갈수록 기승부리는 디도스 공격, 일회용 대응 아닌 복합적 대응 전략 필요해
디도스 대응 솔루션에 대한 사용자 선호도 조사 결과
디도스 대응 솔루션 집중분석: 펜타시큐리티, 넷스카웃, 지코어, 시큐아이
[보안뉴스 원병철 기자] 2024년 11월 국방부와 환경부, 법원 등 공공기관은 물론 민간기업까지 노린 디도스(DDoS) 공격이 최장 2개월 이상 지속됐다. 또한 같은 해 2월에는 국내에서 생방송으로 진행된 온라인 게임 대회가 디도스 공격으로 중단되는 사건도 있었다. 과기정통부는 ‘2024년 사이버위협 사례 분석 및 2025년 전망 발표’를 통해 2025년 정부 공공 및 민간기업을 가리지 않고 지속적인 증가추세를 보일 것이라고 밝혀 디도스 위협에 대한 대응책 마련을 촉구한 바 있다. 이에 <보안뉴스>는 디도스 공격이 기업에 어떤 영향을 미치는 지와 대응하는 방법 등을 살펴보고 전문 대응 솔루션까지 소개하는 자리를 마련했다.
[이미지=gettyimagesbank]
2024년 한국인터넷진흥원에 접수된 민간 분야 침해사고는 총 1,887건(상반기 899건, 하반기 988건)이며, 이중 디도스 공격 침해사고는 총 285건(상반기 153건, 하반기 132건)으로 전체 침해사고의 15.1%에 달한다. 이는 서버 해킹(56%) 다음으로 가장 많은 공격이며, 심지어 악성코드 감염(12.1%)보다 많은 수치이기도 하다.
디도스 공격, 1990년대 최초로 등장
디도스(DDoS) 공격은 분산 서비스 거부(Distributed Denial of Service)의 줄임말로, 다수의 서버나 PC 등을 이용해 대량의 트래픽을 특정 서버나 네트워크에 보내 정상적인 사용자가 서비스를 이용하지 못하게 하는 공격이다. 쉽게 설명하면 물건을 사러 마트에 갔는데, 세일기간이라 수십~수백명의 손님이 갑자기 몰려들어 계산대가 마비되어 물건을 사지 못하는 경우라 할 수 있다. 즉, 너무나 많은 손님(트래픽)이 몰려 내가 계산대(웹사이트)에 접근하지 못하는 상황인 셈이다.
세계 최초의 디도스 공격은 여러 의견이 있지만, 미국의 ISP(인터넷 서비스 제공사, Internet Service Provider)인 Panix가 1996년 9월 6일 SYN 플러드 공격을 받은 것이 최초의 디도스 공격으로 알려졌다. 당시 Panix는 며칠 동안 서비스가 중단되는 피해를 보았다. 또한 역사상 가장 큰 디도스 공격은 2024년 5.6Tbps(테라비트/초)의 공격이었으며, 이 공격은 클라우드 플레어(Cloudflare)가 차단에 성공한 것으로 알려졌다.
1999년 이후 디도스 공격은 Ping of Death, Tear Drop, Smuff, Land Attack 등 비교적 단순한 형태의 DoS 공격으로 이뤄졌다. 2005년부터는 디도스 방어 인프라를 압도하기 위해 다수의 봇넷(Botnet)으로 대규모 트래픽을 유발하는 DDoS/DRDoS 공격과 DDoS for Hire(돈을 받고 디도스 공격을 수행해 주는 시스템) 공격이 등장했다. 현재는 대응 시스템을 우회하거나 압도하기 위한 고도화된 신규 디도스 공격 유형이 등장했으며, 랜섬웨어와 디도스 공격을 합한 랜섬 디도스(Ransom DDoS)도 등장했다. 아울러 CDN 서비스와 클라우드 서비스 등을 통해 대규모 디도스 공격을 대응할 수 있는 대응 시스템도 활성화됐다.
▲유형별 침해사고 신고 현황 [자료: KISA]
디도스 공격 대응, 복합적 방어 전략이 필요하다
디도스 공격은 다수의 서버와 PC, 그리고 최근에는 인터넷이 연결된 IoT 기기를 이용해 비정상적인 트래픽을 유발해 대상 시스템을 마비시키는 공격이다. 공격자는 취약한 서버를 공격해 악성코드를 배포하고, 유포지나 경유지 서버에서 악성코드를 내려받은 서버와 기기를 이용해 봇넷을 구축한다.
공격자는 봇넷에 공격 명령을 전달해 대규모의 트래픽을 유발(DDoS 공격)하거나 취약한 서버를 악용해 반사 공격(DRDoS 공격)을 수행한다. 봇넷은 악성코드 등에 감염된 PC나 서버, IoT 기기로 구성된 네트워크 집단을 말하며, 주로 공격자의 공격 도구로 사용된다.
한국인터넷진흥원의 구분법에 따르면 디도스 공격은 크게 △대역폭 공격 △자원 소진 공격 △웹/DB 부하 공격으로 나뉜다. 각각의 공격마다 특징이 있으며, 이에 대응하는 방법도 각각 다르다. 모든 디도스 공격은 공격을 수행하는 봇넷의 규모에 따라 위험도가 비례하고, 통상 대부분의 공격은 여러 공격 유형을 혼합하는 멀티 벡터(Multi Vactor) 공격을 사용한다. 디도스 공격을 섞어서 진행할 경우 공격 식별은 물론 대응도 어려워진다.
여러 공격 방법 중 대표적인 ‘UDP Flooding’ 공격을 통해 대략적인 개념을 살펴보자.
UDP Flooding은 대역폭 공격 중 가장 대표적인 공격 방식이다. 데이터를 전송할 때 TCP 프로토콜의 연결지향(Connection-oriented)이 아닌 UDP 프로토콜의 비연결형(Connectionless) 특성을 악용한 공격이다. 공격자는 사전에 악성코드 등을 이용해 확보한 봇넷을 이용해 목표 서버로 대규모의 UDP 패킷(Paket)을 전달한다. 대규모의 UDP 패킷이 목표 시스템에 전달되면서 회선 대역폭을 고갈시킨다. 이에 대응하기 위해서는 UDP 패킷을 차단하거나 디도스 방어 시스템을 이용해야 한다.
이처럼 디도스 공격에 대응하기 위해서는 그에 맞는 대응 방법을 갖춰야 한다. 이에 대해 안랩은 “일반적으로 DDoS 대응 솔루션은 각 공격 유형에 맞는 방어 기법을 적용하고 있지만, 모든 유형의 공격을 100% 차단할 수 있는 것은 아니며, 효과적인 방어를 위해서는 복합적인 방어 전략을 조합하여 대응하는 것이 중요하다”고 설명한다.
예를 들어, 네트워크 대역폭을 소진시키는 ‘플러딩 공격’은 ACL(Access Control List) 설정, 패킷 필터링, 레이트 리미팅 등을 적용해 차단하며, 클라우드 기반 스크러빙 서비스를 활용하면 대규모 공격 방어에 효과적이라는 설명이다. 또한 SYN Flood 공격은 SYN Cookie를 적용해 정상적인 연결 요청을 구별하고, 네트워크 방화벽이나 IPS(침입 방지 시스템)를 통해 추가적인 보호가 가능하다고 덧붙였다.
넷스카우트는 “최근 디도스 공격 유형을 보면 수십~수백만개의 봇넷을 활용해 공격하기 때문에 임계치 기반의 대응을 무력화시키는 임계치 이하 공격, 대응하기 어려운 DNS 및 애플리케이션 공격, 수치 기반의 디도스 대응 솔루션으로는 대응이 어려우며, 주기적으로 업데이트되는 위협 정보와 공격 유형에 따른 다양한 애플리케이션 차단 정책, TLS 복호화와 AI/ML 기반 지능형 디도스 방어 기술을 통해 알려진 디도스 공격뿐만 아니라 최근 진화된 신규 디도스 공격에 대응해야 한다”고 설명했다.
최근 가트너는 디도스 공격을 원천적으로 차단하고 방어하는 것이 불가능하다고 보고, 공격 차단보다는 완화(Mitigation)에 초점을 맞추는 것이 필요하다고 발표한 바 있다.
▲국내외 대표 디도스 대응 솔루션 [자료:각 사 제공, 보안뉴스 정리]
디도스 대응 솔루션의 핵심 기술들
디도스 대응 솔루션은 탐지-필터링-방어-운영 분석의 과정을 거쳐 종합적인 보안을 제공하며, 과정별로 다양한 기술을 활용해 네트워크와 애플리케이션을 보호한다. 특히 최근에는 클라우드 환경이 늘어나면서 기업 환경에 맞게 온프레미스와 클라우드, 그리고 하이브리드 솔루션을 조합해 최적의 방어 전략을 수립하는 것이 중요하다. 그렇다면 디도스 대응 솔루션에는 어떤 기술들이 사용될까?
공격 탐지 및 이상 트래픽 분석
DDoS 공격을 효과적으로 대응하기 위해서는 정상적인 트래픽과 악성 트래픽을 정확하게 구분하는 것이 필수적이다. 이를 위해 행위 기반 이상 탐지(Behavioral Analysis) 기술이 사용되며, AI 및 머신러닝(ML)을 활용해 트래픽 패턴을 학습하고 비정상적인 행위를 감지한다. 공격 탐지 및 이상 트래픽 분석을 위해서는 기존에 알려진 DDoS 공격 패턴(시그니처)을 데이터베이스에 저장하고, 새로운 요청이 기존 공격 패턴과 일치하는지 확인해 차단하는 시그니처 기반 탐지(Signature-based Detection) 방식이 사용된다. 이와 함께 단일 IP 또는 특정 사용자 그룹이 과도한 요청을 보내면 자동으로 제한하는 레이트 리미팅(Rate Limiting) 기술도 사용된다.
트래픽 필터링 및 방어 기술
공격으로 탐지된 악성 트래픽을 효과적으로 차단하기 위해 다양한 트래픽 필터링 및 방어 기술이 적용된다. IP 블랙리스트 및 화이트리스트(IP Reputation & Blacklist) 기능은 악성 IP 리스트(블랙리스트)를 유지하고, 공격 원점이 된 IP를 차단하는 방식이다. 반대로 화이트리스트를 활용하면 정상 사용자의 접근을 보장할 수 있다.
또한, 트래픽 분산 및 우회(Scrubbing & Traffic Diversion) 기술은 공격 트래픽을 클라우드 기반 스크러빙 센터로 우회해 정화하는 방식이다. 이를 통해 정상적인 요청만 필터링해 원래 서버로 전달할 수 있다.
L3/L4 네트워크 계층 보호
DDoS 공격 중 상당수는 Layer 3, 4에서 발생하며, 이를 방어하기 위한 다양한 기술이 존재한다. 패킷 필터링 및 ACL(Access Control List) 기술은 네트워크 레벨에서 특정 패킷 유형을 차단하는 방식으로, ICMP Flood, UDP Flood 등의 패턴을 감지해 불필요한 트래픽을 필터링한다. 이와 함께 SYN Cookie(TCP SYN Flood 방어) 기술은 쿠키값을 활용해 정상적인 연결 요청인지 확인하는 방식이다.
이를 통해 공격자가 TCP 연결을 무한정 열려고 해도, 서버 리소스를 소비하지 않도록 방어할 수 있다. BGP Flowspec(Border Gateway Protocol) 기술은 ISP 네트워크 레벨에서 DDoS 트래픽을 차단하는 방식이다. 악성 트래픽을 네트워크 라우팅 단계에서 차단해 대상 서버까지 도달하지 않도록 하는 것이 핵심이다.
L7 애플리케이션 계층 보호
웹 서비스 및 애플리케이션을 노리는 L7 DDoS 공격을 방어하기 위해 다양한 보호 기술이 적용된다. 웹 애플리케이션 방화벽(WAF, Web Application Firewall)은 HTTP 기반 DDoS 공격(예: HTTP GET/ POST Flood)을 차단하는 역할을 하며, 정상적인 요청과 악성 요청을 구분해 애플리케이션을 보호한다. 또한, 봇 탐지 및 관리(Bot Management) 기술은 AI 기반 탐지 솔루션을 활용해 자동화된 봇과 정상 사용자를 구별하는 기능을 제공한다. 캡챠(CAPTCHA) 및 추가 인증 요청을 적용하는 기술은 의심스러운 요청이 많을 경우 자동으로 CAPTCHA를 적용해 공격을 완화하는 방식이다.
