CDN은 평균적으로 데이터센터 또는 호스팅 사이트보다 사용자에게 훨씬 더 가까이에서 리소스를 제공한다. 그러나 언제나 사용자의 홈 네트워크(일반적으로 ISP)와 CDN 네트워크 엣지 사이에는 퍼블릭 인터넷이 존재한다. 종종, 이러한 경로를 통해 액세스할 때, CDN에 대한 액세스 속도를 저하시키거나 연결을 차단하는 문제가 발생하기도 한다. 즉, “정상” 트래픽이 CDN에 도달하지 못하도록 네트워크 상에 DNS 쿼리 트래픽을 과도하게 발생시키는 등의 문제는 대부분 디도스 공격에 의해 발생된다.
사용자와 CDN 간의 모든 경로는 CDN IP 주소와 ISP가 선택한 트랜짓(transit) 벤더의 조합으로 설정된다. CDN의 IP 주소는 DNS 테이블에 저장되며 각 ISP는 DNS 정보에 액세스하여 사용자의 요청을 전송할 위치를 결정한다. CDN을 사용하면 솔루션의 많은 동적 특성이 CDN 인프라에 적용되어 있고, DNS 조회를 통해 해당 인프라에 액세스할 수 있다. 따라서 CDN 아키텍처 및 정책과 DNS 아키텍처 및 관리 간의 관계가 점차 중요해지고 있다.
DDoS 공격(디도스 공격)이 발생하면, DNS 조회가 매우 느려지거나 사용이 어려울 수 있다. DNS 응답이 없으면 사용자는 CDN에 연결할 수가 없다. 따라서 CDN 네트워크가 아무리 효율적이라고 하더라도 아무런 서비스도 제공할 수 없게 된다.
최고의 디도스 솔루션은 다음과 같은 방법으로 CDN에 대한 디도스 공격의 영향력을 제한한다.
1. 최첨단 클라우드 기반 DNS 솔루션은 모든 네임서버가 DNS 쿼리에 응답하는 분산 네임서버 네트워크(애니캐스트)를 사용한다. 즉, 공격의 영향력을 DNS 인프라의 일부로만 제한할 수 있어서 네트워크의 나머지 부분은 일관된 성능을 유지할 수 있다.
2. 잘 관리되는 대규모의 클라우드 기반 DNS 솔루션은 볼류메트릭(volumetric) 데이터의 대규모 청크(chunks)를 흡수할 수 있으며, 정상 트래픽을 충분히 처리할 수 있다. 특히 대규모 연결 파이프가 있는 여러 글로벌 POP에서 다양한 티어(Tier) 1 전송을 사용하는 DNS 솔루션은 특히 이 같은 기능을 잘 구현할 수 있다.
3. CDN 액세스를 위해 여러 DNS 네트워크를 사용하는 것은 공통의 네임서버 풀(세컨더리DNS)을 사용하는 효과적인 접근방식이 될 수 있다. DNS 네임서버 세트 중 한 세트를 사용할 수 없는 경우에도 다른 DNS 솔루션은 영향을 받지 않으며, 일관성 및 성능에 영향을 미치지 않으면서 DNS 기능을 수행할 수 있다.
따라서, DNS솔루션이 가용성, 보안 및 성능에 영향을 줄 수 있는 디도스 공격을 통제하는데 중요한 영향을 미칠 수 있다는 사실은 분명하다. 또한 디도스 스크러버 사이트와 같이 별도의 디도스 보호 서비스를 추가하여 대용량 디도스 생성 트래픽을 흡수, 필터링하는 효과적인 방법을 적용함으로써 비즈니스 연속성을 유지할 수 있다. 다만 이러한 서비스는 추가 비용이 발생되고, 디도스 완화 DNS 솔루션(DDoS mitigating DNS solution)보다는 대기 시간이 길어질 수는 있다. 따라서 지속적으로 증가하는 디도스 공격과의 전쟁에서 여러 효과적인 DNS 및 디도스 스크러버 사이트 솔루션을 혼용해서 사용하는 방안을 신중히 고려해야 한다.
[글. 박대성 라임라이트 네트웍스 코리아 대표]
★정보보안 대표 미디어 데일리시큐!★
