| 귀사가 현재 공격을 받고 있다면 연중무휴 24시간 Akamai 전문가의 지원을 받으실 수 있습니다. 긴급 지원이 필요한 경우 Akamai로 문의해 주세요. |
핵심 요약
2024년 이후 분산 서비스 거부(DDoS) 공격은 매우 정교해졌습니다.
멀티벡터, 멀티데스티네이션 및 AI 기반 DDoS 공격은 기존의 방어 체계를 조사하고 취약한 지점을 식별한 다음 DDoS 방어 솔루션을 비활성화하는 공격을 조율해 분산 방어 거부(DDoD)를 야기합니다.
증폭 DDoS 공격은 단순하고 단일 벡터를 사용하는 경우가 많으며, 셀프 서비스 방식의 순전히 자율적인 솔루션으로 쉽게 방어할 수 있습니다.
정교한 DDoS 공격은 대규모로 진행되는 경우가 거의 없습니다. 이러한 종류의 공격에는 보안 전문가의 인텔리전스와 강력한 네트워크 보안 체계로 보완되는 성숙한 DDoS 방어 솔루션이 필요합니다.
콘텐츠 전송 네트워크(CDN) 및 기타 보안 솔루션과 리소스 및 용량을 공유하는 DDoS 방어 플랫폼은 정교한 DDoS 공격을 막지 못하는 경우가 많습니다.
- 네트워크 보안 전문가는 DDoS 방어 성숙도 모델을 현재 보안 체계의 벤치마크로 삼아 보안을 더욱 강화할 방법을 모색해야 합니다.
분산 서비스 거부(DDoS) 공격 환경은 실제로 분화되고 있습니다. 한편에서는 일부 벤더사들이 UDP 플러드와 같이 보통 단순하고 방어하기 쉬운 단일 벡터 공격인 DDoS 공격을 꾸준히 보고하며 헤드라인을 장식하고 있습니다. 이러한 증폭 공격은 대량으로 발생하고 있을까요? 물론 그렇습니다.
다른 한편에서는 리소스를 충분히 보유한 사이버 위협 공격자들이 인공 지능(AI)과 사물 인터넷(IoT)에 기반한 봇넷을 사용해 매우 정교한 DDoS 공격을 조율하고 있습니다. 여기에서 키워드는 '정교함'이라는 단어입니다.
이것이 최신 DDoS 공격의 특징입니다. 이러한 공격은 멀티 벡터 멀티데스티네이션(여러 IP 주소) DDoS 공격인 경우가 많으며, AI 기반 툴을 사용해 방어 체계를 조사하고 취약한 지점을 식별하며 종종 DDoS 방어 솔루션 자체를 비활성화하는 공격을 시작한 후 디지털 인프라를 오프라인 상태로 만듭니다.
분산 방어 거부(DDoD)의 시대가 시작된 것입니다.
사용할 수 없다면 의미가 없는 보호 기능
지난 몇 년 동안, 매우 정교한 대규모 공격 건수가 크게 증가했습니다.
실제로, Akamai Prolexic의 DDoS 방어 플랫폼에서 방어한 대규모 증폭 DDoS 공격 중 9개가 지난 36개월 안에 발생했습니다. 이러한 공격은 대부분 멀티 벡터, 멀티데스티네이션 공격이었으며, 시중에 나와 있는 다수의 기본적인 자율 전용 또는 온프레미스 DDoS 솔루션을 마비시킬 가능성이 있었습니다.
Akamai가 수집한 DDoS 위협 인텔리전스를 자세히 살펴보면, 2025년 2분기에 Prolexic이 방어한 DDoS 공격의 30% 이상이 정교하고 수평적 특성을 띠는 것으로 나타났습니다(그림 1).
Fig. 1: The percent of DDoS attacks mitigated by Prolexic that targeted multiple destinations (horizontal attacks)
이와 같이 정교한 DDoS 공격에는 현대적인 자동화, 사람의 전문 지식, 조직과 솔루션 공급업체 내 보안팀 간의 협업을 결합한 정교한 방어 접근 방식이 필요합니다. 이때 Akamai의 플랫폼-인력-프로세스 프레임워크를 활용하면 강력한 네트워크 보안 체계를 수립할 수 있습니다.