클라우드 기반 DDoS 대응 기술
클라우드 환경에서 제공되는 DDoS 보호 서비스는 대규모 공격을 효과적으로 차단할 수 있다. CDN 기반 보호(Content Delivery Network) 기술은 CDN을 활용, 웹 콘텐츠를 전 세계에 분산해 공격 트래픽을 분산시키는 방식이다. 특정 서버가 집중 공격을 받더라도 CDN 네트워크가 트래픽을 분산해 방어할 수 있다. 또한, AI/ML 기반 DDoS 탐지 기술은 인공지능(AI)과 머신러닝(ML) 알고리즘을 활용해 DDoS 패턴을 학습하고 자동으로 완화하는 방식이다.
국내외 디도스 대응 솔루션 시장 성장 거듭
현재 디도스 대응 솔루션 시장은 성장을 거듭하고 있다. 글로벌 리서치 기업 GII에 따르면 디도스 보호(DDoS Protection) 시장 규모는 2024년 41억2000만달러(한화 약 6조 502억원)로 추정되며, 2029년까지 연평균 성장률 14.0%를 기록해 2028년 80억 1,000만달러(한화 약 11조 7626억원)에 이를 것으로 예측됐다. 보고서는 코로나19 펜데믹으로 인해 작업환경이 모두 웹으로 전환됐으며, 디도스 공격 또한 이렇게 변화된 환경을 대상으로 발전하고 있다고 설명했다. 또한 GMI도 보고서를 통해 디도스 보호 및 완화 보안 시장 규모가 2023년 40억달러(한화 약 5조8752억원)이며, 2032년까지 연평균 성장률 15%로 138억달러(한화 약 20조2625억원)에 달할 것으로 내다봤다.
넷스카우트는 “국내 디도스 대응 솔루션 시장은 2024년부터 2032년까지 약 1000억원에서 1800억원으로 성장할 것”으로 예상했다.
F5도 국내 시장 역시 “수천억원대 규모를 형성하고 있으며, 금융과 공공, 대기업 등의 보안 수요가 증가함에 따라 시장이 더욱 확대되고 있다”고 설명했다.
안랩은 “최근 사이버 공격 빈도와 정교함이 증가해 디도스 보호 서비스에 대한 수요가 증가하고 있다”면서, “특히 2024년 11월 정부기관 대상 디도스 공격이 늘어나면서 국가 기반 차단 기능과 IP 평판 조회에 대한 니즈가 계속해서 증가하고 있다”고 설명했다. 아울러 “최근에는 기업이 제공하는 온라인 서비스의 가용성을 방어하는 관점에서 L7 DDoS 방어에 대한 니즈도 증가하고 있으며, HTTP 3.0 트래픽 증가로 이에 대한 대응 요구도 증가하고 있다”고 덧붙였다.
한편, F5는 “최근 기업들이 클라우드와 하이브리드 환경으로 전환하면서, 온프레미스와 클라우드 기반의 디도스 방어를 병행할 수 있는 솔루션에 대한 수요가 높아지고 있다”고 강조하고, “SSL 암호화 트래픽을 악용한 공격도 늘고 있어 고성능 SSL 복호화와 탐지기술 역시 주요한 요소로 자리 잡고 있다”고 설명했다.
▲디도스 대응 솔루션 인식 및 선호도 조사 ‘디도스 공격 경험’ [자료: 보안뉴스]
디도스 대응 솔루션에 대한 사용자 선호도 조사
그렇다면 실제 사용자들의 디도스 대응 솔루션에 대한 생각은 어떨까? <시큐리티월드>와 <보안뉴스>는 사용자들의 의견을 알아보기 위해 2025년 3월 11일부터 14일까지 4일간 보안담당자들에게 ‘디도스 대응 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에서는 공공(26.8%)과 민간(73.2%)의 보안담당자 1,493명이 응딥했다.
먼저 디도스 공격을 받은 적이 있는지를 물어봤다. 40.9%가 공격 시도는 있었으나 사고로 이어지지는 않았다고 답했고, 24.2%는 있다고 답했다. 응답자의 65.1%가 디도스 공격을 받은 것이다.
그렇다면 어떤 방식의 디도스 공격을 받았을까? 무려 33.8%의 사용자가 △SYN Flooding: TCP 연결 과정의 약점을 노려 서버 자원을 소모시키는 공격을 받았다고 답했다. 이어 28.4%는 △HTTP Flooding: 웹 서버를 대상으로 대량의 HTTP 요청을 보내는 공격을 받았다고 답했고, 21.6%는 △UDP Flooding: UDP 프로토콜을 이용해 대량의 패킷을 보내 네트워크 대역폭을 소모시키는 공격을 받았다고 답했다.
이어 15.5%는 △TCP SYN Flooding: TCP 연결 과정에서 대량의 SYN 패킷을 보내고, 응답을 기다리지 않아 서버의 연결 대수를 가득 채워 새로운 연결 요청을 처리하지 못하게 하는 공격을, 13.5%는 △DNS 증폭 공격: 대량의 DNS 요청을 보내 DNS 서버가 대량의 응답을 하도록 유도해 서버를 마비시키는 공격을, 12.2%는 △ICMP Flooding: ICMP 에코 요청 패킷을 대량으로 보내 서버를 과부하 상태로 만드는 공격을 받았다고 답했다.
▲디도스 대응 솔루션 인식 및 선호도 조사 ‘디도스 공격 대응 관리’ [자료: 보안뉴스]
이외에도 10.1%는 △NTP 반사 및 증폭 공격: 정상적인 NTP 서버의 트래픽을 사용한 공격을, 4.7%는 △UDP 반사 공격: 공격자가 타깃 시스템의 IP 주소로 UDP 요청을 보내고, 그 응답이 대량으로 발생하도록 해 과부하를 일으키는 공격을, 4.7%는 △CLDAP 반사 및 증폭 공격: 공격 대상 IP 주소로 도용하고 LDAP 서버로 CLDAP 요청을 보내는 공격을 받았다고 답했다. 디도스 공격은 여러 번 받을 수 있기에 복수 응답으로 받은 결과였다.
디도스 공격을 받은 사용자들은 얼마 만에 피해를 복구했는지도 물어봤다. 가장 많은 30.2%는 10분 이내에 피해를 복구했다고 밝혔다. 하지만 20.1%는 1시간 이내에 복구했다고 답했으며, 14.1%는 24시간 이상 걸렸다고 답해 생각보다 긴 시간 동안 피해를 본 사용자들도 많은 것으로 조사됐다.
그렇다면 사용자들은 디도스 대응을 위해 사내 네트워크와 시스템을 어떻게 관리하고 있을까? 49.7%는 보안 또는 IT 담당 부서에서 대응한다고 답했고, 20.1%는 방화벽 등 기존 보안 솔루션을 통해서 관리한다고 답했다. 또한 경영진의 낮은 관심과 예산 부족 등을 통해 관리하지 않는다는 답변도 5.4%에 달했다. 다만 12.1%가 디도스 공격에 특화된 솔루션을 도입해 관리한다고 답했고, 7.4%는 외부 관제 전문기업을 통해 관리한다고 답했으며, 2.0%가 정부에서 운영하는 사이버대피소와 공격 대응 가이드 등 지원 서비스 활용을 통해 관리한다고 답했다. 실제로 디도스 대응 솔루션을 사용하고 있는지를 묻자 49.0%는 사용한다고 답했고, 10.1%는 사용하지 않지만 1년 내 도입할 계획이라고 답해 절반 이상이 디도스 대응 솔루션을 도입했거나 할 계획임을 밝혔다.
마지막으로 디도스 대응 솔루션의 선택 기준을 묻자 47.0%가 ‘디도스 공격 모니터링 및 차단 성능’을 꼽았으며, 13.4%가 ‘도입 비용’을 선택했다. 또한 12.8%는 ‘기업과 브랜드 인지도’를, 12.1%는 ‘다양한 구축 사례와 레퍼런스’를 각각 선택했다. 이어 7.4%는 ‘사내 IT 인프라와 설비와의 호환성’을 선택했으며, 6.7%는 ‘유지보수와 컨설팅 등 기술지원과 전문 인력의 수’라고 답했다.
▲디도스 대응 솔루션 인식 및 선호도 조사 ‘대응 솔루션 선택 기준’ [자료: 보안뉴스]
디도스 공격 완벽한 대응 어려워...종합적 접근 필요해
현재 국내 디도스 대응 솔루션 시장은 해외시장만큼 수요가 크지 않고, 기업과 기관이 디도스 공격을 단기적 이슈로만 인식하는 경향이 있어 시장의 크기가 생각보다 빠르게 성장하지 못하는 문제가 있다. 다만 디도스 공격이 꾸준하게 발생하고 있고, 랜섬 디도스처럼 다른 사이버 위협과 함께 활용되면서 그 심각성만큼은 많은 사람들이 인지하고 있다.
앞서 가트너가 말했듯 현재 디도스 공격은 완벽하게 막기보다 완화하는 것에 초점을 맞춰야 하는 형편이다. 최근 디도스 공격은 단순한 대용량 트래픽 유발 방식에서 벗어나 저대역폭 공격, 증폭 및 반사 공격 등 다양한 형태로 발전하고 있다. 이러한 공격들은 기존 보안체계를 우회할 수 있어 정교한 탐지 기술이 요구되며, 인공지능(AI) 및 머신러닝을 활용한 보안 시스템이 점점 더 중요해지고 있다.
또한, DDoS 공격의 규모가 기하급수적으로 증가하면서 기존 네트워크 인프라와 보안장비의 트래픽 처리 용량을 초과하는 사례가 늘어나고 있어 고성능의 방어 솔루션이 필요한 상황이다.
실제로 업계에서는 디도스 공격은 단순한 기술적 방어만으로는 해결할 수 없으며, 사전 예방부터 실시간 대응과 사후 복구, 나아가 보안을 강화하는 것까지 포함한 종합적인 접근이 필요하다고 짚는다. 이 때문에 최신 보안 기술을 도입하는 것은 클라우드 기반 보호 솔루션 활용과 실시간 모니터링, 그리고 자동화된 대응 체계를 구축하는 것이 중요하다는 것이다.
이처럼 디도스 공격 대응 프로세스를 수립하는 한편, 조직 전체의 보안 의식을 높이고 체계적인 대응 프로세스를 운영하는 것이 가장 효과적인 디도스 방어 전략이 될 것이며, 조직의 안녕을 지키는 걸음이 될 것으로 보인다.
▲Cloudbric WAF+는 직관적인 UI 및 보안 리포트를 제공한다. [자료=펜타시큐리티]
[디도스 대응 솔루션 집중분석-1]
자동화 공격부터 API 보호까지, 통합 보안 솔루션의 필요성
디도스 공격 대응부터 글로벌 시장 선도까지, WAF의 완벽한 통합보안 전략
2024년 상반기 국내에서 디도스(DDoS) 공격이 전년 대비 46% 증가하며 각 산업에 심각한 위협을 가하고 있다. 기존의 단순한 대규모 트래픽 공격을 넘어 악성 봇 활용, API 악용 등 정교한 방식으로 진화하고 있으며, 이러한 복잡한 위협에 대응하기 위해 통합보안 솔루션(WAAP)의 필요성이 강조되고 있다.
펜타시큐리티의 ‘Cloudbric WAF+’는 DDoS 완화, WAF, API 보안, 악성 봇 차단, 위협 IP 차단을 포함한 WAAP 기능을 제공하며, 글로벌 보안 어워드 수상 경력을 통해 성능을 입증해 왔다. 특히 일본 시장에서는 2017년 대비 2024년 매출 성장률이 6,163%를 기록하며, IT 트렌드 연간 랭킹 WAF 부문 1위에 오르는 성과를 거뒀다. Cloudbric WAF+는 강력한 보안 성능과 현지화된 지원 서비스, 사용자 친화적 대시보드로 글로벌 시장에서 신뢰받는 보안 솔루션으로 자리매김하고 있다.
