DDoS 공격 유형

분산 서비스 거부(DDoS) 공격은 현대 조직이 직면한 가장 흔하고적인 사이버 위협 중 하나입니다. 단일 소스 서비스 거부 (DoS) 공격과 달리, DDoS 공격은 감염된 수많은 기기(봇넷)를 활용하여 엄청난 양의 악성 트래픽을 생성합니다. 이러한 과다한 요청은 대상 서버나 네트워크 리소스를 빠르게 포화시켜 성능을 심각하게 저하시키고 정상적인 사용자가 중요 서비스에 접근하지 못하게 할 수 있습니다. 또한 이러한 압박은 연결된 시스템에 연쇄적인 영향을 미쳐 전반적인 운영 위험을 증가시킬 수 있습니다.

사이버 공격자들이 끊임없이 전략을 발전시키면서 최신 DDoS 공격에는 종종 여러 유형의 서비스 거부 공격이 동시에 수행되어 방어 노력이 더욱 복잡해집니다.

따라서 조직은 다양한 형태의 DDoS 공격, 공격에 악용되는 시스템 취약점, 그리고 발생할 수 있는 잠재적 피해를 이해해야 합니다. 이러한 측면을 이해함으로써 조직은 완화 조치의 우선순위를 정하고 자원을 효과적으로 할당하여 공격 발생 시에도 서비스의 연속성을 보장할 수 있습니다.

유용할 수 있는 관련 자료:

• DDoS 공격이란 무엇인가요?
• DDoS 공격을 방지하는 방법
• DDoS 공격은 어떻게 작동하나요?
• DDoS 공격 완화 – CDNetworks 가이드

DDoS 공격의 3가지 주요 유형

다음 섹션에서는 DDoS 공격의 세 가지 주요 유형인 볼류메트릭 공격, 프로토콜 공격, 애플리케이션 계층 DDoS 공격에 대해 설명하겠습니다.

1. 볼류메트릭 DDoS 공격

볼류메트릭 DDoS 공격은 대상의 가용 대역폭을 대량의 트래픽으로 가득 채워 포화시키는 것을 목표로 합니다. 볼류메트릭 DDoS 공격은 프로토콜 악용에 의존하지 않고, 엄청난 규모로 네트워크 인프라를 마비시킵니다. 사용자 데이터그램 프로토콜(UDP) 플러드와 인터넷 제어 메시지 프로토콜(ICMP) 플러드는 볼류메트릭 공격의 두 가지 일반적인 형태이며, DNS 증폭 공격은 UDP 플러드의 잘 알려진 변형입니다. 이러한 공격은 네트워크 혼잡 및 연결된 서비스에 대한 부수적 영향과 같은 2차적 영향을 유발할 수도 있습니다.

UDP 플러드

UDP 플러드는 시스템, 서버 또는 대역폭을 대량의 사용자 데이터그램 프로토콜(UDP) 패킷으로 과부하시켜 사용할 수 없게 만드는 것을 목표로 합니다. UDP는 핸드셰이크나 무결성 검사가 필요 없는 비연결형 프로토콜이므로, 공격자는 비교적 적은 리소스로 대량의 패킷으로 대상을 쉽게 과부하시킬 수 있습니다. 따라서 UDP 플러드는 네트워크 또는 서버 용량을 고갈시키는 데 특히 효과적입니다. 공격자는 UDP 형식을 더욱 악용하여 무결성 검사를 건너뛰고 증폭 및 반사 공격을 실행할 수 있습니다.

두드러진 예로 DNS 증폭이 있으며, 피해자의 IP 주소를 위조하여 작은 쿼리를 보내도 개방형 DNS 서버에서 훨씬 더 큰 응답이 발생하여 공격 트래픽이 증폭되고, 과도한 무력으로 대상을 압도합니다. 이러한 유형의 증폭은 공격자가 봇넷의 장치 수를 늘리지 않고도 영향력을 증폭시킬 수 있음을 보여주며, 볼륨형 공격의 효율성을 강조합니다.