현재 사용 중인 DDoS 솔루션으로 최신 DDoS 공격을 막을 수 있나요?
UDP 플러드와 같이 간단하고 방어하기 쉬운 기법은 기본적인 DDoS 방어 솔루션으로 쉽게 차단할 수 있습니다. 공격자가 얼마나 많은 초당 테라비트(Tbps)의 공격 트래픽을 생성하는지는 중요하지 않습니다. 대부분의 경우 간단한 접속 제어 목록(ACL)으로도 공격을 차단할 수 있습니다. 이러한 종류의 단순 기법, 기술, 절차(TTP)는 네트워크 보안 실무자에게 새롭지 않으며 주목할 만한 것도 아닙니다.
하지만 방어 체계를 지능적으로 조사하고 보안 체계에서 취약한 지점을 식별한 다음 규모는 보통이지만 복잡한 기법을 혼합해 공격을 시작하는 정교한 AI 기반 DDoS 공격이라면 이야기는 완전히 달라집니다. 이러한 공격은 DDoS 방어 체계를 무너뜨린 후 네트워크를 오프라인 상태로 만듭니다.
DDoS는 우연히 일어나는 사고가 아니므로 이처럼 특히 중요한 프로세스를 다시 한 번 강조하는 것입니다. 대부분의 DDoS 공격은 누군가가 의도적으로 오리진 용량을 포화시키고 정상 사용자가 서비스에 접속하지 못하게 하는 악성 트래픽으로 네트워크를 플러딩하려고 시도할 때 발생합니다.
드물지만 설정 오류, 네트워크 프로브 또는 공격적인 취약점 스캔으로 인해 서비스 거부(DoS)가 발생하는 경우도 있습니다. 사이버 범죄자는 AI 기반 및 지원 툴을 통해 네트워크를 조사해 상대적으로 취약한 지점을 탐지한 다음 그곳에 공격을 집중할 수 있습니다.
규모에 의존할 필요가 없는 정교한 DDoS 공격
정교한 DDoS 공격은 대량으로 발생하는 경우가 거의 없습니다. 이는 공격자가 비교적 적당한 양의 정교한 악성 트래픽으로 방어 체계를 마비시킬 수 있다면 많은 트래픽을 생성하지 않아도 되기 때문입니다.
이렇게 생각해 보세요. 누군가 당신의 집에 침입하려면 폭력을 써서 문을 부수고 들어가 홈 경보 시스템이 울리게 만들고 경찰에 맞설 대비를 할 수도 있지만, 보안 시스템을 비활성화하는 방법을 알아낸 다음 적절한 수준의 노력을 기울여 집에 침입할 수도 있습니다.
최신 DDoS 공격 중 일부는 이 중 두 번째 기법을 사용합니다. 보안 시스템을 비활성화한 다음 네트워크에 침입하는 것입니다.
고객 네트워크에는 대개 다양한 수준의 이중화 용량 또는 기술이 내장되어 있어 초기 공격을 견디거나 다른 곳으로 돌릴 수 있습니다. 안타깝게도 이것으로는 충분치 않습니다.
예를 들어, 스테이트리스 방화벽과 같은 제어 장치나 디바이스가 처음에는 도움이 될 수 있지만 프로토콜 오용을 견디거나 부하를 균등하게 분산하면서 정상적인 호스트 또는 사용자에게 서비스를 제공하는 데 집중할 수 있는 역량은 제한적입니다. 공격자에게 인프라를 무너뜨리고 자동화된 제어 장치를 우회하는 데 필요한 공격 역량만 있으면 충분한 경우도 있습니다.
공격자 역량, 리소스 및 의도의 명백한 진화
FS-ISAC와 Akamai의 2025년 6월 보고서인 성가신 문제에서 전략적 위협으로 성장: 금융 부문을 겨냥한 DDoS 공격에 이러한 트렌드가 자세히 나와 있습니다.