최근 국내 산업 전반을 강타한 디도스(DDoS) 공격, Cloudbric WAF+가 제시하는 완벽한 대응책
2024년 상반기, 국내 디도스(DDoS, Distributed Denial of Service) 공격이 폭발적으로 증가하며 각 산업 분야에 심각한 위협을 가하고 있다. 무려 83만 건에 달하는 공격이 발생했으며, 이는 전년 동기 대비 46% 증가한 수치다. 이러한 공격의 주요 타깃은 게임 산업으로, 전체 공격의 49%를 차지하며 집중포화를 맞았다. 이어서 기술 산업(15%)과 금융 산업(12%)이 주요 피해 산업으로 이름을 올렸다.
전통적인 디도스 공격은 대규모 트래픽을 발생시켜 네트워크를 마비시키는 방식으로, 기업과 기관의 서비스 운영을 심각하게 방해해 왔다. 그러나 최근에는 한층 더 정교하고 위험한 방식으로 진화하고 있다. 특히, 애플리케이션 취약점을 노려 웹 서버를 직접 공격하는 신종 디도스 공격 기법은 기존 보안체계로는 대응이 어려워 새로운 보안 솔루션의 필요성이 대두되고 있다.
이러한 위협에 대응하기 위해 Cloudbric WAF+는 한발 앞선 보안 기술을 제시한다. 이 솔루션은 네트워크 계층(L3, L4)뿐만 아니라, 애플리케이션 계층(L7)에서 발생하는 모든 유형의 디도스 공격을 효과적으로 완화할 수 있는 스마트 트래픽 필터를 탑재하고 있다.
Cloudbric WAF+의 필터는 IP와 도메인 기반으로 작동하며, 짧은 시간 내에 발생하는 갑작스러운 디도스 공격에도 신속하고 정교하게 대응할 수 있다. 이를 통해 단순한 트래픽 차단을 넘어 기업의 서비스 연속성을 유지하고 운영 안정성을 극대화할 수 있다.
디도스 공격의 빈도와 강도가 지속적으로 증가하고 있는 상황에서, Cloudbric WAF+와 같은 차세대 보안 솔루션은 기업과 기관이 이러한 디지털 위협에 대응할 수 있는 가장 강력한 방패가 될 것으로 기대된다.
진화하는 디도스 공격 대응을 위한 WAAP의 조건
최근 디도스(DDoS) 공격은 단순히 대량의 트래픽을 유발해 네트워크를 마비시키는 전통적인 방식에서 벗어나 악성 봇을 활용한 자동화 공격, 애플리케이션 계층(L7) 공격, API를 악용한 트래픽 유발 등 정교하고 다각적인 방법으로 진화하고 있다. 특히 클라우드 환경과 디지털 서비스의 확산으로 공격 표면이 넓어지면서 기존의 네트워크 기반 방어 전략만으로는 이러한 복잡한 위협을 효과적으로 차단하기 어려운 상황에 직면하고 있다.
오늘날의 디도스 대응은 단순한 트래픽 차단을 넘어, 웹 애플리케이션 방화벽(WAF), API 보안, 악성 봇 완화, 위협 IP 차단까지 아우르는 통합 보안 전략(WAAP)이 요구된다. WAAP(Web Application and API Protection) 솔루션은 디도스 완화뿐만 아니라, 웹과 API를 겨냥한 다양한 사이버 위협을 실시간으로 탐지하고 차단함으로써, 비즈니스 연속성을 보장하고 고객 데이터를 안전하게 보호할 수 있다.
펜타시큐리티의 ’Cloudbric WAF+’는 디도스 방어 서비스를 포함해 WAAP의 모든 요소를 제공하는 클라우드 기반 웹 보안 SaaS(Software as a Service)다. Cloudbric WAF+는 기업 보안에 필수적인 5가지 핵심 서비스를 하나의 플랫폼으로 통합해 제공한다.
- DDoS 완화 스마트 트래픽 필터를 통해 L3, L4 네트워크 계층뿐만 아니라 L7 애플리케이션 계층의 디도스 공격을 신속하게 완화
- 웹 애플리케이션 방화벽(WAF) 딥러닝 AI 엔진과 논리연산 탐지 엔진을 통해 최상위 수준의 웹 공격 차단
- API 보안 OWASP Top 10 API Security를 준수하며 다양한 API 형식(XML, JSON 등) 보호
- 악성 봇 완화(Bot Control) 스파이웨어, 애드웨어, 스팸 봇, 악성 웹 크롤러 등을 자동 차단
- 위협 IP 차단(Malicious IP) 171개국 700,000여 개 사이트의 데이터를 활용해 위협 IP를 사전 차단
Cloudbric WAF+는 20년 이상의 보안 경험을 바탕으로, 숙련된 보안 전문가들이 실시간 관리 서비스를 제공한다. 이를 통해 기업은 지속 가능한 보안 체계를 구축하고, 서비스의 안정성을 극대화할 수 있다.
글로벌 보안 어워드를 휩쓴 Cloudbric WAF+, 최강의 보안 솔루션 입증
펜타시큐리티의 ‘Cloudbric WAF+’는 혁신적인 클라우드 보안 기술력을 바탕으로 개발된 국내 최초의 클라우드 기반 웹 보안 SaaS(Software as a Service)로, 2015년 출시와 동시에 미국 국가사이버보안협의회(NCSAM) 챔피언에 2년 연속 선정되며 글로벌 보안 시장에서 주목받았다.
출시 이후에도 Cloudbric WAF+는 SC Award Europe ‘Best SME Security Solution’(2016), Cybersecurity Excellence Awards ‘Best Web Application Security’, ‘Best Website Security’ Gold(2022), Globee® Awards for Cybersecurity ‘Web Application Security and Firewall’ Silver(2024) 등 세계적 권위의 사이버 보안 어워드를 수상하며, 글로벌 시장에서 새로운 보안 표준을 제시하고 있다.
특히, Cloudbric WAF+는 출시 4년 만인 2019년 전 세계 53개국에서 13,000여 고객을 확보하며 빠르게 성장했으며, 일본 시장에서의 성과는 주목할 만하다. 글로벌 고객의 약 1/3이 일본에 위치하고 있으며, 2017년 대비 2024년 매출 성장률이 6,163%에 달하는 폭발적인 성장을 기록했다. 이러한 성과를 바탕으로 일본 WAF(Web Application Firewall) 시장의 선두 주자로 자리매김했으며, 일본의 대표 IT 제품 비교 사이트 ‘IT 트렌드’의 ‘IT 트렌드 연간 랭킹 2024’에서 WAF 부문 1위에 올랐다.
일본 현지 고객들은 Cloudbric WAF+의 강력한 보안 성능, 현지화된 일본어 지원 서비스, 사용자 친화적인 대시보드를 선택 이유로 꼽고 있다.
- 데이터 기반 보안 성능: Tolly Group 등 글로벌 검증 기관으로부터 실증 받은 보안 기술력을 통해 다양한 사이버 위협에 대한 탁월한 방어력 제공
- 일본어 서포트 체제: 일본어 지원 전문가를 통해 보안 정책 설정 시 발생할 수 있는 고객의 어려움을 효과적으로 해소
- 사용자 친화적인 대시보드: 직관적인 UI와 높은 정보성을 갖춘 대시보드를 통해 보안 상황을 쉽게 파악하고 신속하게 인사이트 도출 가능
특히, 까다로운 일본 시장에서 선두 자리를 굳건히 유지하며, 보안 성능과 고객 지원 측면에서 압도적인 경쟁력을 보여준다. 이러한 성과는 Cloudbric WAF+가 글로벌 무대에서 신뢰받는 보안 솔루션으로 자리매김하고 있음을 증명하고 있다.
▲넷스카웃 ARBOR Cloud Signaling을 이용한 하이브리드 DDoS 대응 [자료=셀파인네트웍스]
[디도스 대응 솔루션 집중분석-2]
넷스카웃 ARBOR ADP(Adaptive DDoS Protection) 및 하이브리드 DDoS 방어 체계
셀파인네트웍스, AI와 ML 기반 지능형 DDoS 방어 체계 제공
최근 사이버 위협의 가장 큰 문제 중 하나는 DDoS 공격의 정교화, 동적 및 다각화라 할 수 있다. 네트워크 대역 전체를 대상으로 하는 Carpet bombing 공격부터 정교한 애플리케이션 공격 및 다양한 방식을 이용한 멀티벡터 공격까지 DDoS 공격 양상은 끊임없이 진화하고 있으며, 기업은 이러한 DDoS 위협에 대응하기 위해서 고도화된 방어 시스템을 통한 지속적인 대응전략을 갖추는 것이 필수적이다. 이 가운데 셀파인네트웍스는 뛰어난 전문성과 다수의 레퍼런스 및 노하우로 Anti-DDoS 분야에서 많은 신뢰를 얻고 있으며, 최근 넷스카웃 ARBOR의 AI/ML 기반 지능형 DDoS 대응 기술인 ADP 기술을 통해 지능화된 DDoS 공격에 효과적으로 대응할 해결책을 제공하고 있다.
넷스카웃 ARBOR ADP, AI와 ML 기반 기술로 DDoS 공격 변화에 유연하게 대응
넷스카웃 ARBOR ADP는 지능화된 DDoS 공격을 완화하기 위한 인텔리전트한 기능으로 단순히 사전 정의한 정책으로 공격을 탐지하고 방어하는 것에 그치지 않고, 공격자의 공격방식 변화에 따른 신규 공격 트래픽을 AI 및 ML 기술을 사용해 장비 스스로 분석하고 기존 방어 정책과 비교하여 적절한 보호 정책을 권고 또는 자동 방어 체계를 제공한다. 이를 통해 지능화된 DDoS 공격에 대해 최적의 완화 정책을 넷스카웃 ARBOR Anti-DDoS 시스템에 자동으로 적용함으로써 공격 변화에 실시간 대응 방법을 제공한다. 이는 멀티-벡터 DDoS 공격에 대처하기 위한 필수적인 기술로, 넷스카웃 ARBOR 솔루션만이 이와 같은 동적 멀티-벡터 DDoS 공격에 대응할 수 있는 유일한 방법을 제공한다.
또한 넷스카웃은 글로벌 90%의 Tier 1 통신사와 협업을 통해 전 세계 DDoS 위협에 대한 독보적인 가시성을 ADP 기술에 활용하고 있다. 넷스카웃은 전 세계 50% 이상의 인터넷 트래픽을 모니터링하며, 230개국 이상, 600개 이상의 산업 분야에서 수백만 건의 DDoS 공격을 실시간 모니터링하고 있다. 아울러 이 데이터를 3rd Party IoC, Honeypot 데이터, 그리고 독자 개발한 AI/ML 기반 시스템과 연계해 업계 최고의 실시간 인텔리전스 피드인 AIF(ATLAS Intelligence Feed)를 제공한다. 넷스카웃 ARBOR ADP는 이 AIF 데이터를 활용해 모든 유형의 DDoS 공격을 빠르게 식별해 어떠한 DDoS 공격에도 완벽하게 대응할 수 있는 지능형 DDoS 방어 솔루션을 제공한다.
Cloud Signaling, 하이브리드 DDoS 보안 체계
셀파인네트웍스는 통신사 및 대규모 네트워크를 위한 Out of path 방식의 넷스카웃 ARBOR Sightline/TMS를 제공하며, 이를 통해 광범위한 네트워크 가시성과 대용량의 DDoS 공격 대응 및 ADP를 결합해 대규모 Carpet bombing 및 AIF를 이용한 지능형 탐지 및 차단 기능을 제공한다. 국내 대형 ISP에서도 해당 장비로 DDoS 클린존 서비스를 제공하고 있으며, 기존 다수의 대형 기업 네트워크에서 사용하고 있는 대용량 DDoS 처리에 검증된 제품이다.