ICMP 플러드

ICMP 플러드는일반적으로 네트워크 진단 및 오류 보고에 사용되는 ICMP를 표적으로 삼습니다. ICMP 공격에서 공격자는 종종 위조된 IP 주소를 포함한 대량의 에코 요청(ping) 패킷을 전송하여 시스템을 마비시킵니다. 대상 네트워크는 이러한 요청을 처리하고 에코 응답을 생성해야 하므로 CPU, 메모리, 대역폭을 소모하게 되고, 결국 성능이 저하되거나 서비스를 사용할 수 없게 됩니다. ICMP 트래픽은 일반적으로 합법적인 목적으로 사용되기 때문에 악의적인 플러드와 정상적인 진단 활동을 구분하기가 어렵습니다. 따라서 ICMP 플러드는 실행은 간단하지만 매우 파괴적인 결과를 초래합니다.

2. 프로토콜 DDoS 공격

프로토콜 DDoS 공격은 TCP, HTTP 또는 SSL/TLS와 같은 네트워크 프로토콜이 연결及세션을 관리하는 방식의 취약점을 악용합니다. 공격자는 불완전한 요청을 전송하거나, 핸드셰이크를 지연시키거나, 세션 상태를 조작하는 등의 방식으로 서버가 리소스를 무기한으로 할당하도록 강요하여 결국 서비스 중단을 초래합니다. 프로토콜 DDoS 공격은 비교적 최소한의 공격 트래픽만 필요하지만 심각한 장애를 유발하기 때문에 네트워크 및 애플리케이션 용량을 효율적으로 고갈시키는 데 여전히 선호되는 공격 방식입니다. 일반적인 프로토콜 공격 유형은 다음과 같습니다:

SYN 플러드

SYN 플러드 공격은 가장 일반적인 프로토콜 DDoS 공격 유형 중 하나입니다. 이 공격은 클라이언트가 SYN 패킷을 전송하여 연결을 시작하는 TCP 핸드셰이크 프로세스를 악용합니다. 공격자는 대량의 SYN 요청을 전송하지만 최종 ACK를 받지 못하고 핸드셰이크를 완료하지 못합니다. 결과적으로, 대상 서버는 이러한 미완료 세션을 활성 상태로 유지하여 정상적인 트래픽을 더 이상 처리할 수 없을 때까지 서버 리소스를 고갈시킵니다.

TCP 플러드

TCP 플러드 공격에서 공격자는 유효하거나 잘못된 TCP 패킷을 대량으로 대상에게 직접 전송하여 웹 서버를 마비시킵니다. 불완전한 핸드셰이크를 악용하는 SYN 플러드와 달리, TCP 플러드는 지속적인 악성 트래픽으로 서버를 과부하시켜 모든 수신 요청을 처리하도록 강요합니다. 이러한 끊임없는 처리는 CPU, 메모리, 대역폭과 같은 서버 리소스를 빠르게 고갈시켜 결국 서버 성능을 저하시키거나 서버를 완전히 사용할 수 없게 만듭니다.

스머프 공격

스머프 공격은 인터넷 프로토콜(IP)의 취약점을 악용하여 대상을 마비시키는 DDoS 공격의 한 유형입니다. 스머프 공격에서 공격자는 IP 브로드캐스트 주소로 대량의 인터넷 제어 메시지 프로토콜(ICMP) 에코 요청(ping) 패킷을 전송합니다.

각 패킷에는 의도된 피해자의 IP 주소로 설정된 스푸핑된 소스 IP 주소가 포함되어 있습니다. 브로드캐스트 네트워크는 모든 기기에서 피해자에게 응답을 보내 공격을 증폭시켜, 대상의 네트워크나 기기에 과부하를 일으킬 수 있는 트래픽 플러드를 생성합니다.

IP 단편화 공격

IP 단편화 공격은 네트워크 간 패킷 라우팅에 사용되는 IP 프로토콜을 표적으로 합니다. IP 단편화 공격에서 공격자는 의도적으로 특수하게 조작된 단편화된 패킷을 대상 시스템이나 네트워크로 전송합니다. 이러한 비정상적인 단편화로 인해 대상 시스템이나 네트워크는 원본 패킷을 재구성하는 데 과도한 리소스를 사용하게 되어 리소스 고갈 및 네트워크 성능 저하를 초래할 수 있습니다.

