2016년 연말연시 쇼핑 시즌 주의보

저자: Benjamin Brown

Executive Summary

2016년 연말연시 쇼핑 시즌이 얼마 남지 않았습니다. 인파가 몰려드는 오프라인 매장보다 편리한 온라인 구매를 선호하는 고객이 점점 늘고 있습니다. 이러한 점을 고려하면, 지금은 유통업체의 디지털 자산이 직면할 수 있는 잠재적 위협과 이에 대한 대응 방안을 검토하기에 적절한 시기입니다. 먼저 정상적인 트래픽이 무엇인지, 그러한 트래픽이 시간에 따라 어떻게 변화하는지에 대해 이해하는 것이 좋습니다. 사용자가 트래픽과 더불어 DDoS 공격, 크롤러, 스크레이퍼, 스패머, 스캘퍼, 어카운트 체커, DNS 하이재커, 멀웨어 푸셔와 같은 악성 트래픽이 증가하는 경우 어떻게 대처할지를 준비할 수도 있습니다.

과거 트래픽 패턴과 갑작스러운 쇼핑객 집중 현상

아래 그래프처럼 온라인 쇼핑몰을 사용하는 쇼핑객들이 늘어남에 따라 이들의 온라인 쇼핑 행태를 세부적으로 조사하는 일이 중요해졌습니다. 쇼핑객의 쇼핑 방식뿐 아니라 쇼핑객의 쇼핑 시간도 변화하고 있습니다. 전국 유통업체 연합(National Retail Federation)의 2015년 휴가철 조사에 따르면 추수감사절 주말에 쇼핑한 소비자 중 4,100만 명(40%)이 추수감사절 당일에도 온라인에서 쇼핑했다고 답했습니다. 유통업체들은 주로 블랙 프라이데이와 주말, 사이버 먼데이에 많은 관심을 쏟았지만, 이제는 추수감사절에 트래픽이 증가할 가능성도 염두에 두어야 합니다. 대비하지 않으면 정상적인 트래픽이 급증할 때 사이트가 다운될 수 있습니다.

Holiday Threat Advisory NRF

순수 쇼핑객의 트래픽이 항상 일정하거나 예측 가능한 패턴으로 변화하지는 않기 때문에, 온라인 쇼핑 사이트는 DDoS 공격과 매우 유사해 보일 수 있는 플래시몹 현상(갑작스럽게 쇼핑객이 급증하는 상황)과 정상적인 트래픽 급증에 대비해야만 합니다. 이를 구분하는 한 가지 방법으로는 클라이언트의 요청 비율을 확인하는 것이 있습니다. 플래시몹 현상은 디지털 자산을 통해 상호작용하는 수많은 사람들에 의해 발생하므로 클라이언트 수는 많고 요청 횟수는 상대적으로 적습니다. 반면, 대부분의 DDoS 공격은 클라이언트 수는 중간에서 대량이며 클라이언트당 요청 횟수는 많습니다. 플래시몹 현상에 효과적으로 대응하는 방법 중 하나는 어떤 콘텐츠의 요청 횟수가 많을지를 파악하고 이에 맞추어 효율적인 캐싱/부하 분산을 설정하는 것입니다. 정적 콘텐츠를 전략적으로 사용하면 플래시몹 현상으로 인한 대규모 요청 때문에 사이트에 가해지는 부담을 크게 줄일 수 있습니다. Akamai 고객사라면 Akamai 계정 담당팀에 연락하여 이러한 이벤트를 대비하기 위한 사이트 설정 평가 및 최적화 지원을 받을 수 있습니다.

DDoS

정상적인 트래픽 폭주와 별개로 유통업체는 DDoS 형태의 악성 트래픽에도 대비해야 합니다. Poodle Corp나 Lizard Squad처럼(이들이 사용한 DDoS 툴 스크린샷은 아래에 있음) 세상에 이름을 알리려는 젊은 해커 집단이거나 Anonymous와 같은 유명한 '핵티비스트' 집단의 정치적 활동일 수도 있습니다. 아니면 러시아 은행에 대한 공격에 보복하려는 동유럽 지역의 공격자들일 수도 있습니다. DDoS는 계정 탈취나 데이터 유출과 같은 공격자의 진정한 목적을 은폐하거나 주의를 분산시킬 목적으로 이용되기도 합니다.

DDoS 차단을 위한 효과적인 첫 단계는 웹사이트와 외부 인터넷 환경 사이에 WAF(Web Application Firewall)를 구축하는 것입니다. 최신 룰 세트를 업데이트했는지 확인하고 활성화된 룰이 설정과 인터넷 자산에 적합한지 검토할 필요도 있습니다. 예상되는 정상적인 트래픽에 속도 제한 룰을 적용하는 것도 효과적입니다. 목표 소비자군에 해당하지 않는 지역의 트래픽을 거부하는 방법도 고려할만 합니다. 알려진 익명 프록시를 통한 트래픽을 차단하는 방법도 괜찮습니다. 또한 기업은 현재 DNS의 신뢰도를 검토하고 추가 또는 백업 DNS 사업자가 필요한지 확인해야 합니다. 최근 Dyn DNS 공격으로 중앙 집중식 DNS가 얼마나 위험한 상황을 겪을 수 있는지가 입증되었습니다. 가능한 공격 시나리오와 자사에 적용할 수 있는 방어 수단을 사전 대응 플레이북으로 정리해 두십시오. 팀 전체가 가상 모의 연습 및 공격 시나리오를 수행함으로써 플레이북의 완성도를 높일 수 있습니다. 이후에 시뮬레이션을 검토할 때는 플레이북을 수정하고 개선하는 데 시간과 노력을 할애해야 합니다. 끊임없이 변화하는 변수가 포함된 시뮬레이션을 반복하고, 공격 시나리오를 결합·연결하고, 전문 해커를 테스터로 초빙하여 인시던트 대응 요령을 가다듬는 방안도 고려해 보십시오. 관련 분야의 사업자와 협력하여 대응 시간을 개선하고 사용 시스템에 대한 명확한 통신 프로토콜을 확립하되 해당 사업자에게 관리 권한을 전적으로 부여하지는 않도록 합니다.