DoS 공격 및 DDoS(디도스) 공격이란 무엇인가요?

얼마 전 LG 유플러스가 디도스 공격을 당해 사용자들에게 인터넷 접속 장애가 발생하는 사건이 있었습니다. 주요 통신 사업자인 LG 유플러스가 디도스 공격을 막아내지 못해 대응체계가 미흡해서 큰 이슈가 되었습니다. 통신 사업자뿐만 아니라 최근 몇 년 동안 게임 관련 디도스(DDoS) 공격이 급격하게 증가했습니다. 안전하고 빠른 게임 VPN을 사용하면 게임 관련 디도스 공격을 막을 수 있습니다. 디도스 공격은 게이머뿐만 아니라 모든 사람들에게 영향을 미칩니다. 아래 블로그에서 더 자세히 알아보세요. 

미디어에서는 해킹이라고 자주 언급되지만 서비스 거부 공격(DoS)은 서비스를 사용할 수 없게 하려는 시도입니다. 서비스 거부 공격은 누구나 아주 쉽게 실행할 수 있으므로 비교적 흔합니다.

그러나 DoS 공격을 쉽게 방어하거나 DoS 공격의 효율성을 떨어뜨리는 전문 서비스가 등장했습니다.

DoS 공격 및 디도스 (DDoS) 공격의 차이점

가장 간단한 용어 설명

• DoS 공격은 웹사이트 또는 웹 서비스가 단일 사용자의 자동화된 요청으로 넘쳐나 서비스가 중단되고 합법적인 방문자의 입장이 방해 받는 공격입니다. 이 공격은 매우 많은 거짓 요청으로 네트워크를 압도하여 일시적으로 사용할 수 없게 만듭니다.
• DDoS(디도스) 또는 분산 서비스 거부 공격은 여러 사용자 및/또는 봇넷을 활용하는 대규모 DoS 공격입니다.

은유적으로 말하면 고의로 교통 체증을 일으키는 것과 비슷합니다.

가장 간단한 DoS 공격 형태는 단순히 사이트의 콘텐츠(예: 웹 페이지, 파일, 검색 요청 등)를 요청하는 것입니다. 이러한 요청은 요청을 하는 사람과 공격을 받는 사람 모두의 리소스를 소비합니다. 이론적으로 공격자가 공격하려는 서비스보다 더 많은 리소스를 보유하는 경우 공격이 지속되는 기간 동안 서비스를 중단시킬 수 있습니다.

일부 작업은 표적된 서비스에서는 매우 많은 리소스를 사용하지만 공격자 측에서는 리소스가 거의 또는 전혀 필요하지 않을 수 있습니다. 만약 서비스가 준비되어 있지 않은 경우, 공격자에게 쉬운 표적이 됩니다. 

그러나 대부분의 서비스는 각 방문자가 소비하는 리소스의 양을 제한하여 단일 사용자가 모든 리소스를 사용하지 못하게 합니다. 그리고 활동이 의심스러운 것으로 간주되는 경우 서비스에서 해당 사용자를 완전히 차단할 수도 있습니다. 또한 서비스가 캡차를 표시하여 자동 공격 속도를 늦출 수도 있습니다.

디도스 공격을 방어하는 것은 더 어렵습니다. 단일 장치를 소유한 단일 사용자 서비스에 요청을 보내는 대신 수천 또는 수백만 대의 장치(봇넷이라 함)가 요청을 보냅니다.

봇넷은 데스크탑 컴퓨터나 공유기 또는 보안 카메라 같이 인터넷에 연결된 손상된 기기 그룹으로, 디도스 공격만을 목적으로 시간당으로 임대하는 경우가 많은 공격자 그룹에 의해 원격으로 제어됩니다.

일반적인 DoS 공격 및 디도스 (DDoS) 공격 유형

죽음의 핑

인터넷 제어 메시지 프로토콜(ICMP) 홍수 공격으로도 알려진 죽음의 핑은 잘못 구성된 네트워크 장치를 사용하여 표적이 된 네트워크에 있는 모든 컴퓨터에 스푸핑 패킷을 보냅니다. 그리고 이러한 스푸핑 패킷은 제대로 형식이 지정되지 않았기 때문에 이를 수신한 컴퓨터는 충돌하게 됩니다.

UDP 홍수

사용자 데이터그램 프로토콜(UDP)은 마치 메시지 전달용 비둘기와 같습니다. 일반적으로 각각의 비둘기는 이웃(또는 컴퓨터의 일부 포트)에 사는 누군가에게 보내는 메시지를 전달합니다. 그러나 UDP 홍수 공격에서 공격자는 존재하지 않는 수신자에게 메시지를 동반한 메시지 전달용 비둘기 무리(스푸핑된 UDP 패킷)를 보냅니다. 표적이 된 컴퓨터는 스푸핑된 패킷 홍수를 처리하려고 시도하는 동안 모든 리소스를 사용하여, 합법적인 사용자의 패킷을 차단하게 됩니다.