소규모 네트워크의 경우 네트워크 경계에 인라인으로 설치되어 DDoS 공격뿐만 아니라 Malware를 포함한 다양한 보안 위협 및 IoC를 실시간으로 탐지해 차단하는 넷스카웃 ARBOR AED를 제공한다. 넷스카웃 ARBOR AED는 ADP와 결합해 지능형 어플리케이션 공격 차단에 특화되어 있으며, DNS 트래픽 학습을 통한 DNS 서비스 보호 특화 기능도 제공한다. 또한 HTTPS 복호화 기능을 통해 암호화된 DDoS 공격도 완전히 차단한다.
최근 DDoS 공격은 여러 공격 벡터를 결합해 행해지므로, 기업의 경우 네트워크 경계에 On-premises 솔루션을 이용해 HTTPS 복호화와 함께 애플리케이션 공격 및 보안 위협을 차단하고, 대규모 Volumetric 공격은 클라우드 기반 완화를 시행하는 하이브리드 DDoS 방어가 필수적이다. 이를 위해 넷스카웃은 Onpremises와 클라우드 기반 완화를 자동화된 방식으로 연동하는 Cloud Signaling이라는 기능을 제공한다. 이를 통해 기업들은 On-premises 장비인 넷스카웃 ARBOR AED를 구축하고, 이를 ISP가 제공하는 DDoS 클린존과 Cloud Signaling으로 연동해 다양한 벡터의 공격에도 빠르고 정확하게 대응할 수 있는 진보된 DDoS 방어 솔루션을 구축해 비즈니스 서비스의 가용성을 안전하게 유지시켜야 한다.
▲전 세계 데이터센터의 네트워크(L3), 전송(L4), 애플리케이션(L7) 레이어에서 디도스 공격으로부터 서버를 보호하는 ‘지코어 디도스 방어 솔루션’ [자료: 지코어]
[디도스 대응 솔루션 집중분석-3]
사상 최대 파괴력 갖춘 디도스 공격 대비의 시급성에 대해 기업에 경종
지코어, 전 세계 네트워크에서 탐지된 디도스 공격 현황 분석한 ‘레이더 보고서’ 발표
지코어가 2024년 하반기 디도스(DDoS) 공격 동향을 분석한 ‘지코어 레이더 보고서’를 발표하면서 사상 최대 규모와 파괴력을 기록하고 있는 디도스 공격에 대응하기 위한 보안 대책이 시급하다고 강조했다. 레이더 보고서는 전 세계 6개 대륙 지코어 네트워크에서 탐지된 디도스 공격을 분석한 것으로, 모든 산업군에 속한 기업들에게 디도스 공격 대비의 시급성을 알리고 리스크를 최소화하는 방안을 제시하고 있다.
보고서에 따르면 2024년 하반기 디도스 공격 건수가 2023년 하반기 대비 56%, 2024년 상반기 대비 17%로 빠른 증가세를 보이고 있으며, 디도스 공격의 최대 공격 규모도 Tbps(테라비트/초) 단위로 크게 증가했음을 알 수 있다. 또한 가장 많은 공격을 받는 산업군과 디도스 공격 발원지에 대한 데이터도 확인할 수 있다.
디도스 공격 목표 타깃의 변화...예의 주시해야 할 업계는?
2024년 상반기에 가장 많은 디도스 공격을 받은 업계가 게임(49%), 기술(15%), 금융(12%), 통신(10%) 순이었으나, 하반기에는 게임(34%), 금융(26%), 기술(19%), 미디어 및 엔터테인먼트(9%) 순으로 나타나면서, 디도스 공격의 목표 타깃에 변화가 감지됐다. 전체 디도스 공격에서 게임 산업의 공격 비중은 여전히 높지만, 2024년 상반기 대비 15%나 감소한 것을 확인할 수 있다. 반면 금융 산업에 대한 디도스 공격 비중은 상반기 대비 14%나 증가하면서 공격의 주요 표적이 되는 것으로 파악됐다.
이는 게임 회사들이 디도스 방어 시스템을 강화해 공격 성공률을 낮춘 것이 영향을 미쳤을 수 있다. 또 다른 이유로는 공격자들이 고부가가치를 지닌 금융 서비스와 같은 분야로 목표를 이동했기 때문일 가능성도 크다고 지코어는 분석했다. 금융은 인터넷 뱅킹과 같은 중요한 온라인 서비스를 운영하고 있고, 랜섬웨어와 같은 금전적 목적의 공격에 취약하다는 점도 공격 증가의 이유이다. 이 외에도 공격 성공 시 수많은 조직이 의존하는 서비스가 중단돼 사람과 기업에 막대한 피해를 줄 수 있는 기술 분야도 2023년 하반기 이후 디도스 공격에서 차지하는 비중이 지속 증가하고 있다.
디도스 공격 성향과 패턴의 파악...공격 리스크 최소화하려면?
디도스 공격은 지속시간이 점점 더 짧아지면서도 더 강력한 트래픽을 동반하는 특징을 보인다. 2024년 하반기에 가장 긴 공격 지속시간은 5시간으로, 상반기 16시간에서 크게 감소했다. 또한 공격 시 최대 2Tbps의 트래픽이 순간적으로 발생한 경우도 있다. 이러한 짧지만 강력한 ‘버스트(Burst) 공격’의 증가는 정상적인 트래픽 급증과 유사해 탐지가 어려우며, 탐지 지연으로 공격자는 방어 시스템이 작동하기 전에 피해를 가할 수 있는 기회를 얻게 된다. 이는 랜섬웨어 배포와 같은 2차 공격을 숨기기 위한 연막작전에 활용되기도 한다. 이에 지코어 보안 책임자인 안드레이 슬라스테노프(Andrey Slastenov)는 “디도스 공격의 빈도는 물론 강도의 증가, 다양한 산업군으로 공격 대상이 확장되고 있는 가운데 디도스 탐지, 완화, 보호 솔루션의 도입을 통해 비즈니스의 운영 중단, 다운타임, 재정적 손실, 더 나아가 평판에 손상을 줄 수 있는 리스크를 최소화해야 한다”고 강조했다.
지능형 디도스 공격 대응, 지코어 엣지 AI로 보안 강화
디도스 공격에 있어 AI 기반 공격 알고리즘이 적용되면서 이제는 기존 보안 조치로는 공격 패턴이 끊임없이 변화하는 디도스 공격을 차단하는 것이 불가능해졌다. 이제 기업은 AI 기반 예측 기능을 통해 공격이 발생하기 전에 네트워크를 선제적으로 보호할 수 있어야 한다. AI가 엣지 네트워크와 결합하면 기업은 디도스 공격을 완화하고 실시간 최선의 의사결정을 내릴 수 있어 더욱 효과적인 대응이 가능해진다. AI 알고리즘은 신속한 방어 조치를 취하기 위해 실시간 데이터가 필요한데, 공격의 출발점에 가깝게 위치한 엣지 네트워크에서 데이터를 처리함으로써 위협을 더욱 빠르게 인식하고 완화할 수 있기 때문이다.
지코어의 엣지 보안은 AI 기반 방어 조치가 중앙 데이터센터에서만 수행되는 것이 아니라 엣지에서 직접 실행됨으로써 중앙집중식 시스템의 부하를 줄이고 디도스 대응 속도를 향상한다. 이러한 엣지에서의 분산형 방어 전략은 빠른 응답시간이 중요한 대규모 디도스 공격을 대응할 때 특히 효과적이다. 또한 지코어의 디도스 방어는 자체 독점적인 솔루션으로 구현되어 L4 레벨까지 방어가 가능한 온디맨드(On-Demand) 보호 또는 L7까지 모든 레벨의 방어가 가능한 올웨이즈온(Always on) 보호를 선택할 수 있다. 이와 함께 전 세계의 광범위한 애니캐스트(Anycast)를 사용해, 공격 시발점에서의 대량공격을 거점에서 원천 차단할 수 있도록 구현하고 있다. 특히 한국은 자체 스크러빙(Scrubbing) 센터를 구축하고 있어, 해외 발현 공격 방어에 더해 국내 발현의 공격에 대해 추가로 1Tbps의 방어 능력을 갖추고 있다.
▲시큐아이 BLUEMAX ADS[자료: 시큐아이]
[디도스 대응 솔루션 집중분석-4]
복잡한 멀티벡터 공격까지 막는 새로운 차원의 DDoS 방어
AI-powered 고성능 Anti-DDoS 시스템
대량의 트래픽을 전송해 시스템을 마비시키는 분산 서비스 거부(DDoS)는 디지털 시대의 발전과 함께 오랜 시간 기업을 괴롭혀온 보안 위협이다. TCP, UDP 등의 Flooding을 유발하는 단순한 형태의 DoS를 시작으로, 최근에는 여러 공격을 동시에 진행해 대응을 어렵게 하는 Multi-vector DDoS, 랜섬웨어와 DDoS를 동시에 진행하는 Ransom DDoS까지 등장하고 있다. 이처럼 공격 유형이 점점 정교하고 다양해짐에 따라 DDoS 위협에 대한 강력한 대응 능력이 더욱 중요해졌다.
시큐아이는 정교해지는 DDoS 공격에 대응하기 위해 최신 DDoS 트렌드를 반영한 Anti-DDoS 제품을 지속적으로 출시해 왔다. BLUEMAX ADS는 SECUI NXG D와 SECUI MFD를 거친 3세대 제품으로, 시큐아이의 오랜 경험과 기술력을 바탕으로 글로벌 스탠다드 수준에 도달했다. BLUEMAX ADS는 △머신러닝 기반 기술 △방어 메커니즘 △고성능(High-performance) △자체 분석(Analytics) △운영 효율성(Efficiency) △기술지원(Support) 등 6가지 글로벌 DDoS 대응 트렌드를 반영했다.
ML 기반의 지능형 DDoS 탐지 및 대응
BLUEMAX ADS는 시큐아이의 위협 분석 센터인 STIC(SECUI Threat Intelligence Center)과 연동해 실시간으로 위협 정보를 수집하고, 머신러닝 알고리즘을 통해 분석한 후, 악의적인 디도스 공격에 선제적으로 대응한다. 시큐아이는 STIC뿐만 아니라 AI/ML 기반의 위협대응플랫폼 TARP를 통해 원격관제 서비스를 제공하며, 이를 통해 분석한 공격 패턴을 활용해 디도스 공격에 더욱 강력하게 대응한다. 또한, BLUEMAX ADS는 디도스 공격 특성에 맞춘 독자적인 다중 레이어 방어 로직을 탑재하고 있어, 다양한 유형의 DDoS 공격을 탐지하고 효과적으로 대응할 수 있다.
대용량 DDoS 공격 방어에 최적화된 고성능 엔진
고성능 디도스 대응 시스템인 BLUEMAX ADS는 대규모 트래픽 처리에 특화된 고성능 패킷 처리 프로세스와 공격 유형에 따른 전용 탐지 엔진 등 대용량 DDoS 공격 방어에 최적화된 아키텍처를 적용해 DDoS 공격이 발생해도 안정적인 서비스 연속성을 보장한다. BLUEMAX ADS 10000 제품 기준으로 최대 160Gbps의 처리 성능을 제공하며, 대형 망에서 요구되는 아웃 오브 패스 구성도 지원한다.
직관적 인터페이스와 원클릭 서비스로 운영 편의성 강화
BLUEMAX ADS는 뛰어난 기능과 성능을 제공할 뿐만 아니라, 사용자 중심의 인터페이스와 편의성을 극대화한 제품이다. 자체 수집한 로그를 기반으로 정밀 분석 기능을 제공하며, 직관적인 인터페이스와 다양한 위젯을 통해 세션 분석, 트래픽 통계 등 심층적인 분석 환경을 제공한다. 또한 시큐아이는 한 번의 클릭만으로 BLUEMAX ADS에서 시큐아이 침해대응센터로 해당 이벤트를 전송해 분석을 요청하는 원클릭 서비스를 지원한다. 고객사는 복잡한 로그 추출 과정 없이 의심 로그를 손쉽게 추출하고 분석 의뢰를 원스텝으로 진행할 수 있다. 이처럼 BLUEMAX ADS는 뛰어난 성능과 사용 친화적인 기능들을 통해 효율적인 DDoS 대응 체계를 마련한다.
