DDoS 공격이란 무엇이고 어떻게 막을 수 있을까?

목차

1. 서버가 갑자기 먹통이 됐다면?
2. DoS와 DDoS의 차이
3. DDoS 공격의 종류
4. DDoS 공격을 받으면 어떤 증상이 나타나나?
5. 개인 서버 수준에서 DDoS를 막는 방법
6. 클라우드 서비스의 DDoS 방어 기능
7. DDoS 완전 차단은 불가능하다 – 현실적인 대응 전략
8. 정리

1. 서버가 갑자기 먹통이 됐다면?

멀쩡하게 돌아가던 서버가 갑자기 응답을 멈추고, 아무도 접속할 수 없는 상황이 생길 수 있습니다. CPU는 100%에 달하고, 네트워크 트래픽은 폭증하는데 정작 서비스는 아무것도 처리하지 못하는 상태입니다.

이런 상황의 원인 중 하나가 바로 DDoS 공격입니다. 뉴스에서 자주 들어봤지만 정확히 어떤 원리인지, 어떻게 대응해야 하는지 모르는 분들이 많습니다. 이 글에서는 DDoS 공격의 개념부터 현실적인 대응 방법까지 쉽게 설명드립니다.

2. DoS와 DDoS의 차이

DDoS를 이해하려면 먼저 **DoS(Denial of Service, 서비스 거부 공격)**를 알아야 합니다.

DoS 공격은 한 대의 컴퓨터가 특정 서버에 엄청난 양의 요청을 보내서 서버를 마비시키는 공격입니다. 마치 한 명이 콜센터에 전화를 수천 번 걸어 다른 사람들이 연결하지 못하게 방해하는 것과 같습니다.

**DDoS(Distributed Denial of Service, 분산 서비스 거부 공격)**는 수천, 수만 대의 컴퓨터가 동시에 한 서버를 공격하는 방식입니다. 공격에 사용되는 컴퓨터들은 대부분 악성코드에 감염된 일반인의 PC나 IoT 기기들로, 이를 **봇넷(Botnet)**이라고 부릅니다.

구분DoSDDoS

공격 주체	한 대의 컴퓨터	수천~수만 대의 분산된 컴퓨터
차단 난이도	상대적으로 쉬움	매우 어려움
공격 규모	소규모	대규모
공격 IP	단일 IP	수많은 분산 IP

DoS는 공격 IP를 차단하면 막을 수 있지만, DDoS는 수만 개의 IP에서 동시에 공격이 오기 때문에 단순 IP 차단으로는 막기가 매우 어렵습니다.

3. DDoS 공격의 종류

DDoS 공격에는 여러 가지 유형이 있습니다. 대표적인 세 가지를 알아보겠습니다.

볼류메트릭 공격(Volumetric Attack) 서버의 네트워크 대역폭을 초과하는 엄청난 양의 트래픽을 쏟아붓는 방식입니다. 서버가 데이터를 받아들이는 통로 자체를 막아버립니다. 가장 흔한 DDoS 유형입니다.

프로토콜 공격(Protocol Attack) TCP/IP 프로토콜의 취약점을 이용해 서버의 연결 처리 자원을 소진시킵니다. SYN Flood 공격이 대표적으로, 연결 요청만 보내고 완성하지 않아 서버의 연결 대기 큐를 가득 채웁니다.

애플리케이션 공격(Application Layer Attack) 정상적인 HTTP 요청처럼 위장해 웹 서버에 부하를 줍니다. 트래픽 양은 적어 보이지만 서버 자원을 많이 소비하는 복잡한 요청을 반복적으로 보내 서버를 마비시킵니다.

4. DDoS 공격을 받으면 어떤 증상이 나타나나?

DDoS 공격을 받으면 다음과 같은 증상이 나타납니다.