핑 홍수

핑 홍수는 UDP 홍수와 비슷하게 공격자가 ICMP 패킷으로 노리는 컴퓨터를 압도하는 것으로, 목표는 응답을 기다리지 않고 가능한 빨리 핑 패킷을 보내는 것입니다. 그러면 무차별 대입을 통해 목표하는 컴퓨터에 연결할 수 없게 됩니다.

SYN 홍수

SYN 홍수는 공격자가 타겟하는 컴퓨터에 SYN 요청을 보낸 다음 SYN-ACK로 응답하는 공격입니다. 이 시점에서 타겟된 컴퓨터는 ACK 응답을 기대하지만, SYN 공격에서는 응답이 전혀 전송되지 않습니다. 늘어난 SYN 메시지는 컴퓨터의 리소스를 사용할 수 없게 만들어 합법적인 장치가 연결을 설정하는 것을 불가능하게 만듭니다.

슬로우로리스

동물의 이름을 딴 슬로우로리스는 실제로 완료할 의도가 없는 불완전한 HTTP 요청을 컴퓨터에 보내는 해킹 도구입니다. 그리고 표적이 된 컴퓨터는 연결을 열린 상태로 유지하여 합법적인 수신 연결 시도를 거부하게 됩니다.

HTTP 홍수

HTTP 홍수는 불법적인 HTTP 요청 웹페이지 리소스 및 POST 요청 홍수를 활용하는 대규모 공격입니다. 너무 많은 요청은 컴퓨터나 웹 애플리케이션에 과부하를 일으켜 작동하지 않게 만듭니다. 이는 일반적으로 멀웨어 또는 봇의 도움으로 하이재킹된 인터넷 연결 장치를 사용하여 달성됩니다.

제로데이 공격

제로데이 공격은 소프트웨어 개발자가 중요한 보안 결함을 수정하기 전에 해커나 악의적인 행위자가 이를 악용할 수 있을 때 발생합니다. 달리 말하면 공격자는 아직 발견되지 않은 취약점을 이용해 공격하려 합니다.

티어드롭 공격

이름에서 알 수 있듯이 티어드롭 공격은 표적이 된 네트워크에 데이터 조각을 서서히 보내는 방식으로, 데이터 조각이 전송되면 해당 데이터 조각을 원래의 상태로 다시 컴파일하려는 시도가 이루어집니다. 성공할 경우 공격의 표적이 된 시스템은 재컴파일 프로세스에 압도되어 결국 충돌하게 됩니다.

DoS 공격 및 디도스 (DDoS) 공격을 막는 방법

보호 계획을 세울 것

모든 공격 벡터를 처리하기 위한 포괄적인 하향식 보호 계획은 세우는 것이 DoS 공격 및 DDoS 공격을 막는 첫 번째 방어 방안입니다. 여기에는 네트워크 및 사이트 로그를 지속적으로 모니터링하여 보안을 개선하는 데 도움이 되는 문제를 식별하는 일정과 책임이 포함되어야 합니다.

사이트를 최신 상태로 유지할 것

최근에 나온 위협보다 한 발 더 앞서 나가기 위해서는 사이트의 소프트웨어를 최신 상태로 유지해야 합니다. 정기적으로 업데이트하지 않으면 멀웨어, 소프트웨어 버그, 제로데이 공격, 데이터 도용에 취약해질 수 있습니다.

사용자 인증을 강화할 것

비즈니스를 운영하는 경우 직원에게 강력한 인증 프로세스를 준수할 것을 요구하세요. 최소한 사용자가 회사 계정 및 서비스에 접속하기 위해 사용자 이름과 비밀번호 외에 추가 자격 증명(인증 앱 또는 생체 인식 데이터 등)을 제공하도록 요구하는 다단계 인증 프로세스를 구현하세요.

DoS 공격을 시뮬레이션할 것 

연습만이 살 길입니다! 시뮬레이션은 직원에게 DoS 발생 시 모든 징후를 인식하는 방법과 외부 위협으로부터 시스템을 추가적으로 보호하는 방법을 교육시킬 수 있는 좋은 방법이 될 수 있습니다.

VPN 사용

VPN을 사용하면 인터넷 연결 및 인터넷 트래픽을 보호하는 데 큰 도움이 됩니다. 저희만 그렇게 생각하는 게 아닙니다. 마이크로소프트는 온라인 게임 중에 VPN을 사용하는 것이 디도스 공격으로부터 자신을 보호하는 효과적인 방법이라고 조언하기도 합니다.

DoS 공격 및 디도스 (DDoS) 공격이 발생하는 이유

랜섬

DoS/DDoS 랜섬 공격에는 표적이 된 시스템 또는 웹사이트를 액세스할 수 없게 만드는 요청이 포함됩니다. 일단 손상되면 공격자는 공격을 해제하기 위해 랜섬을 요구합니다. 그러나 랜섬을 지불해도 모든 것이 정상으로 돌아가리란 보장은 없습니다.

복수

현재 또는 이전 직원이 원한을 품고 복수를 위해 DoS/DDoS 공격을 감행했을 수 있습니다.

