[reinvent 2024] DDOS 공격을 받고 있습니다! 대응할 준비가 되셨나요?
Summary
운영 팀은 공격 시 어떻게 대응해야 하는지 알고 있나요? DDOS 전략을 염두에 두고 설계하셨나요? 이 강의에서는 공격 시 대응하는 데 도움이 되는 단계를 안내합니다. 이러한 시나리오에 선제적으로 대비하기 위해 활용해야 할 AWS 도구와 준수할 수 있는 모범 사례를 살펴보세요. Amazon CloudFront, AWS WAF, AWS Shield Advanced와 같은 서비스를 사용하여 DDOS 공격을 식별하고 대응하는 방법을 알아보세요.
리인벤트 2024 테크 블로그의 더 많은 글이 보고 싶다면?
Overview
들어가며
이번에는 “You are under a DDoS attack: Are you ready to respond?” 세션을 듣고 정리한 내용을 공유드리겠습니다. DDoS 공격 방어는 클라우드 환경에서 반드시 고려해야 할 중요한 주제라고 생각되어서 세션을 신청하게 되었습니다. 이번 세션에서는 AWS Shield, WAF, CloudFront 등의 기술을 활용한 대응 방법 및 모범 사례에 대해 이야기 되었고, 특히 실무적인 인사이트를 중심으로 되어있어 좀더 흥미로웠던 세션이었던거 같습니다.
DDoS 공격이란?
DDoS(Distributed Denial of Service) 공격은 대규모의 요청을 한꺼번에 보내 특정 시스템이나 애플리케이션을 마비시키는 방식으로 이루어지는데요 이는 주로 네트워크 레이어에서 시작되지만, 최근에는 애플리케이션 레이어(특히 HTTP 요청)로 공격 방식이 확장되고 있다고 합니다. 이러한 공격의 목표는 시스템 성능 저하 또는 완전한 가동 중단을 유도하는 것인데 공격은 다수의 IP 소스를 이용하여 발생하며, 볼류메트릭 공격, HTTP 요청 폭주, API 브루트포스와 같은 다양한 형태로 나타나고 있다고 합니다. 이를 방지하려면 네트워크 및 애플리케이션 수준에서의 다중 보호 레이어가 필요하다고 하네요.
AWS의 주요 DDoS 방어 솔루션
AWS는 WAF, CloudFront, Shield Standard 및 Advanced를 통해 다중 레이어 방어를 제공하고 특히 Shield Standard는 모든 AWS 고객에게 기본 제공된다고 합니다.
SRE 관점에서의 DDoS 대응 시뮬레이션
SRE(Site Reliability Engineer)는 공격이 발생했을 때 가장 먼저 문제를 진단하고 해결해야 하는 중요한 역할을 맡는데 공격이 발생하면 운영 팀은 즉시 관련 부서를 소집해 문제를 논의하고 대응 전략을 수립해야 한다고 합니다. 초기 대응으로는 CloudTrail을 통해 환경 변경 사항을 추적하고 CloudWatch 메트릭을 활성화해 트래픽과 오류를 모니터링 하고 이후, ALB(Application Load Balancer)와 API Gateway의 로깅 기능을 활성화하여 트래픽 경로를 명확히 파악하고, Route 53의 헬스 체크를 통해 애플리케이션 가용성을 확인해야 한다고 합니다. 이를 통해 SRE는 실시간 데이터를 기반으로 문제를 진단하고 적절한 해결책을 실행할 수 있다고 하네요.
AWS에서 제공하는 기본 보호: Shield Standard
AWS Shield Standard는 모든 AWS 고객에게 기본 제공되며, 별도의 설정 없이 자동으로 작동하는 DDoS 방어 메커니즘 이라고 합니다. 이 서비스는 POP(Point of Presence)와 트랜짓 센터에서 트래픽을 실시간으로 분석하여 악성 트래픽을 차단한다고 하네요. Shield Standard는 SYN Flood, UDP Reflection Attack과 같은 일반적인 네트워크 레이어 공격을 효과적으로 방어 가능하다고 하고 AWS 인프라의 글로벌 분산 특성을 활용하여 대규모 DDoS 공격을 흡수하며, 클라이언트와 애플리케이션 간의 연결을 보호하는 역할을 수행한다고 합니다.
CloudFront를 통한 공격 완화
CloudFront는 AWS의 콘텐츠 전송 네트워크(CDN) 서비스로, DDoS 공격을 효과적으로 완화하는 중요한 역할을 할 수 있다고 합니다. 캐싱 메커니즘을 통해 요청의 상당 부분을 오리진 서버 대신 CloudFront에서 처리하여 백엔드 시스템의 부담을 줄이고 특히 짧은 TTL 설정과 오류 캐싱 기능은 공격 중 서버 부하를 완화하는 데 유용하다고 합니다. 또한 CloudFront는 레이어 7에서 요청 속성을 분석하여 악성 트래픽을 감지하고 차단하며, WAF(Web Application Firewall)와 통합하여 세부적인 방어 규칙을 설정할 수 있어 DDoS 방어에 아주 유용한 서비스라고 할 수 있을 것 같습니다.
AWS WAF의 활용법
WAF를 활용하면 기본적인 OWASP 규칙부터 시작해 고객 맞춤형 규칙까지 적용할 수 있다고 하는데요 예를 들어, IP 레퓨테이션 리스트를 통해 의심스러운 IP를 차단하거나, Bot Control 및 Fraud Control 기능을 통해 악성 봇 및 브루트포스 공격을 방어할 수 있다고 합니다. 또한, API 경로별로 세부적인 레이트 제한을 설정하여 특정 경로에서 발생하는 공격을 효과적으로 차단할 수 있는데 이러한 모든 설정은 CloudFront 대시보드에서 쉽게 관리할 수 있어 운영의 편의성을 제공한다고 합니다.
방어 심층 전략
AWS의 방어 심층 전략은 다양한 서비스와 기술을 결합하여 다층 방어를 제공하는데요 CloudFront는 트래픽의 첫 번째 방어선을 형성하며, WAF는 애플리케이션 레벨에서 세부적인 제어를 제공한다고 합니다. Route 53의 헬스 체크와 Shield Advanced의 24/7 모니터링은 신속한 대응과 지속적인 보호를 가능하게 하는데 이러한 통합적인 방어 체계는 공격의 규모와 유형에 상관없이 효과적으로 대응할 수 있도록 설계되었다고 말했습니다.
결론
이번 세션에서는 DDoS 공격의 개념부터 AWS 서비스들을 활용한 대응 전략까지 폭넓게 다루었는데 핵심은 CloudFront와 WAF를 활용한 초기 방어와 Shield Advanced를 통한 추가 지원입니다. 실제 DDoS 관련해서 AWS 에서 추천하는 아키텍처가 CloudFront와 WAF 를 활용한 아키텍처인데 트래픽 인입단계에서의 원천적으로 차단하거나 완화하는데 가장 적합한 아키텍처로 보입니다. DDoS는 지속적으로 진화하는 위협이므로, 방어 체계의 정기적인 검토와 테스트가 필요하다는 것도 중요할 것으로 생각됩니다.