, 이러한 위협의 규모는 점점 커지고 있습니다. 이러한 공격은 너무 많은 요청으로 서버와 네트워크 리소스를 폭주시켜 속도를 늦추거나 소프트웨어를 완전히 충돌시켜 중요한 작업을 중단시킵니다. 오늘날, DDoS 공격은 웹 애플리케이션 트래픽에 대한 전체 공격 중 상당한 비중을 차지합니다. 실제로, 이 공격�은 Cloudflare가 2024년에 악성으로 간주하여 차단한 모든 애플리케이션 계층 트래픽의 37%를 차지합니다.
안타깝게도 사이버 범죄자들이 애플리케이션 계층 DDoS 공격을 시작하기가 쉬워지고 있습니다. 그들은 악의적인 활동을 간소화하기 위해 끊임없이 새로운 도구를 활용하고 새로운 전략을 채택합니다. 예를 들어, DDoS 대행 “부스터” 서비스와 AI 기반 공격 스크립트는 공격자의 진입 장벽을 낮추었습니다. 사이버 범죄자들은 그 어느 때보다 빠르고 저렴하게 공격을 시작할 수 있습니다. 이들은 또한 매 분기마다 새로운 기록적인 이벤트가 발생하는 것처럼 더욱 규모가 크고 정교한 공격을 만들어내고 있습니다.
동시에 사이버 범죄자들은 표적을 찾고 감지를 피하는 능력을 향상시키고 있습니다. 예를 들어, 취약한 API를 찾기 위해 정찰 전술을 사용하는 데 점점 더 능숙해지고 있습니다. 또한 봇넷을 사용하여 실제 사용자 행동을 모방하고 보안 도구를 우회합니다.
주요 CIO들은 애플리케이션 계층 DDoS 공격 방어 강화에 최우선 순위를 두고 있습니다. 이러한 공격을 막기 위해 보안팀은 먼저 공격이 어떻게 작동하는지, 왜 탐지하기 어려운지, 그리�고 조직에 어떤 영향을 미칠 수 있는지를 이해해야 합니다. 그런 다음에야 공격을 막고 복원력을 향상시키는 데 필요한 핵심 역량을 갖춘 전략적 프레임워크를 구현할 수 있습니다.
진화하는 애플리케이션 계층 위협 이해
애플리케이션 계층(또는 계층 7) DDoS 공격은 일반적인 네트워크 DDoS 공격(계층 3 또는 4)보다 더 집중적인 접근 방식을 사용합니다. 네트워크 공격은 광범위한 중단을 시도하는 반면, 애플리케이션 계층 DDoS 공격은 핵심 비즈니스 워크플로우 및 서비스 중단에 집중합니다. 이들은 로그인 페이지, API 또는 결제 게이트웨이를 표적으로 삼아 전체 네트워크 인프라에 영향을 미치지 않으면서 특정 기능만을 방해하려 시도할 수 있습니다.
애플리케이션 계층 공격은 네트워크 공격보다 볼륨이 더 적은 이벤트이기도 합니다. 애플리케이션 프로토콜을 준수하여 '정상'으로 보이도록 설계되었습니다. 공격자는 특정 소프트웨어 구성 요소를 과부하시키기 위해 로그인 시도, 검색 쿼리 등 유효한 것처럼 보이는 요청을 생성할 수 있습니다. 이러한 공격은 감지를 피하기 위해 장기간에 걸쳐 소량의 악성 트래픽을 전송할 수 있습니다. 이렇게 낮고 느린 공격은 CPU 사이클, 메모리 및 데이터베이스 연결과 같은 리소스를 소모하여 애플리케이션을 지원하는 ��서버 또는 데이터베이스를 과부하 상태로 만드는 것을 목표로 합니다.
이러한 볼륨이 적은 접근 방식은 애플리케이션 계층 공격을 탐지하기 어렵게 만드는 요인 중 하나입니다. 이 공격은 트래픽 양 임계값에 의존하는 기존 네트워크 방어를 우회합니다. 효과적인 완화 전략은 단순히 트래픽 양을 측정하는 것을 넘어 트래픽 품질, 맥락 및 의도를 분석하는 적응형 전략을 필요로 합니다.