경쟁

시장의 경쟁업체가 잠재적인 소비자를 고객님의 비즈니스에서 멀어지게 하기 위해 비윤리적인 전술을 쓸 수 있습니다. 그리고 이 전술은 DoS/DDoS 공격을 통해 고객님의 웹사이트나 서비스에 접속할 수 없게 만드는 것을 의미할 수 있습니다.

핵티비즘

해킹과 행동주의의 합성어인 핵티비즘은 시위의 한 형태로 기술을 사용하는 것입니다. 이 맥락에서 공격자는 기업적 또는 정치적 이유로 고객님의 의견에 동의하지 않을 수 있습니다. 핵티비즘은 일반적으로 정부나 대기업을 대상으로 합니다.

더 보기: 이 공격은 해킹일까요? 아니면 핵티비즘일까요?

농담

DoS/DDoS 공격은 실행하기 쉬워 때때로 공격자의 재미를 위해 수행될 수 있습니다.

국가 자금 지원 디도스 (DDoS) 공격

국가와 같이 자금이 충분하게 지원되는 행위자가 수행할 경우 DDoS 공격은 그 공격 범위로 인해 방어가 거의 불가능해집니다. DDoS 공격은 법적 책임 없이 초법적 비밀로 이루어지기 때문에 온라인 언론의 자유에 심각한 위협이 됩니다.

예를 들어, 중국은 과거에 신문 기사 미러 호스팅과 관련하여 Github에게 DDoS 공격을 하기 위해 만리방화벽의 용도를 변경했습니다. 영국 스파이 기관인 GCHQ도 해커 그룹 어나니머스(Anonymous)와 룰즈섹(LulzSec)에 대한 보복으로 DDoS 공격을 사용한 것으로 보고되었습니다. 이러한 높은 수준의 공격 유형을 ‘고급 영구 DoS 공격’이라고 합니다.

DDoS 공격은 다양한 이유로 실행될 수 있습니다. 때때로 순전히 정치적이거나 이전 공격에 대한 복수가 목표일 수 있습니다. 예들 들어, 경쟁사의 고객에게 제품을 바꾸도록 ‘설득’하는 것과 같은 비즈니스 상의 이유로 공격을 수행할 수도 있습니다.

대규모의 효율적인 DDoS 공격은 비싸 가해자가 오랫동안 감당하기 힘들기 때문에 손상은 몇 시간 또는 며칠의 중단으로 제한되는 경우가 많습니다. 하지만 비즈니스의 경우 이렇게 짧은 시간 안에 심각한 상업적 영향을 미칠 수 있습니다.

안타깝지만 많은 공격자가 갈취를 목적으로 DDoS 공격을 사용합니다. 처음에는 타깃에게 작은 공격을 한 후 랜섬을 요구합니다. 그리고 타깃이 랜섬을 지불하지 않으면 대게 더 큰 DDoS 공격을 하고 때로는 또 다시 랜섬을 요구하기도 합니다.

이 경우 랜섬을 지불하는 것은 현명한 선택이 아닙니다. 또 다른 공격이 곧 뒤따를 것이고 잠재적인 공격자가 많기 때문에 한 그룹이 다시 ‘공격하지 않겠다’는 약속은 무의미합니다. 따라서 DDoS 보호에 자본을 투자하는 편이 훨씬 현명합니다.

사용자에 대한 서비스 거부 공격

DoS 공격은 웹 서비스를 운영하지 않는 사람에게도 실행될 수 있습니다. 예를 들어, 이메일 받은 편지함이 이메일 폭탄의 타깃이 될 수 있습니다. 이메일 폭탄 공격 시 사용자는 대량의 이메일을 받게 됩니다. 일부는 대용량 첨부 파일이 포함되어 있고 다른 일부는 사용자 시스템에 대한 경고를 촉발시키도록 만들어졌습니다. 시스템, 특히 스팸 필터가 제대로 구성되지 않은 경우 사용자가 이메일을 읽는 데 사용하는 이메일 서버 또는 클라이언트(예: Outlook 등)를 충돌시킬 수 있습니다. 그리고 공격이 지속되는 동안 (또는 그보다 더 길게) 이메일 서비스가 중단되고 공격 중에 받은 모든 이메일은 손실되거나 사용자가 골라내는 데 오랜 시간이 걸릴 수 있습니다.

또한 DDoS 공격은 컴퓨터만 공격하는 것이 아니라 휴대폰도 사용할 수 없게 만들 수 있습니다. 이러한 공격의 예시 중 하나는 터무니없이 저렴한 자동차에 대한 가짜 온라인 광고를 피해자의 이름으로 게재하는 것입니다. 이렇게 하면 쏟아지는 이메일과 전화로 피해자에게 큰 불편을 줄 수 있습니다. 그리고 그러한 이메일과 전화는 모두 실제 사람이 보내는 자동화되지 않은 메시지이기 때문에 이를 막거나 차단하기가 매우 어렵습니다.

극단적인 상황에서는 새 이메일 주소나 전화번호를 만드는 것이 피해자에게 최선의 선택이 될 수 있습니다. 그러나 구글, 애플 같은 잘 구성된 대중적인 이메일 공급 업체는 공격을 막는 데 큰 도움이 됩니다.

더 보기: 랜섬웨어란? 랜섬웨어 막는 방법