이 보고서에서는 이렇게 말합니다. "실제로 2024년에 가장 효과적이었던 DDoS 캠페인의 특징으로는 단순한 규모가 아닌 전략적 정찰과 민첩한 실행을 들 수 있습니다."
"2024년에는 체계적인 조사와 적응형 전략을 포함하는 고급 다중 기법 DDoS 전략을 채택한 공격자가 증가했습니다. 이는 공격자들이 실시간으로 방어 체계를 분석하고 자동화된 보호 기능을 우회하기 위해 동적으로 방법을 조정할 수 있는 역량을 갖추고 있음을 보여줍니다. 공격자 역량, 리소스 및 의도의 명백한 진화를 나타내는 현 상황으로 인해 금융 서비스 부문에 대한 DDoS 공격의 위협 수준이 증가합니다."
예
2024년의 마지막 3개월 동안 아시아 태평양 지역 내 20개 이상의 개별 금융 기관이 전례가 없으며 고도로 정교한 DDoS 공격 캠페인의 영향을 받았습니다. 사이버 범죄자들은 다양한 기법을 상대적으로 적게 활용해 이러한 기관이 보유하고 있는 DDoS 방어 체계의 실제 수준을 능숙하게 조사하고 테스트했습니다.
공격 트래픽의 양이 보통 수준이었음에도 불구하고 기법과 대상 IP를 복잡하게 혼합한 결과, 순전히 자율적인 여러 온프레미스 DDoS 방어 서비스가 제 기능을 하지 못해 최종 사용자가 며칠에 걸쳐 상당한 값을 치르게 되었습니다.
대부분의 DDoS 방어 솔루션이 광고했던 용량 제한보다 공격 트래픽 양이 훨씬 더 낮은 수준이었다는 점에 주목할 필요가 있습니다. 또한 완전 자율형 및 셀프 서비스 DDoS 방어 플랫폼이 마비된 후에는 고객이 이러한 플랫폼에 로그인해 조치를 취하는 것조차 불가능했습니다. 이렇게 공격에 노출되어 무력감을 느끼고 싶은 네트워크 보안 담당자는 아무도 없을 것입니다.
새로운 시대: 분산 방어 거부(DDoD)
Akamai는 지난 몇 년 동안 사이버 범죄자들이 기존의 분산 서비스 거부에서 새로운 분산 방어 거부로 이동하는 새로운 트렌드를 면밀히 관찰했습니다. 아시아 태평양 지역의 공격 사례는 이러한 변화를 공고히 했습니다.
자동화된 DDoS 방어 시스템이 무너지면 공격자는 대량의 악성 트래픽 없이도 네트워크 장애를 유발할 수 있습니다.
아시아 태평양 지역의 예에서 이 접근 방식을 통해 공격자들은 성공적으로 여러 회사를 동시에 몇 주 동안 공격하고 장애를 유발할 수 있었습니다. 이들은 기존의 대규모 공격을 통해 리소스를 소진하는 대신 경제적으로 효율적인 방식으로 봇넷의 '화력'을 활용했습니다.
좋은 소식
Akamai의 DDoS 방어 플랫폼인 Prolexic은 이러한 공격으로부터 고객을 거뜬히 보호해 줍니다. 설계 시 '자동화에만 의존하는 방식'이 실패할 것을 예상하기 때문에 Akamai에는 공격을 모니터링하고 고객과 직접 협업하는 글로벌 SOCC(Security Operations Command Center) 전문가 팀이 상시 대기하고 있습니다.
Akamai의 전문가들은 매일 DDoS 공격에 맞서 싸우고 있으며 공격으로 자동화된 방어 메커니즘의 일부가 뚫릴 경우 배포할 수 있는 다양한 툴을 갖추고 있습니다.
실제로, Akamai는 공격자에 의해 완전 자율형 DDoS 방어 체계가 뚫린 많은 기업으로부터 긴급 DDoS 방어에 대한 외부 요청을 정기적으로 받고 있습니다. 완전 자율형 방어 시스템에 의존하는 벤더사 중 백업 플랜이나 사람의 개입, 긴급 상담 또는 지원 리소스를 제공하지 않는 벤더사가 생각보다 많은 실정입니다.