3. 애플리케이션 계층 DDoS 공격

애플리케이션 계층 DDoS 공격(계층 7)은 이메일, 웹 브라우징, 파일 전송, 데이터베이스 액세스 및 기타 네트워크 애플리케이션과 같은 서비스를 포함하는 OSI 모델의 최상위 계층을 표적으로 삼습니다. 대역폭이나 프로토콜 취약점을 노리는 하위 계층 공격과 달리, 이 공격은 겉보기에 정당한 요청으로 애플리케이션에 과부하를 일으켜 탐지를 어렵게 만듭니다.
애플리케이션 계층은 사용자와 직접 연결되기 때문에, 이 계층의 장애는 사용자 경험, 신뢰도 및 수익 흐름에 빠르게 영향을 미칠 수 있습니다. 애플리케이션 계층은 최종 사용자에게 서비스를 제공하는 데 중요한 역할을 하기 때문에 DDoS 공격의 주요 대상이 되고 있습니다. 일반적인 애플리케이션 계층 DDoS 공격 유형은 다음과 같습니다.

슬로로리스

HTTP 슬로우 공격(공격으로도 알려짐)은 HTTP 프로토콜의 취약점을 악용하여 웹 서버를 공격합니다. 이 공격은 대량의 불완전한 HTTP 요청을 전송하고 가능한 한 오랫동안 열어 두어 서버가 다른 정상적인 트래픽을 처리하지 못하도록 하는 방식으로 작동합니다.

HTTP 플러드 공격

HTTP 플러드 공격은 웹 서버나 애플리케이션을 대상으로 대량의 HTTP 요청을 과다하게 전송하여 서버를 과부하시키고 정상적인 사용자가 접속할 수 없도록 하는 사이버 공격 유형입니다. 악성 트래픽이 대량으로 발생하면 CPU, 메모리, 네트워크 대역폭 등 서버 리소스가 고갈되어 서버 속도가 느려지거나 다운될 수 있습니다. 이러한 공격은 종종 정상적인 사용자 행동을 모방하기 때문에 탐지가 복잡해지고, 정상 트래픽과 악성 트래픽을 구분할 수 있는 고급 완화 전략이 필요합니다.

새로운 또는 정교한 DDoS 공격 유형

DDoS 공격이 지속적으로 진화함에 따라 공격자들은 단일 벡터 공격보다는 여러 취약점을 동시에 노리는 다층적인 전략에 더 의존하고 있습니다.

새로운 유형의 DDoS 공격은 공격자들이 더욱 정교하고, 규모 있고, 지속성을 추구하는 방향으로 변화하고 있음을 보여줍니다. 또한, DDoS 공격은 종종 여러 벡터를 결합하여 교란을 극대화하기 때문에 조직은 적응형 완화 전략을 채택해야 합니다.

멀티-벡터 공격

현대 사이버 공격에서 가장 두드러지는 추세 중 하나는 공격자가 볼륨메트릭 플러드, 프로토콜 익스플로잇, 애플리케이션 계층 중단 등의 기법을 결합하는 다중 벡터 공격의 증가입니다. 이러한 공격은 순차적 또는 병렬적으로 실행될 수 있어 방어자가 악성 트래픽과 정상 트래픽 패턴을 구분하기 어렵게 만듭니다.

방어자가 중복되는 전술을 관리해야 하므로, 이러한 공격은 정상 트래픽을 방해하고 서비스 가용성을 저하시킬 가능성을 크게 높입니다. 또한 이러한 공격은 실시간 트래픽 모니터링을 복잡하게 만들고 완화 조치에 더 많은 리소스를 요구하게 만듭니다.

봇넷 기반 공격

봇넷은 여전히 ​​대규모 DDoS 공격의 초석이지만, 이러한 네트워크의 구성은 변화하고 있습니다. 기존의 IoT 봇넷이 계속 운영되는 동안, 공격자들은 점점 더 가상 사설 서버(VPS) 및 기타 클라우드 기반 리소스를 점점 더 활용하여 더욱 강력한 공격을 수행하고 있습니다. 클라우드 기반 봇넷은 더 높은 처리량과 짧은 스핀업 시간을 제공하여, 대량의 악성 요청을 집중 공격하여 대상 서버를 공격할 수 있습니다.

이러한 봇넷 기반 공격은 방대한 수의 분산된 머신과 클라우드 규모의 용량을 결합하여, 기존의 서비스 거부 공격보다 훨씬 오랫동안 대상 서버에 대한 압력을 유지할 수 있습니다.

애플리케이션-특화적 악용

애플리케이션 계층 공격 벡터는 점점 더 정밀해지고 있으며, API는 물론 특정 프로토콜 기능까지 표적으로 삼고 있습니다. 두드러진 예는 HTTP/2 급속 재설정으로, 이는 프로토콜의 스트림 다중화及 RST_STREAM 기능을 악용합니다.