일반적인 공격 벡터 및 기술 식별
사이버 범죄자는 여러 가지 기법을 사용하여 애플리케이션 계층을 공격합니다. 서로 다른 요소와 취약점을 겨냥하는 경우도 있지만, 서버를 압도하기 위해 각기 다른 방법을 사용하는 경우도 있습니다. 가장 일반적인 6가지 기술은 다음과 같습니다.
HTTP/HTTPS 폭주: 이러한 유형의 공격은 대량의 HTTP GET 또는 POST 요청으로 웹 서버를 압도하여 리소스를 소비시키고 합법적인 사용자에게 서비스 거부 상태를 유발합니다.
DNS 쿼리 폭주: 공격자는 DNS 서비스에 쿼리 공격을 퍼부어 종속된 모든 소프트웨어와 서비스가 응답하지 않게 되는 연쇄적인 오류를 야기할 수 있습니다.
낮고 느린 공격: Slowloris 및 R.U.D.Y.와 같은 이러한 공격은 최소한의 대역폭 사용으로 느리고 불완전한 연결을 설정하고 유지하여 감지를 회피하면서 서버 리소스를 고갈시킵니다.
API 특정 공격: API 우선 아키텍처의 부상으로 인해 사이버 범죄자들은 특정 API 엔드포인트를 표적으로 삼아 전체 서비스를 오프라인으로 전환시키는 사례가 늘고 있습니다.
애플리케이션 취약점 악용: 이 공격은 SQL 삽입 및 XSS(Cross-site scripting) 같은 취약점을 악용하여 데이터를 훔치거나 시스템을 손상시킬 수 있습니다.
새로운 기술: 공격자들은 몇 년 전 HTTP/2 Rapid Reset 공격에서 사용된 기술과 같이, 새로운 기술을 지속적으로 개발하고 있습니다. 오늘날 공격자는 마우스 움직임을 무작위화하고, 세션 쿠키를 유지 관리하며, 요청 헤더를 변경하고, 사이트의 여러 페이지를 방문하는 봇넷을 사용함으로써 사람을 가장하여 공격 전에 감지를 피합니다.
이러한 기술 중 일부는 DDoS와 더 일반적인 애플리케이션 계층 전술 간의 경계를 모호하게 만들고, 서비스 거부뿐만 아니라 데이터 유출에도 사용됩니다. 이러한 위협에 대처하기 위해 조직은 DDoS 방어 전략을 전반적인 애플리케이션 보안과 통합해야 합니다.
애플리케이션 계층 공격을 막기 위한 전략 구축
애플리케이션 계층 DDoS 공격을 방어하려면 기존 볼륨 기반 DDoS 방어를 뛰어넘는 정교하고 다각적인 접근 방식이 필요합니다. 이러한 접근 방식은 고급 감지, 예방 및 완화 기능과 적응형 보안 아키텍처를 결합해야 합니다.
고급 감지
최신 감지 전략은 공격자가 사용하는 모방 전술을 간파할 수 있어야 합니다. 사용자 및 엔터티 행동 분석(UEBA) 솔루션은 애플리케이션 수준 트래��픽을 지속적으로 모니터링하여 먼저 '정상' 행동의 기준을 설정합니다. 이러한 솔루션은 행동 분석 및 머신 러닝 기능을 활용하여 공격을 암시할 수 있는 이상 징후를 식별합니다. CPU 사용률 및 메모리 사용량과 같은 애플리케이션 성능 지표를 실시간으로 모니터링하면 공격 징후를 초기에 감지할 수도 있습니다.
조직은 대규모 클라우드 기반 글로벌 네트워크에서 얻은 실시간 위협 인텔리전스를 활용하여 이러한 역량을 보완해야 합니다. 또한 팀은 웹 애플리케이션 방화벽(WAF)을 사용하여 악성 IP 주소 또는 봇넷을 사전에 식별하고 차단할 수 있습니다.
방지 및 완화
감지 외에도 조직에서 다양한 예방 및 완화 전술을 구현하여 소프트웨어 복원력을 강화해야 합니다. 예를 들어, 지능형 레이트 리미팅은 과도한 요청으로 인해 리소스가 소진되는 것을 방지합니다. WAF는 악성 트래픽을 필터링 및 차단하고, API 보안 게이트웨이는 악성 API 호출을 필터링합니다. Zero Trust 모델은 사용자 자격 증명이 손상된 경우에도 공격면을 줄이고 애플리케이션에 대한 액세스를 제��어합니다.