DDoS 방어 "가용성"의 중요성
보안 시스템의 성능은 공격 당시 네트워크를 방어할 수 있는 역량으로 판가름됩니다. 광고하는 방어 역량이 얼마나 대단하든 정기적으로 가동 중단을 경험하거나, 오프라인 상태가 되거나, 정교한 공격에 의해 쉽게 마비될 수 있는 시스템이라면 무의미할 것입니다.
정교한 DDoS 공격이 발생하는 지금과 같은 시대에 순전히 자율적인 DDoS 방어 플랫폼을 마비시키거나 완전히 비활성화하기는 비교적 쉽습니다. 이러한 플랫폼의 DDoS 방어 용량이 콘텐츠 전송 네트워크(CDN)처럼 다른 서비스와 공유되는 리소스인 경우에 특히 그렇습니다.
시간이 지나면서 Akamai 고객들은 이러한 다각화 전략을 도입하게 되었습니다. 네트워크 보안 담당자는 맞춤형 멀티클라우드 아키텍처를 통해 DDoS 방어 체계를 다각화하고 하나의 플랫폼 전체에서 체계적인 문제가 발생할 리스크를 피할 수 있습니다.
최소 요구사항을 충족하는 것 이상의 조치 필요
규제가 엄격한 일부 업계의 많은 엔터프라이즈급 기업과 기관에는 이중 DDoS 벤더사 전략이 필요합니다.
실제로, 많은 엔터프라이즈급 고객이 다양성 요구사항을 충족하기 위해 "적당히 괜찮은" 차선의 공급업체를 선택하지만 중요한 자산을 보호할 때는 검증되고 잘 설계된 솔루션을 사용합니다. 베니티 도메인, Q&A 환경 및 기타 중요하지 않은 기능을 포함한 다른 자산에는 저비용 솔루션을 사용합니다.
모든 기술 기반 솔루션이 의도하지 않은 가동 중단을 경험하고 그에 따라 고객에게 영향을 미칠 수 있다는 점을 잘 알고 있으며, 당사 또한 과거에 가동 중단을 겪어본 적이 있습니다. 하지만 정작 공격 발생 시 사용할 수 없는 DDoS 솔루션에 핵심 네트워크 자산이나 중요한 것으로 정의된 네트워크 자산을 어느 정도까지 맡기시겠습니까?
최종 사용자의 40%가 서비스에 접속할 수 없지만 DDoS 방어 서비스 공급업체는 인터넷 기반 서비스가 가동 중이라고 주장하는 경우 이는 합리적인 결과일까요? 당연히 아닐 것입니다.
여러분의 DDoS 방어는 공유 사무실입니까? 아니면 전용 사무실 건물입니까?
어떤 기업은 '십여 개의 회의실과 사무실, 그리고 휴식 공간'을 갖추고 있다고 자랑합니다. 언뜻 들으면 좋아 보입니다. 코워킹 스페이스에 공용 책상을 갖다 놓고 끊임없이 재사용한다는 걸 알기 전까지는 말입니다.
이것이 바로 풀링된 DDoS 역량의 실체입니다. 하나의 공간을 모든 필요에 최대한 활용하는 것입니다. 진정한 보호는 모든 팀이 저마다의 공간을 차지하고 운영하면서 다른 팀에 그 공간을 내어줄 필요가 없도록 전용 층, 회의실, 사무실을 갖춘 전용 사무실 건물과 같습니다.
어떤 DDoS 방어 벤더사는 네트워크의 총 용량을 자체 CDN뿐 아니라 모든 방어 기능 간에 공유한다고 광고합니다. 이때 네트워크 보안 전문가는 이런 질문을 던져봐야 합니다.
공격이 발생할 때 DDoS 방어에 실제로 사용할 수 있는 '총 용량'은 얼마인가?
네트워크 거점(POP)이 이미 정상적인 트래픽으로 포화된 경우 방어 체계를 통해 실제로 DDoS 공격을 처리할 수 있는가?