[원병철 기자(boanone@boannews.com)]
디도스 대응 솔루션에 대한 사용자 선호도 조사 결과
디도스 대응 솔루션 집중분석: 펜타시큐리티, 넷스카웃, 지코어, 시큐아이
[보안뉴스 원병철 기자] 2024년 11월 국방부와 환경부, 법원 등 공공기관은 물론 민간기업까지 노린 디도스(DDoS) 공격이 최장 2개월 이상 지속됐다. 또한 같은 해 2월에는 국내에서 생방송으로 진행된 온라인 게임 대회가 디도스 공격으로 중단되는 사건도 있었다. 과기정통부는 ‘2024년 사이버위협 사례 분석 및 2025년 전망 발표’를 통해 2025년 정부 공공 및 민간기업을 가리지 않고 지속적인 증가추세를 보일 것이라고 밝혀 디도스 위협에 대한 대응책 마련을 촉구한 바 있다. 이에 <보안뉴스>는 디도스 공격이 기업에 어떤 영향을 미치는 지와 대응하는 방법 등을 살펴보고 전문 대응 솔루션까지 소개하는 자리를 마련했다.
[이미지=gettyimagesbank]
2024년 한국인터넷진흥원에 접수된 민간 분야 침해사고는 총 1,887건(상반기 899건, 하반기 988건)이며, 이중 디도스 공격 침해사고는 총 285건(상반기 153건, 하반기 132건)으로 전체 침해사고의 15.1%에 달한다. 이는 서버 해킹(56%) 다음으로 가장 많은 공격이며, 심지어 악성코드 감염(12.1%)보다 많은 수치이기도 하다.
디도스 공격, 1990년대 최초로 등장
디도스(DDoS) 공격은 분산 서비스 거부(Distributed Denial of Service)의 줄임말로, 다수의 서버나 PC 등을 이용해 대량의 트래픽을 특정 서버나 네트워크에 보내 정상적인 사용자가 서비스를 이용하지 못하게 하는 공격이다. 쉽게 설명하면 물건을 사러 마트에 갔는데, 세일기간이라 수십~수백명의 손님이 갑자기 몰려들어 계산대가 마비되어 물건을 사지 못하는 경우라 할 수 있다. 즉, 너무나 많은 손님(트래픽)이 몰려 내가 계산대(웹사이트)에 접근하지 못하는 상황인 셈이다.
세계 최초의 디도스 공격은 여러 의견이 있지만, 미국의 ISP(인터넷 서비스 제공사, Internet Service Provider)인 Panix가 1996년 9월 6일 SYN 플러드 공격을 받은 것이 최초의 디도스 공격으로 알려졌다. 당시 Panix는 며칠 동안 서비스가 중단되는 피해를 보았다. 또한 역사상 가장 큰 디도스 공격은 2024년 5.6Tbps(테라비트/초)의 공격이었으며, 이 공격은 클라우드 플레어(Cloudflare)가 차단에 성공한 것으로 알려졌다.
1999년 이후 디도스 공격은 Ping of Death, Tear Drop, Smuff, Land Attack 등 비교적 단순한 형태의 DoS 공격으로 이뤄졌다. 2005년부터는 디도스 방어 인프라를 압도하기 위해 다수의 봇넷(Botnet)으로 대규모 트래픽을 유발하는 DDoS/DRDoS 공격과 DDoS for Hire(돈을 받고 디도스 공격을 수행해 주는 시스템) 공격이 등장했다. 현재는 대응 시스템을 우회하거나 압도하기 위한 고도화된 신규 디도스 공격 유형이 등장했으며, 랜섬웨어와 디도스 공격을 합한 랜섬 디도스(Ransom DDoS)도 등장했다. 아울러 CDN 서비스와 클라우드 서비스 등을 통해 대규모 디도스 공격을 대응할 수 있는 대응 시스템도 활성화됐다.
▲유형별 침해사고 신고 현황 [자료: KISA]
디도스 공격 대응, 복합적 방어 전략이 필요하다
디도스 공격은 다수의 서버와 PC, 그리고 최근에는 인터넷이 연결된 IoT 기기를 이용해 비정상적인 트래픽을 유발해 대상 시스템을 마비시키는 공격이다. 공격자는 취약한 서버를 공격해 악성코드를 배포하고, 유포지나 경유지 서버에서 악성코드를 내려받은 서버와 기기를 이용해 봇넷을 구축한다.
공격자는 봇넷에 공격 명령을 전달해 대규모의 트래픽을 유발(DDoS 공격)하거나 취약한 서버를 악용해 반사 공격(DRDoS 공격)을 수행한다. 봇넷은 악성코드 등에 감염된 PC나 서버, IoT 기기로 구성된 네트워크 집단을 말하며, 주로 공격자의 공격 도구로 사용된다.
한국인터넷진흥원의 구분법에 따르면 디도스 공격은 크게 △대역폭 공격 △자원 소진 공격 △웹/DB 부하 공격으로 나뉜다. 각각의 공격마다 특징이 있으며, 이에 대응하는 방법도 각각 다르다. 모든 디도스 공격은 공격을 수행하는 봇넷의 규모에 따라 위험도가 비례하고, 통상 대부분의 공격은 여러 공격 유형을 혼합하는 멀티 벡터(Multi Vactor) 공격을 사용한다. 디도스 공격을 섞어서 진행할 경우 공격 식별은 물론 대응도 어려워진다.
여러 공격 방법 중 대표적인 ‘UDP Flooding’ 공격을 통해 대략적인 개념을 살펴보자.
UDP Flooding은 대역폭 공격 중 가장 대표적인 공격 방식이다. 데이터를 전송할 때 TCP 프로토콜의 연결지향(Connection-oriented)이 아닌 UDP 프로토콜의 비연결형(Connectionless) 특성을 악용한 공격이다. 공격자는 사전에 악성코드 등을 이용해 확보한 봇넷을 이용해 목표 서버로 대규모의 UDP 패킷(Paket)을 전달한다. 대규모의 UDP 패킷이 목표 시스템에 전달되면서 회선 대역폭을 고갈시킨다. 이에 대응하기 위해서는 UDP 패킷을 차단하거나 디도스 방어 시스템을 이용해야 한다.
이처럼 디도스 공격에 대응하기 위해서는 그에 맞는 대응 방법을 갖춰야 한다. 이에 대해 안랩은 “일반적으로 DDoS 대응 솔루션은 각 공격 유형에 맞는 방어 기법을 적용하고 있지만, 모든 유형의 공격을 100% 차단할 수 있는 것은 아니며, 효과적인 방어를 위해서는 복합적인 방어 전략을 조합하여 대응하는 것이 중요하다”고 설명한다.
예를 들어, 네트워크 대역폭을 소진시키는 ‘플러딩 공격’은 ACL(Access Control List) 설정, 패킷 필터링, 레이트 리미팅 등을 적용해 차단하며, 클라우드 기반 스크러빙 서비스를 활용하면 대규모 공격 방어에 효과적이라는 설명이다. 또한 SYN Flood 공격은 SYN Cookie를 적용해 정상적인 연결 요청을 구별하고, 네트워크 방화벽이나 IPS(침입 방지 시스템)를 통해 추가적인 보호가 가능하다고 덧붙였다.
넷스카우트는 “최근 디도스 공격 유형을 보면 수십~수백만개의 봇넷을 활용해 공격하기 때문에 임계치 기반의 대응을 무력화시키는 임계치 이하 공격, 대응하기 어려운 DNS 및 애플리케이션 공격, 수치 기반의 디도스 대응 솔루션으로는 대응이 어려우며, 주기적으로 업데이트되는 위협 정보와 공격 유형에 따른 다양한 애플리케이션 차단 정책, TLS 복호화와 AI/ML 기반 지능형 디도스 방어 기술을 통해 알려진 디도스 공격뿐만 아니라 최근 진화된 신규 디도스 공격에 대응해야 한다”고 설명했다.
최근 가트너는 디도스 공격을 원천적으로 차단하고 방어하는 것이 불가능하다고 보고, 공격 차단보다는 완화(Mitigation)에 초점을 맞추는 것이 필요하다고 발표한 바 있다.
▲국내외 대표 디도스 대응 솔루션 [자료:각 사 제공, 보안뉴스 정리]
디도스 대응 솔루션의 핵심 기술들
디도스 대응 솔루션은 탐지-필터링-방어-운영 분석의 과정을 거쳐 종합적인 보안을 제공하며, 과정별로 다양한 기술을 활용해 네트워크와 애플리케이션을 보호한다. 특히 최근에는 클라우드 환경이 늘어나면서 기업 환경에 맞게 온프레미스와 클라우드, 그리고 하이브리드 솔루션을 조합해 최적의 방어 전략을 수립하는 것이 중요하다. 그렇다면 디도스 대응 솔루션에는 어떤 기술들이 사용될까?
공격 탐지 및 이상 트래픽 분석
DDoS 공격을 효과적으로 대응하기 위해서는 정상적인 트래픽과 악성 트래픽을 정확하게 구분하는 것이 필수적이다. 이를 위해 행위 기반 이상 탐지(Behavioral Analysis) 기술이 사용되며, AI 및 머신러닝(ML)을 활용해 트래픽 패턴을 학습하고 비정상적인 행위를 감지한다. 공격 탐지 및 이상 트래픽 분석을 위해서는 기존에 알려진 DDoS 공격 패턴(시그니처)을 데이터베이스에 저장하고, 새로운 요청이 기존 공격 패턴과 일치하는지 확인해 차단하는 시그니처 기반 탐지(Signature-based Detection) 방식이 사용된다. 이와 함께 단일 IP 또는 특정 사용자 그룹이 과도한 요청을 보내면 자동으로 제한하는 레이트 리미팅(Rate Limiting) 기술도 사용된다.
트래픽 필터링 및 방어 기술
공격으로 탐지된 악성 트래픽을 효과적으로 차단하기 위해 다양한 트래픽 필터링 및 방어 기술이 적용된다. IP 블랙리스트 및 화이트리스트(IP Reputation & Blacklist) 기능은 악성 IP 리스트(블랙리스트)를 유지하고, 공격 원점이 된 IP를 차단하는 방식이다. 반대로 화이트리스트를 활용하면 정상 사용자의 접근을 보장할 수 있다.
또한, 트래픽 분산 및 우회(Scrubbing & Traffic Diversion) 기술은 공격 트래픽을 클라우드 기반 스크러빙 센터로 우회해 정화하는 방식이다. 이를 통해 정상적인 요청만 필터링해 원래 서버로 전달할 수 있다.
L3/L4 네트워크 계층 보호
DDoS 공격 중 상당수는 Layer 3, 4에서 발생하며, 이를 방어하기 위한 다양한 기술이 존재한다. 패킷 필터링 및 ACL(Access Control List) 기술은 네트워크 레벨에서 특정 패킷 유형을 차단하는 방식으로, ICMP Flood, UDP Flood 등의 패턴을 감지해 불필요한 트래픽을 필터링한다. 이와 함께 SYN Cookie(TCP SYN Flood 방어) 기술은 쿠키값을 활용해 정상적인 연결 요청인지 확인하는 방식이다.
이를 통해 공격자가 TCP 연결을 무한정 열려고 해도, 서버 리소스를 소비하지 않도록 방어할 수 있다. BGP Flowspec(Border Gateway Protocol) 기술은 ISP 네트워크 레벨에서 DDoS 트래픽을 차단하는 방식이다. 악성 트래픽을 네트워크 라우팅 단계에서 차단해 대상 서버까지 도달하지 않도록 하는 것이 핵심이다.
L7 애플리케이션 계층 보호
웹 서비스 및 애플리케이션을 노리는 L7 DDoS 공격을 방어하기 위해 다양한 보호 기술이 적용된다. 웹 애플리케이션 방화벽(WAF, Web Application Firewall)은 HTTP 기반 DDoS 공격(예: HTTP GET/ POST Flood)을 차단하는 역할을 하며, 정상적인 요청과 악성 요청을 구분해 애플리케이션을 보호한다. 또한, 봇 탐지 및 관리(Bot Management) 기술은 AI 기반 탐지 솔루션을 활용해 자동화된 봇과 정상 사용자를 구별하는 기능을 제공한다. 캡챠(CAPTCHA) 및 추가 인증 요청을 적용하는 기술은 의심스러운 요청이 많을 경우 자동으로 CAPTCHA를 적용해 공격을 완화하는 방식이다.