공격을 완화하기 위해 조직에서는 애플리케이션 콘텐츠를 전 세계에 배포하여 네트워크 에지에서 공격 트래픽을 흡수하고 중단을 줄이는 콘텐츠 전송 네트워크(CDN)를 구현할 수 있습니다. 부하 분산은 트래픽을 여러 서버에 분산하여 특정 서버에 과부하가 걸리지 않도록 하고, 오토 스케일링은 트래픽 수요에 따라 리소스를 동적으로 할당하여 공격 시에도 충분한 용량을 보장합니다.
적응형 보안 아키텍처
공격자들은 가만히 있지 않습니다. 그들은 방어를 회피하는 데 도움이 되는 새로운 기술을 지속적으로 개발하고 새로운 도구를 도입합니다. 조직은 이렇게 진화하는 위협으로부터 학습하고, 공격을 자율적으로 예측하고 대응할 수 있는 적응형 보안 아키텍처가 필요합니다.
위협 인텔리전스는 DDoS 복원력에 매우 중요하며, 방어 체계를 사후 대응에서 예측으로 전환하는 힘이 되어줍니다. 위협 인텔리전스 서비스는 글로벌 공격 패턴에 대한 데이터를 처리함으로써 조직에서 새로운 벡터(예: 새로운 증폭 기술 또는 핵티비스트 캠페인)를 예측하고 방어를 선제적으로 강화할 수 있도록 합니다. 이 인텔리전스는 악성 IP를 실시간으로 식별해 즉각 차단할 수 있도록 지원하며, 정확한 레이트 리미팅 ��정책 수립에 필요한 정보를 제공합니다. 또한 보안팀이 단순한 DDoS 공격 소음과 실제 데이터 탈취 시도를 신속하게 구분할 수 있게 지원함으로써 서비스 가용성과 핵심 데이터 무결성을 모두 지켜내는 집중적이고 효율적인 대응을 가능하게 합니다.
AI와 머신 러닝(ML)은 적응형 아키텍처의 필수적인 구성 요소가 될 것입니다. AI 및 ML 기반 도구는 방대한 네트워크 데이터를 분석하여 기존 시스템이 놓칠 수 있는 미묘한 공격 패턴과 이상 징후를 식별합니다. 또한 새로운 공격이 있을 때마다 학습하고, 새로운 정책이나 규칙을 적용하여 몇 초 안에 위협을 완화합니다.
보안 팀은 애자일 프로세스도 구현해야 합니다. 사고 대응 계획을 수립하고 현실적인 DDoS 시뮬레이션을 실행하는 것은 취약점을 식별하고 완화 절차를 검증하는 데 매우 중요합니다. 공격자가 기술을 변경하고 조직이 애플리케이션 취약점을 식별함에 따라 이러한 계획 및 시뮬레이션도 진화해야 합니다.
애플리케이션 계층 DDoS 공격 차단
Cloudflare의 클라우드 연결성은 애플리케이션 계층을 노리는 공격을 포함하여 DDoS 공격으로부터 보호하기 위한 전방위 클라우드 네이티브 서비스를 제공합니다. 예를 들어, DDoS 방어는 Cloudflare의 449 TbpsTbps 네�트워크 용량을 활용하여 애플리케이션 성능 저하 없이도 최대 규모의 DDoS 공격을 완화할 수 있습니다. ML 기반 UEBA 기능으로 위협을 알리는 비정상적인 행동을 감지할 수 있으며, WAF 서비스는 실시간 공격을 차단합니다. 이러한 기능들이 단일 플랫폼에 완전히 통합되어 있으므로, 귀사 팀은 복잡성을 더하지 않고도 애플리케이션 계층 공격을 차단하고 복원력을 향상시킬 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
DDoS 공격 완화를 위한 5가지 고려 사항 전자책에서 애플리케이션 계층 및 네트워크를 노리는 DDoS 공격으로부터 조직을 보호하는 방법에 대해 자세히 알아보세요.
작성자
Gregory Van den Top – @gregoryvdtop
Cloudflare, 필드 CSO
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
최신 애플리케이션 계층 DDoS 벡터 및 기술
애플리케이션 계층 공격을 탐지하기 어려운 이유
DDoS 공격 방어를 위한 3가지 핵심 전략을 구축하는 방법