도전과제: 디도스 공격 예방

디도스 공격, 상황 개요

지난 십여 년 동안 지속적으로 확산되어 온 디도스(DDos: 분산 서비스 거부) 공격은 이제 공중 인터넷에 노출된 거의 모든 업계가 당면한 주요 위협 요소 중 하나로 부상하였습니다. 따라서 디도스 보안은 성공적인 보안 전략에서 빠질 수 없는 부분입니다.

디도스 공격은 웹사이트의 오리진 서버에 가짜 요청을 대규모로 전송함으로써 해당 사이트를 다운시키거나 침입하려는 시도로서 일반적으로 여러 위치 및 네트워크에서 동시다발적으로 수행됩니다. 검사를 거치지 않고 이러한 디도스 공격 트래픽을 허용하면 페이지 로딩 속도 저하에서부터 정상 사이트 트래픽의 전면적인 접속 차단에 이르는 다양한 결과가 발생할 수 있습니다.

이러한 유형의 공격은 ‘핵티비스트’나 이윤을 노리는 해커, 정부가 지원하는 해킹 그룹 등 다양한 소스로부터 유발될 수 있습니다. 많은 경우, 디도스 공격은 사용자 또는 관리자가 모르는 사이에 감염 및 조종되는 컴퓨터, 즉 ‘봇넷’의 수적 우위를 활용하여 공격 트래픽을 생성합니다.

디도스 공격 완화

날로 증가하는 디도스 공격의 횟수와 규모를 감안할 때 디도스 공격 탐지 및 차단을 계획하는 일은 IT 부서의 중요한 역할이 아닐 수 없습니다. 대형 디도스 공격에 대처할 만큼 큰 규모의 인프라를 구축한다는 것은 거의 불가능한 일이므로, 거의 모든 업계에서 갈수록 더 많은 웹 자산 소유자들이 Akamai의 Kona Site Defender와 같은 솔루션을 배포하는 추세에 있습니다. Kona Site Defender와 같은 클라우드 기반 솔루션은 내재된 확장성과 글로벌한 기능을 바탕으로 대부분의 일반 디도스 공격 유형 뿐 아니라 웹 애플리케이션에 대한 공격(SQL 주입, 크로스 사이트 스크립트 등) 및 오리진 직접 공격 등을 차단합니다.

Kona Site Defender의 디도스 공격 차단 방식

디도스 공격을 차단하기 위해 Kona Site Defender는 애플리케이션 레이어를 공격하는 디도스 트래픽을 흡수하고, SYN Flood 또는 UDP Flood와 같이 네트워크 레이어를 공격하는 디도스 트래픽을 차단하며, 네트워크 경계에서 유효한 트래픽의 인증을 수행합니다. 이 내장 보호 기능은 “상시 실행”되며 포트80(HTTP) 또는 포트443(HTTPS) 트래픽만을 허용합니다. 초과 사용 요금에 상한선을 두어 사용자를 디도스 트래픽으로 인한 서비스 요금 과다 지출로부터 보호할 수 있으며 유연한 캐싱은 오리진으로부터의 오프로딩을 최대화해 줍니다.

추가적인 보호를 위해 많은 기업들은 서비스 거부 공격으로 도메인 네임 서버에 과부하가 걸리고 피해를 입는 것을 방지해 주는 Akamai의 Fast DNS 솔루션과 같은 방어 레이어를 추가합니다. 이 두 가지 솔루션은 총 102개국 이상에 있는 1,300 네트워크 전반에 배치된 170,000대 이상의 서버로 구성된 Akamai Intelligent Platform™의 힘을 발휘하게 해 줍니다.

디도스 공격 트래픽 차단에 도움이 되는 Akamai의 글로벌 스케일

전 세계적인 배포와 방대한 스케일을 갖춘 Akamai Intelligent Platform™은 트래픽 재라우팅 및 성능상의 영향 없이 웹사이트 가용성을 일정하게 유지하게 위해 설계되었습니다. Akamai는 매일 평균 5.5Tbps의 트래픽을 처리하며 8Tbps 이상의 피크 트래픽까지 처리한 바 있습니다. 그 뿐 아니라 디도스 차단 기능이 경로에 기본적으로 구현되므로 보호 기능이 고객 오리진에서 실행되지 않고 요청 지점에서 하나의 네트워크 홉을 건너뛴 위치에서 바로 실행됩니다.

DDoS 보호에 대한 자세한 내용을 참조하십시오.