클라우드 기반 DDoS 대응 기술
클라우드 환경에서 제공되는 DDoS 보호 서비스는 대규모 공격을 효과적으로 차단할 수 있다. CDN 기반 보호(Content Delivery Network) 기술은 CDN을 활용, 웹 콘텐츠를 전 세계에 분산해 공격 트래픽을 분산시키는 방식이다. 특정 서버가 집중 공격을 받더라도 CDN 네트워크가 트래픽을 분산해 방어할 수 있다. 또한, AI/ML 기반 DDoS 탐지 기술은 인공지능(AI)과 머신러닝(ML) 알고리즘을 활용해 DDoS 패턴을 학습하고 자동으로 완화하는 방식이다.
국내외 디도스 대응 솔루션 시장 성장 거듭
현재 디도스 대응 솔루션 시장은 성장을 거듭하고 있다. 글로벌 리서치 기업 GII에 따르면 디도스 보호(DDoS Protection) 시장 규모는 2024년 41억2000만달러(한화 약 6조 502억원)로 추정되며, 2029년까지 연평균 성장률 14.0%를 기록해 2028년 80억 1,000만달러(한화 약 11조 7626억원)에 이를 것으로 예측됐다. 보고서는 코로나19 펜데믹으로 인해 작업환경이 모두 웹으로 전환됐으며, 디도스 공격 또한 이렇게 변화된 환경을 대상으로 발전하고 있다고 설명했다. 또한 GMI도 보고서를 통해 디도스 보호 및 완화 보안 시장 규모가 2023년 40억달러(한화 약 5조8752억원)이며, 2032년까지 연평균 성장률 15%로 138억달러(한화 약 20조2625억원)에 달할 것으로 내다봤다.
넷스카우트는 “국내 디도스 대응 솔루션 시장은 2024년부터 2032년까지 약 1000억원에서 1800억원으로 성장할 것”으로 예상했다.
F5도 국내 시장 역시 “수천억원대 규모를 형성하고 있으며, 금융과 공공, 대기업 등의 보안 수요가 증가함에 따라 시장이 더욱 확대되고 있다”고 설명했다.
안랩은 “최근 사이버 공격 빈도와 정교함이 증가해 디도스 보호 서비스에 대한 수요가 증가하고 있다”면서, “특히 2024년 11월 정부기관 대상 디도스 공격이 늘어나면서 국가 기반 차단 기능과 IP 평판 조회에 대한 니즈가 계속해서 증가하고 있다”고 설명했다. 아울러 “최근에는 기업이 제공하는 온라인 서비스의 가용성을 방어하는 관점에서 L7 DDoS 방어에 대한 니즈도 증가하고 있으며, HTTP 3.0 트래픽 증가로 이에 대한 대응 요구도 증가하고 있다”고 덧붙였다.
한편, F5는 “최근 기업들이 클라우드와 하이브리드 환경으로 전환하면서, 온프레미스와 클라우드 기반의 디도스 방어를 병행할 수 있는 솔루션에 대한 수요가 높아지고 있다”고 강조하고, “SSL 암호화 트래픽을 악용한 공격도 늘고 있어 고성능 SSL 복호화와 탐지기술 역시 주요한 요소로 자리 잡고 있다”고 설명했다.
▲디도스 대응 솔루션 인식 및 선호도 조사 ‘디도스 공격 경험’ [자료: 보안뉴스]
디도스 대응 솔루션에 대한 사용자 선호도 조사
그렇다면 실제 사용자들의 디도스 대응 솔루션에 대한 생각은 어떨까? <시큐리티월드>와 <보안뉴스>는 사용자들의 의견을 알아보기 위해 2025년 3월 11일부터 14일까지 4일간 보안담당자들에게 ‘디도스 대응 솔루션 인식 및 선호도 조사’를 실시했다. 이번 설문조사에서는 공공(26.8%)과 민간(73.2%)의 보안담당자 1,493명이 응딥했다.
먼저 디도스 공격을 받은 적이 있는지를 물어봤다. 40.9%가 공격 시도는 있었으나 사고로 이어지지는 않았다고 답했고, 24.2%는 있다고 답했다. 응답자의 65.1%가 디도스 공격을 받은 것이다.
그렇다면 어떤 방식의 디도스 공격을 받았을까? 무려 33.8%의 사용자가 △SYN Flooding: TCP 연결 과정의 약점을 노려 서버 자원을 소모시키는 공격을 받았다고 답했다. 이어 28.4%는 △HTTP Flooding: 웹 서버를 대상으로 대량의 HTTP 요청을 보내는 공격을 받았다고 답했고, 21.6%는 △UDP Flooding: UDP 프로토콜을 이용해 대량의 패킷을 보내 네트워크 대역폭을 소모시키는 공격을 받았다고 답했다.
이어 15.5%는 △TCP SYN Flooding: TCP 연결 과정에서 대량의 SYN 패킷을 보내고, 응답을 기다리지 않아 서버의 연결 대수를 가득 채워 새로운 연결 요청을 처리하지 못하게 하는 공격을, 13.5%는 △DNS 증폭 공격: 대량의 DNS 요청을 보내 DNS 서버가 대량의 응답을 하도록 유도해 서버를 마비시키는 공격을, 12.2%는 △ICMP Flooding: ICMP 에코 요청 패킷을 대량으로 보내 서버를 과부하 상태로 만드는 공격을 받았다고 답했다.
▲디도스 대응 솔루션 인식 및 선호도 조사 ‘디도스 공격 대응 관리’ [자료: 보안뉴스]
이외에도 10.1%는 △NTP 반사 및 증폭 공격: 정상적인 NTP 서버의 트래픽을 사용한 공격을, 4.7%는 △UDP 반사 공격: 공격자가 타깃 시스템의 IP 주소로 UDP 요청을 보내고, 그 응답이 대량으로 발생하도록 해 과부하를 일으키는 공격을, 4.7%는 △CLDAP 반사 및 증폭 공격: 공격 대상 IP 주소로 도용하고 LDAP 서버로 CLDAP 요청을 보내는 공격을 받았다고 답했다. 디도스 공격은 여러 번 받을 수 있기에 복수 응답으로 받은 결과였다.
디도스 공격을 받은 사용자들은 얼마 만에 피해를 복구했는지도 물어봤다. 가장 많은 30.2%는 10분 이내에 피해를 복구했다고 밝혔다. 하지만 20.1%는 1시간 이내에 복구했다고 답했으며, 14.1%는 24시간 이상 걸렸다고 답해 생각보다 긴 시간 동안 피해를 본 사용자들도 많은 것으로 조사됐다.
그렇다면 사용자들은 디도스 대응을 위해 사내 네트워크와 시스템을 어떻게 관리하고 있을까? 49.7%는 보안 또는 IT 담당 부서에서 대응한다고 답했고, 20.1%는 방화벽 등 기존 보안 솔루션을 통해서 관리한다고 답했다. 또한 경영진의 낮은 관심과 예산 부족 등을 통해 관리하지 않는다는 답변도 5.4%에 달했다. 다만 12.1%가 디도스 공격에 특화된 솔루션을 도입해 관리한다고 답했고, 7.4%는 외부 관제 전문기업을 통해 관리한다고 답했으며, 2.0%가 정부에서 운영하는 사이버대피소와 공격 대응 가이드 등 지원 서비스 활용을 통해 관리한다고 답했다. 실제로 디도스 대응 솔루션을 사용하고 있는지를 묻자 49.0%는 사용한다고 답했고, 10.1%는 사용하지 않지만 1년 내 도입할 계획이라고 답해 절반 이상이 디도스 대응 솔루션을 도입했거나 할 계획임을 밝혔다.
마지막으로 디도스 대응 솔루션의 선택 기준을 묻자 47.0%가 ‘디도스 공격 모니터링 및 차단 성능’을 꼽았으며, 13.4%가 ‘도입 비용’을 선택했다. 또한 12.8%는 ‘기업과 브랜드 인지도’를, 12.1%는 ‘다양한 구축 사례와 레퍼런스’를 각각 선택했다. 이어 7.4%는 ‘사내 IT 인프라와 설비와의 호환성’을 선택했으며, 6.7%는 ‘유지보수와 컨설팅 등 기술지원과 전문 인력의 수’라고 답했다.
▲디도스 대응 솔루션 인식 및 선호도 조사 ‘대응 솔루션 선택 기준’ [자료: 보안뉴스]
디도스 공격 완벽한 대응 어려워...종합적 접근 필요해
현재 국내 디도스 대응 솔루션 시장은 해외시장만큼 수요가 크지 않고, 기업과 기관이 디도스 공격을 단기적 이슈로만 인식하는 경향이 있어 시장의 크기가 생각보다 빠르게 성장하지 못하는 문제가 있다. 다만 디도스 공격이 꾸준하게 발생하고 있고, 랜섬 디도스처럼 다른 사이버 위협과 함께 활용되면서 그 심각성만큼은 많은 사람들이 인지하고 있다.
앞서 가트너가 말했듯 현재 디도스 공격은 완벽하게 막기보다 완화하는 것에 초점을 맞춰야 하는 형편이다. 최근 디도스 공격은 단순한 대용량 트래픽 유발 방식에서 벗어나 저대역폭 공격, 증폭 및 반사 공격 등 다양한 형태로 발전하고 있다. 이러한 공격들은 기존 보안체계를 우회할 수 있어 정교한 탐지 기술이 요구되며, 인공지능(AI) 및 머신러닝을 활용한 보안 시스템이 점점 더 중요해지고 있다.
또한, DDoS 공격의 규모가 기하급수적으로 증가하면서 기존 네트워크 인프라와 보안장비의 트래픽 처리 용량을 초과하는 사례가 늘어나고 있어 고성능의 방어 솔루션이 필요한 상황이다.
실제로 업계에서는 디도스 공격은 단순한 기술적 방어만으로는 해결할 수 없으며, 사전 예방부터 실시간 대응과 사후 복구, 나아가 보안을 강화하는 것까지 포함한 종합적인 접근이 필요하다고 짚는다. 이 때문에 최신 보안 기술을 도입하는 것은 클라우드 기반 보호 솔루션 활용과 실시간 모니터링, 그리고 자동화된 대응 체계를 구축하는 것이 중요하다는 것이다.
이처럼 디도스 공격 대응 프로세스를 수립하는 한편, 조직 전체의 보안 의식을 높이고 체계적인 대응 프로세스를 운영하는 것이 가장 효과적인 디도스 방어 전략이 될 것이며, 조직의 안녕을 지키는 걸음이 될 것으로 보인다.
▲Cloudbric WAF+는 직관적인 UI 및 보안 리포트를 제공한다. [자료=펜타시큐리티]
[디도스 대응 솔루션 집중분석-1]
자동화 공격부터 API 보호까지, 통합 보안 솔루션의 필요성
디도스 공격 대응부터 글로벌 시장 선도까지, WAF의 완벽한 통합보안 전략
2024년 상반기 국내에서 디도스(DDoS) 공격이 전년 대비 46% 증가하며 각 산업에 심각한 위협을 가하고 있다. 기존의 단순한 대규모 트래픽 공격을 넘어 악성 봇 활용, API 악용 등 정교한 방식으로 진화하고 있으며, 이러한 복잡한 위협에 대응하기 위해 통합보안 솔루션(WAAP)의 필요성이 강조되고 있다.
펜타시큐리티의 ‘Cloudbric WAF+’는 DDoS 완화, WAF, API 보안, 악성 봇 차단, 위협 IP 차단을 포함한 WAAP 기능을 제공하며, 글로벌 보안 어워드 수상 경력을 통해 성능을 입증해 왔다. 특히 일본 시장에서는 2017년 대비 2024년 매출 성장률이 6,163%를 기록하며, IT 트렌드 연간 랭킹 WAF 부문 1위에 오르는 성과를 거뒀다. Cloudbric WAF+는 강력한 보안 성능과 현지화된 지원 서비스, 사용자 친화적 대시보드로 글로벌 시장에서 신뢰받는 보안 솔루션으로 자리매김하고 있다.