공격자는 대량의 스트림을 빠르게 열고 취소함으로써 대상 서버가 CPU와 메모리를 반복적으로 할당하도록 강요하여 심각한 부하를 유발하고 가용성을 저하시킵니다. 동시에, 연결을 열어둘 정도로 느리게 요청을 의도적으로 조금씩 전송하는 로우 앤 슬로우 공격은 여전히 효과적입니다.

느리고 낮은 공격은 공격자에게 비교적 적은 리소스를 요구하지만, 중요한 네트워크 리소스를 묶어두고 합법적인 트래픽을 차단할 수 있습니다. 이는 현대적 방법과 기존 방법 모두가 애플리케이션 계층의 방어에 계속해서 어려움을 겪고 있음을 보여줍니다.

DDoS 공격으로 인한 피해

DDoS 공격의 영향은 일시적인 서비스 중단을 훨씬 넘어 비즈니스 연속성과 사용자 신뢰에 직접적인 영향을 미칩니다. 공격자는 엄청난 양의 악성 트래픽으로 웹 서버와 중요 네트워크 리소스를 과부하시켜 시스템이 정상적인 사용자에게 서비스를 제공할 수 없게 만듭니다. 이로 인해 불만, 성능 저하, 그리고 고객 세션 이탈이 발생합니다.

하지만 이러한 영향은 기술적인 측면에서만 국한되지 않습니다. 장기적 또는 반복적인 서비스 중단은 수익 기회 손실, 운영 비용 증가, 그리고 장기적인 브랜드 평판 손상 등 재정적 위험으로 직결됩니다. 따라서 다운타임의 재정적 영향은 현대 기업에게 중요한 문제가 되었습니다.

ITIC의 연구에 따르면, 대부분의 기업들은 가동 중단 시간 비용이 시간당 $300,000를 초과한다고 보고합니다. 일부 조직, 특히 매우 중요한 시스템을 보유한 조직의 경우 손실이 시간당 수백만 달러로 급증할 수 있습니다. 지속적인 디지털 서비스에 의존하는 조직의 경우, 짧은 중단조차도 과도한 위험을 초래할 수 있습니다. 공격자가 끊임없이 공격 수법을 진화시키고 있다는 사실로 인해 이러한 위험은 더욱 증폭됩니다.

DDoS 공격의 정교함이 증가함에 따라 압박은 더욱 커집니다. 이러한 사고는 IT 팀에 부담을 주는 것 외에도 전략적 프로젝트의 자원을 낭비하여 조직을 방어와 복구의 악순환에 빠뜨립니다. 이러한 공격 중에도 서비스를 계속 운영해야 한다는 요구는 운영상의 스트레스를 심화시키고 대응 과정에서 인적 오류 발생 가능성을 높입니다.

자원 고갈, 비용 증가, 그리고 인적 요인의 조합은 사전 예방적 방어의 시급성을 강조하며, 강력한 완화 전략은 선택이 아닌 필수가 되어야 합니다.

DDoS 완화

효과적인 DDoS 완화는 조기 탐지及 네트워크 트래픽에 대한 지속적인 가시성으로 시작됩니다. 조직은 트래픽 급증, 유사한 속성을 가진 클라이언트의 반복적인 요청, 기타 비정상적인 부하 지표와 같은 이상 징후를 모니터링해야 합니다. 위협이 확산되기 전에 이를 식별하고 정상 사용자에게 영향을 미치지 않도록 하려면 사전 예방적 트래픽 모니터링 및 분석이 매우 중요합니다.

회복력을 강화하기 위해 많은 조직들은 CDNetworks의 Flood Shield 2.0과 같은 클라우드 기반 DDoS 보호 플랫폼을 활용하고 있습니다.

원본 인프라와 공용 인터넷 사이에서 작동하는 Flood Shield 2.0은 속도 제한, 포트 제한, 위협 인텔리전스를 포함한 다층적인 방어 기능을 통해 실시간 완화를 제공합니다. 이러한 기능은 모든 주요 공격 벡터에 대해 강력한 보호 기능을 제공하여 대규모 DDoS 공격 중에도 위험을 줄이고 서비스 가용성을 보장합니다.

무료 평가판에 가입하거나 제품 브로슈어를 읽어 우리의 DDoS 완화 플랫폼에 대해更詳히 알아보세요.