CDN 서비스 업체인 씨디네트웍스에 따르면, 지난 5월 29일, 평상시에는 150Mbps 수준의 트래픽을 서비스하는 한 업체에 갑자기 많은 IP에서 특정 콘텐츠를 요청하는 접속 시도가 일제히 있었으며, 이로 인해 순간적으로 103Gbps 이상의 대형 트래픽이 유발되었다고 밝혔다. 요청한 파일은 260Kbytes의 일반적인 이미지 파일이었으며, 이때 접속 요청을 한 Unique한 IP는 약 3,000여개로 모두 국내 IP인 것으로 확인되었다.
[그림] 103Gbps 트래픽이 발생한 예
다만, 100Gbps가 넘는 대량의 트래픽이 순간적으로 발생하였지만, 서비스 장애는 없었는데 이는 CDN 서비스의 경우 Cloud 기반으로 대량의 트래픽을 처리할 수 있도록 디자인 되어 있으므로, 이렇듯 예상하지 못한 종류의 트래픽에도 서비스 영향을 최소화하면서 서비스가 가능하기 때문이다.
공격자의 의도는 확인되지 않았지만, 좀비(zombie)를 이용하여 대량의 트래픽을 유발함으로써 inbound가 아닌 outbound 대역폭을 가득 차게 하여 서비스 장애를 유발하도록 의도 했던 것으로 추측되고 있다. 공격자 입장에서 이러한 종류의 공격은 기술적으로 쉽게 수행할 수 있으므로, 서비스 관리자는 이러한 종류의 공격에 대해서도 다음과 같은 대응 방안을 수립하고, 고민하여야 할 것으로 보인다.
-. 모니터링 강화
Application level의 일반적인 HTTP 요청을 하려면 3 way handshake라는 과정을 거쳐야 하므로 소스IP는 위조될 수 없다. 따라서, 모니터링을 강화함으로써 비정상적으로 과도한 요청을 하는 IP에 대해서는 적극적인 차단 정책을 수행하여 발생 가능한 피해를 줄일 수 있을 것이다.
-. Ratelimit (접속 비율 제한)
공격자 입장에서는 최소의 좀비로 효과를 극대화하기 위해 한 IP에서 대량의 트래픽을 유발하거나 요청을 하게 된다. 따라서 적당한 수준의 Ratelimit를 통해 IP별 접속 제한수를 제한해 두면 만약의 공격 발생시 피해를 줄일 수 있을 것이다. 그러나, 하나의 공인 IP를 공유하는 NAT 환경의 경우도 있을 수 있으므로 실제 적용에는 주의하여야 한다.
-. Cloud 서비스
Cloud 서비스의 경우 대규모의 인프라를 통해, 갑작스런 트래픽의 증가에도 일정 정도 대응 가능한 준비가 되어 있으므로 Cloud 서비스의 도움을 받을 수 있다.
[글. 홍석범 씨디네트웍스 시스템 UNIT 부장 / antihong@gmail.com]