최근 국내 산업 전반을 강타한 디도스(DDoS) 공격, Cloudbric WAF+가 제시하는 완벽한 대응책
2024년 상반기, 국내 디도스(DDoS, Distributed Denial of Service) 공격이 폭발적으로 증가하며 각 산업 분야에 심각한 위협을 가하고 있다. 무려 83만 건에 달하는 공격이 발생했으며, 이는 전년 동기 대비 46% 증가한 수치다. 이러한 공격의 주요 타깃은 게임 산업으로, 전체 공격의 49%를 차지하며 집중포화를 맞았다. 이어서 기술 산업(15%)과 금융 산업(12%)이 주요 피해 산업으로 이름을 올렸다.
전통적인 디도스 공격은 대규모 트래픽을 발생시켜 네트워크를 마비시키는 방식으로, 기업과 기관의 서비스 운영을 심각하게 방해해 왔다. 그러나 최근에는 한층 더 정교하고 위험한 방식으로 진화하고 있다. 특히, 애플리케이션 취약점을 노려 웹 서버를 직접 공격하는 신종 디도스 공격 기법은 기존 보안체계로는 대응이 어려워 새로운 보안 솔루션의 필요성이 대두되고 있다.
이러한 위협에 대응하기 위해 Cloudbric WAF+는 한발 앞선 보안 기술을 제시한다. 이 솔루션은 네트워크 계층(L3, L4)뿐만 아니라, 애플리케이션 계층(L7)에서 발생하는 모든 유형의 디도스 공격을 효과적으로 완화할 수 있는 스마트 트래픽 필터를 탑재하고 있다.
Cloudbric WAF+의 필터는 IP와 도메인 기반으로 작동하며, 짧은 시간 내에 발생하는 갑작스러운 디도스 공격에도 신속하고 정교하게 대응할 수 있다. 이를 통해 단순한 트래픽 차단을 넘어 기업의 서비스 연속성을 유지하고 운영 안정성을 극대화할 수 있다.
디도스 공격의 빈도와 강도가 지속적으로 증가하고 있는 상황에서, Cloudbric WAF+와 같은 차세대 보안 솔루션은 기업과 기관이 이러한 디지털 위협에 대응할 수 있는 가장 강력한 방패가 될 것으로 기대된다.
진화하는 디도스 공격 대응을 위한 WAAP의 조건
최근 디도스(DDoS) 공격은 단순히 대량의 트래픽을 유발해 네트워크를 마비시키는 전통적인 방식에서 벗어나 악성 봇을 활용한 자동화 공격, 애플리케이션 계층(L7) 공격, API를 악용한 트래픽 유발 등 정교하고 다각적인 방법으로 진화하고 있다. 특히 클라우드 환경과 디지털 서비스의 확산으로 공격 표면이 넓어지면서 기존의 네트워크 기반 방어 전략만으로는 이러한 복잡한 위협을 효과적으로 차단하기 어려운 상황에 직면하고 있다.
오늘날의 디도스 대응은 단순한 트래픽 차단을 넘어, 웹 애플리케이션 방화벽(WAF), API 보안, 악성 봇 완화, 위협 IP 차단까지 아우르는 통합 보안 전략(WAAP)이 요구된다. WAAP(Web Application and API Protection) 솔루션은 디도스 완화뿐만 아니라, 웹과 API를 겨냥한 다양한 사이버 위협을 실시간으로 탐지하고 차단함으로써, 비즈니스 연속성을 보장하고 고객 데이터를 안전하게 보호할 수 있다.
펜타시큐리티의 ’Cloudbric WAF+’는 디도스 방어 서비스를 포함해 WAAP의 모든 요소를 제공하는 클라우드 기반 웹 보안 SaaS(Software as a Service)다. Cloudbric WAF+는 기업 보안에 필수적인 5가지 핵심 서비스를 하나의 플랫폼으로 통합해 제공한다.
- DDoS 완화 스마트 트래픽 필터를 통해 L3, L4 네트워크 계층뿐만 아니라 L7 애플리케이션 계층의 디도스 공격을 신속하게 완화
- 웹 애플리케이션 방화벽(WAF) 딥러닝 AI 엔진과 논리연산 탐지 엔진을 통해 최상위 수준의 웹 공격 차단
- API 보안 OWASP Top 10 API Security를 준수하며 다양한 API 형식(XML, JSON 등) 보호
- 악성 봇 완화(Bot Control) 스파이웨어, 애드웨어, 스팸 봇, 악성 웹 크롤러 등을 자동 차단
- 위협 IP 차단(Malicious IP) 171개국 700,000여 개 사이트의 데이터를 활용해 위협 IP를 사전 차단
Cloudbric WAF+는 20년 이상의 보안 경험을 바탕으로, 숙련된 보안 전문가들이 실시간 관리 서비스를 제공한다. 이를 통해 기업은 지속 가능한 보안 체계를 구축하고, 서비스의 안정성을 극대화할 수 있다.
글로벌 보안 어워드를 휩쓴 Cloudbric WAF+, 최강의 보안 솔루션 입증
펜타시큐리티의 ‘Cloudbric WAF+’는 혁신적인 클라우드 보안 기술력을 바탕으로 개발된 국내 최초의 클라우드 기반 웹 보안 SaaS(Software as a Service)로, 2015년 출시와 동시에 미국 국가사이버보안협의회(NCSAM) 챔피언에 2년 연속 선정되며 글로벌 보안 시장에서 주목받았다.
출시 이후에도 Cloudbric WAF+는 SC Award Europe ‘Best SME Security Solution’(2016), Cybersecurity Excellence Awards ‘Best Web Application Security’, ‘Best Website Security’ Gold(2022), Globee® Awards for Cybersecurity ‘Web Application Security and Firewall’ Silver(2024) 등 세계적 권위의 사이버 보안 어워드를 수상하며, 글로벌 시장에서 새로운 보안 표준을 제시하고 있다.
특히, Cloudbric WAF+는 출시 4년 만인 2019년 전 세계 53개국에서 13,000여 고객을 확보하며 빠르게 성장했으며, 일본 시장에서의 성과는 주목할 만하다. 글로벌 고객의 약 1/3이 일본에 위치하고 있으며, 2017년 대비 2024년 매출 성장률이 6,163%에 달하는 폭발적인 성장을 기록했다. 이러한 성과를 바탕으로 일본 WAF(Web Application Firewall) 시장의 선두 주자로 자리매김했으며, 일본의 대표 IT 제품 비교 사이트 ‘IT 트렌드’의 ‘IT 트렌드 연간 랭킹 2024’에서 WAF 부문 1위에 올랐다.
일본 현지 고객들은 Cloudbric WAF+의 강력한 보안 성능, 현지화된 일본어 지원 서비스, 사용자 친화적인 대시보드를 선택 이유로 꼽고 있다.
- 데이터 기반 보안 성능: Tolly Group 등 글로벌 검증 기관으로부터 실증 받은 보안 기술력을 통해 다양한 사이버 위협에 대한 탁월한 방어력 제공
- 일본어 서포트 체제: 일본어 지원 전문가를 통해 보안 정책 설정 시 발생할 수 있는 고객의 어려움을 효과적으로 해소
- 사용자 친화적인 대시보드: 직관적인 UI와 높은 정보성을 갖춘 대시보드를 통해 보안 상황을 쉽게 파악하고 신속하게 인사이트 도출 가능
특히, 까다로운 일본 시장에서 선두 자리를 굳건히 유지하며, 보안 성능과 고객 지원 측면에서 압도적인 경쟁력을 보여준다. 이러한 성과는 Cloudbric WAF+가 글로벌 무대에서 신뢰받는 보안 솔루션으로 자리매김하고 있음을 증명하고 있다.
▲넷스카웃 ARBOR Cloud Signaling을 이용한 하이브리드 DDoS 대응 [자료=셀파인네트웍스]
[디도스 대응 솔루션 집중분석-2]
넷스카웃 ARBOR ADP(Adaptive DDoS Protection) 및 하이브리드 DDoS 방어 체계
셀파인네트웍스, AI와 ML 기반 지능형 DDoS 방어 체계 제공
최근 사이버 위협의 가장 큰 문제 중 하나는 DDoS 공격의 정교화, 동적 및 다각화라 할 수 있다. 네트워크 대역 전체를 대상으로 하는 Carpet bombing 공격부터 정교한 애플리케이션 공격 및 다양한 방식을 이용한 멀티벡터 공격까지 DDoS 공격 양상은 끊임없이 진화하고 있으며, 기업은 이러한 DDoS 위협에 대응하기 위해서 고도화된 방어 시스템을 통한 지속적인 대응전략을 갖추는 것이 필수적이다. 이 가운데 셀파인네트웍스는 뛰어난 전문성과 다수의 레퍼런스 및 노하우로 Anti-DDoS 분야에서 많은 신뢰를 얻고 있으며, 최근 넷스카웃 ARBOR의 AI/ML 기반 지능형 DDoS 대응 기술인 ADP 기술을 통해 지능화된 DDoS 공격에 효과적으로 대응할 해결책을 제공하고 있다.
넷스카웃 ARBOR ADP, AI와 ML 기반 기술로 DDoS 공격 변화에 유연하게 대응
넷스카웃 ARBOR ADP는 지능화된 DDoS 공격을 완화하기 위한 인텔리전트한 기능으로 단순히 사전 정의한 정책으로 공격을 탐지하고 방어하는 것에 그치지 않고, 공격자의 공격방식 변화에 따른 신규 공격 트래픽을 AI 및 ML 기술을 사용해 장비 스스로 분석하고 기존 방어 정책과 비교하여 적절한 보호 정책을 권고 또는 자동 방어 체계를 제공한다. 이를 통해 지능화된 DDoS 공격에 대해 최적의 완화 정책을 넷스카웃 ARBOR Anti-DDoS 시스템에 자동으로 적용함으로써 공격 변화에 실시간 대응 방법을 제공한다. 이는 멀티-벡터 DDoS 공격에 대처하기 위한 필수적인 기술로, 넷스카웃 ARBOR 솔루션만이 이와 같은 동적 멀티-벡터 DDoS 공격에 대응할 수 있는 유일한 방법을 제공한다.
또한 넷스카웃은 글로벌 90%의 Tier 1 통신사와 협업을 통해 전 세계 DDoS 위협에 대한 독보적인 가시성을 ADP 기술에 활용하고 있다. 넷스카웃은 전 세계 50% 이상의 인터넷 트래픽을 모니터링하며, 230개국 이상, 600개 이상의 산업 분야에서 수백만 건의 DDoS 공격을 실시간 모니터링하고 있다. 아울러 이 데이터를 3rd Party IoC, Honeypot 데이터, 그리고 독자 개발한 AI/ML 기반 시스템과 연계해 업계 최고의 실시간 인텔리전스 피드인 AIF(ATLAS Intelligence Feed)를 제공한다. 넷스카웃 ARBOR ADP는 이 AIF 데이터를 활용해 모든 유형의 DDoS 공격을 빠르게 식별해 어떠한 DDoS 공격에도 완벽하게 대응할 수 있는 지능형 DDoS 방어 솔루션을 제공한다.
Cloud Signaling, 하이브리드 DDoS 보안 체계
셀파인네트웍스는 통신사 및 대규모 네트워크를 위한 Out of path 방식의 넷스카웃 ARBOR Sightline/TMS를 제공하며, 이를 통해 광범위한 네트워크 가시성과 대용량의 DDoS 공격 대응 및 ADP를 결합해 대규모 Carpet bombing 및 AIF를 이용한 지능형 탐지 및 차단 기능을 제공한다. 국내 대형 ISP에서도 해당 장비로 DDoS 클린존 서비스를 제공하고 있으며, 기존 다수의 대형 기업 네트워크에서 사용하고 있는 대용량 DDoS 처리에 검증된 제품이다.