웹사이트 접속이 매우 느려지거나 완전히 연결이 되지 않습니다. 서버의 CPU, 메모리 사용량이 갑자기 급격히 치솟습니다. 네트워크 트래픽이 평소와 비교해 비정상적으로 폭증합니다. 로그 파일에 수많은 IP에서 짧은 시간 안에 대량의 요청이 기록됩니다.

이런 증상이 나타나면 먼저 서버 모니터링 명령어로 상태를 확인하고, 로그를 분석해 공격 여부를 판단해야 합니다.

5. 개인 서버 수준에서 DDoS를 막는 방법

소규모 DDoS 공격은 서버 자체적으로도 어느 정도 대응이 가능합니다.

방법 1. UFW로 특정 IP 차단 공격이 특정 IP 대역에서 집중된다면 해당 IP를 차단합니다.

sudo ufw deny from 공격IP주소

방법 2. Nginx로 요청 속도 제한(Rate Limiting) Nginx 설정에서 특정 IP의 요청 횟수를 제한할 수 있습니다. Nginx 설정 파일에 아래 내용을 추가하면 1초에 10번 이상 요청하는 IP의 요청을 제한합니다.

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

방법 3. Fail2Ban 활용 앞서 소개한 Fail2Ban을 SSH뿐 아니라 Nginx 로그에도 적용하면, 비정상적으로 많은 요청을 보내는 IP를 자동 차단할 수 있습니다.

6. 클라우드 서비스의 DDoS 방어 기능

대규모 DDoS 공격은 서버 자체적으로 막기 어렵습니다. 수 Gbps, 수십 Gbps에 달하는 트래픽이 밀려오면 서버가 트래픽을 처리하기도 전에 네트워크 회선 자체가 포화됩니다.

이런 경우 클라우드 서비스의 DDoS 방어 기능을 활용합니다.

Cloudflare는 전 세계 데이터센터에 분산된 네트워크를 통해 DDoS 트래픽을 흡수하고 정상 트래픽만 서버로 전달해 줍니다. 무료 플랜만으로도 기본적인 DDoS 방어 기능을 제공하기 때문에, 개인 서버를 운영한다면 Cloudflare DNS를 적용하는 것만으로도 상당한 보호 효과를 볼 수 있습니다.

AWS Shield는 AWS에서 제공하는 DDoS 방어 서비스입니다. Standard 등급은 AWS 사용자라면 무료로 제공되며, 일반적인 네트워크 및 전송 계층 공격을 자동으로 방어합니다.

7. DDoS 완전 차단은 불가능하다 – 현실적인 대응 전략

솔직히 말씀드리면, DDoS 공격을 100% 완벽하게 막는 방법은 존재하지 않습니다. 공격 규모가 서버와 네트워크가 처리할 수 있는 한계를 넘어서면 어떤 방어책도 한계가 있습니다.

따라서 현실적인 목표는 공격의 영향을 최소화하고 빠르게 복구하는 것입니다.

평소에 서버 모니터링을 통해 트래픽 이상 징후를 빠르게 감지하는 것이 중요합니다. Cloudflare 같은 CDN을 앞에 두어 서버 IP를 숨기고 트래픽을 분산시킵니다. 공격이 발생했을 때 클라우드 서비스의 스케일 업 기능으로 임시로 서버 성능을 높이는 방법도 있습니다. 그리고 공격이 끝난 후 로그를 분석해 패턴을 파악하고 방어 규칙을 보강합니다.

8. 정리

오늘 배운 핵심을 정리합니다.

• DDoS는 수많은 분산된 컴퓨터가 동시에 서버를 공격해 서비스를 마비시키는 공격입니다.
• 소규모 공격은 UFW 차단, Nginx Rate Limiting, Fail2Ban으로 어느 정도 대응할 수 있습니다.
• 대규모 공격에는 Cloudflare, AWS Shield 같은 클라우드 방어 서비스를 활용해야 합니다.
• DDoS를 100% 막는 방법은 없으며, 현실적인 목표는 영향을 최소화하고 빠르게 복구하는 것입니다.