DDoS 공격은 웹 사이트 또는 서버를 사용할 수 없게 만드는 의도로 서버 또는 네트워크에 과도한 트래픽을 보내는 사이버 공격 유형입니다.
공격 벡터 및 도구
- IoT 기기를 통한 공격: 사물 인터넷(IoT) 기기는 보안이 취약한 경우가 많아 공격자가 DDoS 공격을 위한 봇넷을 구축하는 데 악용될 수 있습니다. Mirai 봇넷은 이러한 공격의 대표적인 예입니다.
- 애플리케이션 계층 공격: HTTP POST 공격, DNS 쿼리 홍수 공격, memcached 서버 공격 등 다양한 애플리케이션 계층 공격이 존재합니다. 이러한 공격은 특정 응용 프로그램의 취약점을 악용하여 서버를 과부하시킵니다.
- 스테이트풀 공격: 공격자가 서버와 연결을 유지하여 서버 리소스를 소모하는 공격입니다. SYN 홍수 공격은 스테이트풀 공격의 대표적인 예입니다.
- 비트코인 채굴 공격: 공격자가 웹사이트 방문자의 CPU 리소스를 사용하여 비트코인을 채굴하는 공격입니다. Coinhive는 이러한 공격에 사용되는 대표적인 JavaScript 코드입니다.
DDoS 공격 종류
DDoS 공격은 크게 볼륨 공격, 프로토콜 공격, 애플리케이션 계층 공격으로 분류됩니다.
1. 볼륨 공격
- SYN 홍수 공격: 서버에 대한 연결 요청을 범람시켜 서버를 과부하시킵니다.
- UDP 홍수 공격: UDP 패킷으로 서버를 범람시켜 서버를 과부하시킵니다.
- ICMP 홍수 공격: ICMP 패킷으로 서버를 범람시켜 서버를 과부하시킵니다.
- HTTP 홍수 공격: HTTP 요청으로 서버를 범람시켜 서버를 과부하시킵니다.
2. 프로토콜 공격
- DNS 쿼리 홍수 공격: DNS 서버에 대한 쿼리를 범람시켜 서버를 과부하시킵니다.
- NTP 증폭 공격: NTP 서버의 취약점을 악용하여 공격 트래픽을 증폭시킵니다.
- SSDP 공격: SSDP 프로토콜의 취약점을 악용하여 공격 트래픽을 증폭시킵니다.
3. 애플리케이션 계층 공격
- HTTP POST 공격: HTTP POST 요청을 사용하여 서버를 과부하시킵니다.
- SQL 주입 공격: SQL 쿼리를 사용하여 데이터베이스 서버를 공격합니다.
- 웹 애플리케이션 공격: 웹 애플리케이션의 취약점을 악용하여 공격합니다.
DDoS 공격 작동 방식
DDoS 공격은 일반적으로 공격자가 여러 개의 봇으로 구성된 봇넷을 사용하여 수행됩니다. 공격자는 봇넷을 제어하여 대상 서버 또는 네트워크에 과도한 트래픽을 보내 서비스를 거부하도록 합니다.
DDoS 공격 영향
DDoS 공격은 다양한 영향을 미칠 수 있습니다.
- 웹 사이트 또는 서비스 중단: 공격으로 인해 웹 사이트 또는 서비스가 사용할 수 없게 될 수 있습니다.
- 수익 손실: 웹 사이트가 다운되면 비즈니스는 온라인 판매를 놓칠 수 있습니다.
- 생산성 손실: 공격은 직원이 작업을 수행하는 능력을 방해할 수 있습니다.
- 평판 손상: 공격은 비즈니스의 평판에 손상을 줄 수 있습니다.
- 데이터 손실: 공격으로 인해 데이터가 손상되거나 도난당할 수 있습니다.
공격 규모 및 추세
- 대규모 공격 증가: 최근 몇 년 동안 DDoS 공격의 규모는 점점 커지고 있습니다. 2023년 1월 Cloudflare는 2.5Tbps 규모의 DDoS 공격을 기록했습니다.
- 지속 공격 증가: 공격 기간이 길어지는 추세입니다. 2023년 Akamai는 평균 공격 지속 시간이 12시간 24분이라고 보고했습니다.
- 새로운 공격 벡터 등장: 공격자들은 새로운 공격 벡터를 지속적으로 개발하고 있습니다. 2023년 8월 Cloudflare는 HTTP/3 프로토콜을 악용한 새로운 DDoS 공격을 발견했습니다.
공격 예시 및 사례
- 2023년 6월 아마존 웹 서비스(AWS) 공격: 2.3Tbps 규모의 DDoS 공격으로 AWS 서비스에 일부 장애가 발생했습니다.
- 2023년 10월 구글 클라우드 공격: 4.6Tbps 규모의 DDoS 공격으로 구글 클라우드 서비스에 일부 장애가 발생했습니다.
- 2023년 12월 대한민국 금융기관 공격: 북한의 해킹 집단이 국내 금융기관에 DDoS 공격을 감행했습니다.