소규모 네트워크의 경우 네트워크 경계에 인라인으로 설치되어 DDoS 공격뿐만 아니라 Malware를 포함한 다양한 보안 위협 및 IoC를 실시간으로 탐지해 차단하는 넷스카웃 ARBOR AED를 제공한다. 넷스카웃 ARBOR AED는 ADP와 결합해 지능형 어플리케이션 공격 차단에 특화되어 있으며, DNS 트래픽 학습을 통한 DNS 서비스 보호 특화 기능도 제공한다. 또한 HTTPS 복호화 기능을 통해 암호화된 DDoS 공격도 완전히 차단한다.
최근 DDoS 공격은 여러 공격 벡터를 결합해 행해지므로, 기업의 경우 네트워크 경계에 On-premises 솔루션을 이용해 HTTPS 복호화와 함께 애플리케이션 공격 및 보안 위협을 차단하고, 대규모 Volumetric 공격은 클라우드 기반 완화를 시행하는 하이브리드 DDoS 방어가 필수적이다. 이를 위해 넷스카웃은 Onpremises와 클라우드 기반 완화를 자동화된 방식으로 연동하는 Cloud Signaling이라는 기능을 제공한다. 이를 통해 기업들은 On-premises 장비인 넷스카웃 ARBOR AED를 구축하고, 이를 ISP가 제공하는 DDoS 클린존과 Cloud Signaling으로 연동해 다양한 벡터의 공격에도 빠르고 정확하게 대응할 수 있는 진보된 DDoS 방어 솔루션을 구축해 비즈니스 서비스의 가용성을 안전하게 유지시켜야 한다.
▲전 세계 데이터센터의 네트워크(L3), 전송(L4), 애플리케이션(L7) 레이어에서 디도스 공격으로부터 서버를 보호하는 ‘지코어 디도스 방어 솔루션’ [자료: 지코어]
[디도스 대응 솔루션 집중분석-3]
사상 최대 파괴력 갖춘 디도스 공격 대비의 시급성에 대해 기업에 경종
지코어, 전 세계 네트워크에서 탐지된 디도스 공격 현황 분석한 ‘레이더 보고서’ 발표
지코어가 2024년 하반기 디도스(DDoS) 공격 동향을 분석한 ‘지코어 레이더 보고서’를 발표하면서 사상 최대 규모와 파괴력을 기록하고 있는 디도스 공격에 대응하기 위한 보안 대책이 시급하다고 강조했다. 레이더 보고서는 전 세계 6개 대륙 지코어 네트워크에서 탐지된 디도스 공격을 분석한 것으로, 모든 산업군에 속한 기업들에게 디도스 공격 대비의 시급성을 알리고 리스크를 최소화하는 방안을 제시하고 있다.
보고서에 따르면 2024년 하반기 디도스 공격 건수가 2023년 하반기 대비 56%, 2024년 상반기 대비 17%로 빠른 증가세를 보이고 있으며, 디도스 공격의 최대 공격 규모도 Tbps(테라비트/초) 단위로 크게 증가했음을 알 수 있다. 또한 가장 많은 공격을 받는 산업군과 디도스 공격 발원지에 대한 데이터도 확인할 수 있다.
디도스 공격 목표 타깃의 변화...예의 주시해야 할 업계는?
2024년 상반기에 가장 많은 디도스 공격을 받은 업계가 게임(49%), 기술(15%), 금융(12%), 통신(10%) 순이었으나, 하반기에는 게임(34%), 금융(26%), 기술(19%), 미디어 및 엔터테인먼트(9%) 순으로 나타나면서, 디도스 공격의 목표 타깃에 변화가 감지됐다. 전체 디도스 공격에서 게임 산업의 공격 비중은 여전히 높지만, 2024년 상반기 대비 15%나 감소한 것을 확인할 수 있다. 반면 금융 산업에 대한 디도스 공격 비중은 상반기 대비 14%나 증가하면서 공격의 주요 표적이 되는 것으로 파악됐다.
이는 게임 회사들이 디도스 방어 시스템을 강화해 공격 성공률을 낮춘 것이 영향을 미쳤을 수 있다. 또 다른 이유로는 공격자들이 고부가가치를 지닌 금융 서비스와 같은 분야로 목표를 이동했기 때문일 가능성도 크다고 지코어는 분석했다. 금융은 인터넷 뱅킹과 같은 중요한 온라인 서비스를 운영하고 있고, 랜섬웨어와 같은 금전적 목적의 공격에 취약하다는 점도 공격 증가의 이유이다. 이 외에도 공격 성공 시 수많은 조직이 의존하는 서비스가 중단돼 사람과 기업에 막대한 피해를 줄 수 있는 기술 분야도 2023년 하반기 이후 디도스 공격에서 차지하는 비중이 지속 증가하고 있다.
디도스 공격 성향과 패턴의 파악...공격 리스크 최소화하려면?
디도스 공격은 지속시간이 점점 더 짧아지면서도 더 강력한 트래픽을 동반하는 특징을 보인다. 2024년 하반기에 가장 긴 공격 지속시간은 5시간으로, 상반기 16시간에서 크게 감소했다. 또한 공격 시 최대 2Tbps의 트래픽이 순간적으로 발생한 경우도 있다. 이러한 짧지만 강력한 ‘버스트(Burst) 공격’의 증가는 정상적인 트래픽 급증과 유사해 탐지가 어려우며, 탐지 지연으로 공격자는 방어 시스템이 작동하기 전에 피해를 가할 수 있는 기회를 얻게 된다. 이는 랜섬웨어 배포와 같은 2차 공격을 숨기기 위한 연막작전에 활용되기도 한다. 이에 지코어 보안 책임자인 안드레이 슬라스테노프(Andrey Slastenov)는 “디도스 공격의 빈도는 물론 강도의 증가, 다양한 산업군으로 공격 대상이 확장되고 있는 가운데 디도스 탐지, 완화, 보호 솔루션의 도입을 통해 비즈니스의 운영 중단, 다운타임, 재정적 손실, 더 나아가 평판에 손상을 줄 수 있는 리스크를 최소화해야 한다”고 강조했다.
지능형 디도스 공격 대응, 지코어 엣지 AI로 보안 강화
디도스 공격에 있어 AI 기반 공격 알고리즘이 적용되면서 이제는 기존 보안 조치로는 공격 패턴이 끊임없이 변화하는 디도스 공격을 차단하는 것이 불가능해졌다. 이제 기업은 AI 기반 예측 기능을 통해 공격이 발생하기 전에 네트워크를 선제적으로 보호할 수 있어야 한다. AI가 엣지 네트워크와 결합하면 기업은 디도스 공격을 완화하고 실시간 최선의 의사결정을 내릴 수 있어 더욱 효과적인 대응이 가능해진다. AI 알고리즘은 신속한 방어 조치를 취하기 위해 실시간 데이터가 필요한데, 공격의 출발점에 가깝게 위치한 엣지 네트워크에서 데이터를 처리함으로써 위협을 더욱 빠르게 인식하고 완화할 수 있기 때문이다.
지코어의 엣지 보안은 AI 기반 방어 조치가 중앙 데이터센터에서만 수행되는 것이 아니라 엣지에서 직접 실행됨으로써 중앙집중식 시스템의 부하를 줄이고 디도스 대응 속도를 향상한다. 이러한 엣지에서의 분산형 방어 전략은 빠른 응답시간이 중요한 대규모 디도스 공격을 대응할 때 특히 효과적이다. 또한 지코어의 디도스 방어는 자체 독점적인 솔루션으로 구현되어 L4 레벨까지 방어가 가능한 온디맨드(On-Demand) 보호 또는 L7까지 모든 레벨의 방어가 가능한 올웨이즈온(Always on) 보호를 선택할 수 있다. 이와 함께 전 세계의 광범위한 애니캐스트(Anycast)를 사용해, 공격 시발점에서의 대량공격을 거점에서 원천 차단할 수 있도록 구현하고 있다. 특히 한국은 자체 스크러빙(Scrubbing) 센터를 구축하고 있어, 해외 발현 공격 방어에 더해 국내 발현의 공격에 대해 추가로 1Tbps의 방어 능력을 갖추고 있다.
▲시큐아이 BLUEMAX ADS[자료: 시큐아이]
[디도스 대응 솔루션 집중분석-4]
복잡한 멀티벡터 공격까지 막는 새로운 차원의 DDoS 방어
AI-powered 고성능 Anti-DDoS 시스템
대량의 트래픽을 전송해 시스템을 마비시키는 분산 서비스 거부(DDoS)는 디지털 시대의 발전과 함께 오랜 시간 기업을 괴롭혀온 보안 위협이다. TCP, UDP 등의 Flooding을 유발하는 단순한 형태의 DoS를 시작으로, 최근에는 여러 공격을 동시에 진행해 대응을 어렵게 하는 Multi-vector DDoS, 랜섬웨어와 DDoS를 동시에 진행하는 Ransom DDoS까지 등장하고 있다. 이처럼 공격 유형이 점점 정교하고 다양해짐에 따라 DDoS 위협에 대한 강력한 대응 능력이 더욱 중요해졌다.
시큐아이는 정교해지는 DDoS 공격에 대응하기 위해 최신 DDoS 트렌드를 반영한 Anti-DDoS 제품을 지속적으로 출시해 왔다. BLUEMAX ADS는 SECUI NXG D와 SECUI MFD를 거친 3세대 제품으로, 시큐아이의 오랜 경험과 기술력을 바탕으로 글로벌 스탠다드 수준에 도달했다. BLUEMAX ADS는 △머신러닝 기반 기술 △방어 메커니즘 △고성능(High-performance) △자체 분석(Analytics) △운영 효율성(Efficiency) △기술지원(Support) 등 6가지 글로벌 DDoS 대응 트렌드를 반영했다.
ML 기반의 지능형 DDoS 탐지 및 대응
BLUEMAX ADS는 시큐아이의 위협 분석 센터인 STIC(SECUI Threat Intelligence Center)과 연동해 실시간으로 위협 정보를 수집하고, 머신러닝 알고리즘을 통해 분석한 후, 악의적인 디도스 공격에 선제적으로 대응한다. 시큐아이는 STIC뿐만 아니라 AI/ML 기반의 위협대응플랫폼 TARP를 통해 원격관제 서비스를 제공하며, 이를 통해 분석한 공격 패턴을 활용해 디도스 공격에 더욱 강력하게 대응한다. 또한, BLUEMAX ADS는 디도스 공격 특성에 맞춘 독자적인 다중 레이어 방어 로직을 탑재하고 있어, 다양한 유형의 DDoS 공격을 탐지하고 효과적으로 대응할 수 있다.
대용량 DDoS 공격 방어에 최적화된 고성능 엔진
고성능 디도스 대응 시스템인 BLUEMAX ADS는 대규모 트래픽 처리에 특화된 고성능 패킷 처리 프로세스와 공격 유형에 따른 전용 탐지 엔진 등 대용량 DDoS 공격 방어에 최적화된 아키텍처를 적용해 DDoS 공격이 발생해도 안정적인 서비스 연속성을 보장한다. BLUEMAX ADS 10000 제품 기준으로 최대 160Gbps의 처리 성능을 제공하며, 대형 망에서 요구되는 아웃 오브 패스 구성도 지원한다.
직관적 인터페이스와 원클릭 서비스로 운영 편의성 강화
BLUEMAX ADS는 뛰어난 기능과 성능을 제공할 뿐만 아니라, 사용자 중심의 인터페이스와 편의성을 극대화한 제품이다. 자체 수집한 로그를 기반으로 정밀 분석 기능을 제공하며, 직관적인 인터페이스와 다양한 위젯을 통해 세션 분석, 트래픽 통계 등 심층적인 분석 환경을 제공한다. 또한 시큐아이는 한 번의 클릭만으로 BLUEMAX ADS에서 시큐아이 침해대응센터로 해당 이벤트를 전송해 분석을 요청하는 원클릭 서비스를 지원한다. 고객사는 복잡한 로그 추출 과정 없이 의심 로그를 손쉽게 추출하고 분석 의뢰를 원스텝으로 진행할 수 있다. 이처럼 BLUEMAX ADS는 뛰어난 성능과 사용 친화적인 기능들을 통해 효율적인 DDoS 대응 체계를 마련한다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