DDoS 방어를 위한 Akamai의 전문화된 전용 인프라
Akamai는 DDoS 방어를 위한 전문화된 전용 인프라를 통해 안정성 향상, 장애 지점 감소, 전반적인 리스크 감소 등의 이점을 얻을 수 있다고 생각합니다. 당사는 개별 고객을 위한 방어 체계를 조정하고 최적화하며, 알고리즘을 우회하려는 경우에도 공격에 맞서 싸울 수 있도록 이러한 접근 방식과 고급 자동화, 그리고 전문가들로 구성된 SOCC를 결합합니다.
Akamai는 정교한 DDoS 공격을 방어하기 위해 멀티레이어, 멀티클라우드, 세그멘테이션이 적용된 전용 방어 체계를 제공합니다. 예를 들면 다음과 같습니다.
Akamai Prolexic은 OSI(Open Systems Interconnection) 모델 레이어 3 및 4 DDoS 공격에 대한 전용 방어 체계를 제공합니다.
Akamai Edge DNS 및 Akamai Shield NS53은 DNS에 초점을 맞춘 DDoS 공격에 대한 전용 방어 체계를 제공합니다.
Akamai App & API Protector는 레이어 7(애플리케이션 레이어) DDoS 공격에 대한 전용 방어 체계를 제공합니다.
게다가 Akamai의 엣지 네트워크는 다른 보안 시스템이 가동되기도 전에 DDoS 트래픽을 자동으로 차단합니다. 또한 Akamai Guardicore Segmentation은 사이버 범죄자들이 DDoS 공격을 편리한 연막으로 사용하면서 랜섬웨어로 네트워크에 침입하는 것을 방지하는 데 도움이 됩니다. 즉, Akamai는 모든 포트와 프로토콜에 걸쳐 포괄적인 네트워크 보안을 제공합니다.
현재의 DDoS 환경에서 기업을 보호하는 방법
DDoS 공격은 오래된 방식이고, DDoS 방어가 최소한의 요구사항이 된 것처럼 여겨지는 상황이 된 지는 꽤 오래 되었습니다. 대부분의 성숙한 사이버 보안 솔루션 공급업체가 기본적인 수준의 DDoS 방어를 제공하던 5년에서 7년 전까지는 이 생각이 어느 정도 사실이었습니다.
하지만 지난 3~4년 동안 DDoS 공격 환경이 크게 달라졌습니다. DDoS 공격이 놀랍도록 정교해진 원인은 다음과 같습니다.
AI 기반 툴의 확산
리소스를 충분히 보유한 핵티비스트가 등장하게 된 지정학적 사건
간편하게 이용 가능한 DDoS 공격 대행 서비스
기업과 기관이 오프라인 상태로 전환될 경우 발생하는 비용을 감당할 수 없게 된 상시 온라인 세상의 출현
이러한 환경에서 사이버 범죄자들은 DDoS 방어 시스템을 조사하고 비활성화한 후 피해자를 오프라인 상태로 만드는 정교한 DDoS 공격을 조율하기 위해 TTP를 조정해 왔습니다.
DDoS 공격을 방어하기 위해 취할 수 있는 5가지 조치
네트워크 보안 전문가로서 여러분은 어떤 대응책을 마련해 두었나요? 다음과 같은 다섯 가지 조치로 시작하세요.
강력한 네트워크 보안 체계 개발. 이 체계에는 선제적 탐지, 행동 기반 분석, 자동화 및 사람의 개입에 대한 지능적 조합이 깔려 있습니다. 자동화된 방어 체계에만 의존하면 일관성과 방어 품질이 위험해질 뿐입니다.
공격자의 행동을 이해하고 빠른 방어를 위한 기준 수립. 공격자가 API 취약점을 조사하거나 애플리케이션 레이어 방어 체계를 우회하나요? 스푸핑되거나 신뢰할 수 없는 소스에서 유래되는 비정상적이고 불규칙한 요청 활동이 있나요? 이는 정교한 DDoS 캠페인의 주요 지표일 수 있습니다.
전용 방어 용량을 갖춘 DDoS 방어 플랫폼 도입. 이러한 플랫폼은 공유 용량이 아닌 전용 용량을 갖춰야 하며, 반복적으로 사용 불가 상태가 된 이력이 없습니다. 자동화된 방어 체계를 보완할 수 있는 SOCC팀이 있나요? 자율형 DDoS 방어 플랫폼 자체가 단일 장애 지점이 되지 않게 하세요. 그리고 용량에 대한 이야기를 하고 있지만 주요 수치를 염두에 두고 어떤 종류의 공격이 보고되고 있는지 반드시 확인하세요.
인시던트 대응 계획이 최신 상태인지 확인. 이 계획에는 명확하게 정의된 역할, 통신 채널, 사전 정의된 DDoS 공격 방어 전략을 갖춘 위기 대응팀이 참여해야 합니다.
FS-ISAC 및 Akamai에서 개발한 DDoS 방어 성숙도 모델로 현재 네트워크 보안 체계 벤치마크. 여기에 더해 보안의 성숙도를 높일 수 있는 개선 영역을 파악하세요(그림 2).
Fig. 2: The DDoS defense maturity model developed by FS-ISAC and Akamai
DDoS 공격 발생 시 취할 수 있는 7가지 조치
1. 리스크 및 현재의 방어 평가. 먼저 현재의 DDoS 방어 역량을 평가하세요. 기존의 방어 역량은 공격의 규모와 범위를 처리하기에 충분한가요? DDoS 방어 서비스 공급업체와 협력해 지속적으로 발생하는 위협을 평가하고 모든 취약점에 신속하게 대응해야 합니다.
Akamai Prolexic DDoS 방어 플랫폼에 급하게 온보딩해야 하는 경우 Akamai 보안팀에 즉시 문의하세요. |
2. 중요한 IP 공간 및 서브넷 검토. 중요한 서브넷 및 IP 공간을 포함해 가장 중요한 네트워크 리소스가 방어 제어 기능을 통해 보호되고 있는지 확인하세요. 이렇게 하면 공격에 의해 감염될 수 있는 인프라 영역을 제한하는 데 도움이 됩니다.
3. 상시가동형 DDoS 보안 제어 활성화. 상시가동형 보안 제어를 첫 번째 방어 레이어로 배포하세요. 이러한 선제적 접근 방식을 활용하면 인시던트 대응자의 부담이 최소화되고 위기 상황 중 긴급 통합 시나리오의 리스크가 감소합니다.
4. 엣지 기반 클라우드 방화벽 구축. Akamai Prolexic의 Network Cloud Firewall과 같은 엣지 기반 클라우드 방화벽을 배포해 기존의 DDoS 방어 체계를 확장하세요. 이 추가적인 보안 레이어는 네트워크에 도달하기 전에 악성 트래픽을 차단하는 데 도움이 되며, 이로 인해 내부 방화벽 및 시스템에 대한 부하가 감소합니다.
5. DNS 인프라 보호. DNS(도메인 네임 시스템) 공격은 서비스를 중단시키기 위해 일반적으로 사용되는 매우 효과적인 방법입니다. Akamai Edge DNS와 같은 강력한 DNS 솔루션을 사용해 DNS에 초점을 맞춘 공격을 방어하고 Akamai Shield NS53을 동적 프록시로 배포해 온프레미스 또는 하이브리드 DNS 인프라를 안전하게 보호하세요.
6. 인시던트 대응 계획 실행. 잘 준비한 플레이북을 실행에 옮기는 것은 위기 상황에서 침착함을 유지하고 효율적으로 대응하는 데 매우 중요합니다.
7. 애플리케이션 및 API 레이어로 보호 기능 확장. 많은 DDoS 공격이 애플리케이션과 API를 표적으로 삼기 때문에 이러한 구성요소도 반드시 보호해야 합니다. Akamai App & API Protector는 악성 HTTP 요청을 차단하고 포트 443 및 80을 표적으로 삼는 복잡한 DDoS 공격으로부터 애플리케이션을 보호하는 웹 애플리케이션 방화벽(WAF)을 제공합니다.
자세히 알아보기
지금 Akamai 전문가에게 문의해 포괄적인 보안 솔루션에 대해 자세히 알아보세요.
태그
