NGINX App Protect DoS로 DoS 공격으로부터 애플리케이션 보호

이제 대부분의 거래는 온라인에서 이루어집니다. 따라서 온라인을 안전하게 보호해야 합니다. NGINX App Protect WAF와 NGINX App Protect DoS 모듈을 결합하면 사용자 환경, 애플리케이션, 비즈니스에 적합한 강력한 보호 기능을 확보할 수 있습니다.

사용자 경험이 가장 중요합니다. 소비자와 고객이 사용하지 않는다면 애플리케이션과 웹사이트를 보유할 이유가 없습니다. 따라서 긍정적이고 일관된 사용자 경험을 보장하는 것이 중요하며, 특히 지연 시간, Downtime, 오류에 대한 사용자들의 인내심 또한 낮아지고 있는 요즘에는 더욱 그렇습니다.

사용자가 애플리케이션이나 웹사이트에 대해 부정적인 경험을 하게 되면 평생 고객을 잃을 수도 있습니다. Salesforce 설문조사에 따르면 소비자의 61%가 한 번의 나쁜 경험 이후 경쟁업체로 전환했다고 응답했습니다. 나쁜 경험이 반복되면 고객 이탈은 피할 수 없습니다. 온라인에서 선택의 폭이 넓어지면 브랜드 로열티는 큰 의미가 없습니다.

소비자 불만족의 주요 원인 중 하나는 Downtime며, 서비스 거부(DoS) 공격은 지속적인 Downtime의 주요 원인입니다. 애플리케이션 설계의 변화로 인해 새로운 위협 요소가 등장했으며, 공격자들은 20년 이상 사용되어 온 DoS 공격을 최신 아키텍처에 맞게 변형하여 악용하고 있습니다. 2020년 1월부터 2021년 3월까지 애플리케이션 Layer(Layer 7)에서의 DoS 공격이 급격히 증가하여 전체 DDoS 사건의 16%를 차지했습니다. 실제로 오늘날 보안 사고 대응팀에 접수된 요청 중 절반은 애플리케이션 Layer DoS 공격에 대한 지원 요청입니다.

중앙 집중식 보안 완화는 네트워크 Layer(Layer 4)에서의 볼륨 DoS 공격에는 효과적일 수 있지만 애플리케이션 Layer DoS 공격은 보다 표적화되어 있으므로 점점 더 분산되고 API와 Microservices로 구성되며 클라우드와 같은 보다 유연한 인프라에서 실행되는 최신 애플리케이션을 보호하기 위한 전문화된 방어가 필요합니다.

목차

1. 기존 보호 기능을 뛰어넘는 NGINX App Protect 솔루션
2. 현대 아키텍처에는 최신 보호 기능이 필요합니다.
3. 여러 모듈을 사용한 완화

1. 기존 보호 기능을 뛰어넘는 NGINX App Protect 솔루션

DoS 공격의 Source가 분산되어 있더라도(DDoS 공격이 되어도) 네트워크 Layer의 기본 볼륨 공격은 일반적으로 단일 디바이스 또는 서비스를 대상으로 하며, 기존의 보호 도구는 이와 유사하게 Monolithic 중앙 집중식입니다. 이러한 도구는 애플리케이션 보안 환경에서 여전히 그 자리를 지키고 있지만 충분하지 않습니다. 오늘날 클라우드 기반 DDoS 방어 서비스는 업계 표준입니다. 그러나 애플리케이션이 더 이상 단일 Monolithic 서비스가 아니라 보호가 필요한 수많은 통합 지점을 가지고 있다는 사실을 여전히 해결하지 못하고 있습니다.

디지털 혁신과 이에 수반되는 API, Microservices, 클라우드 기반 통합으로 대규모 아키텍처가 전환되기 전에는 기본적인 Web Application Firewall(WAF)로 취약성 악용 및 DoS 공격을 상당 부분 완화할 수 있었습니다. 예를 들어 클라이언트 측에서 트래픽 폭증으로 나타나는 볼륨 공격의 경우, 트래픽이 중앙 집중화되기 때문에 클라우드 Scrubbing 서비스를 통해 트래픽이 Ingress Pipe로 들어가기 전에 공격을 완화하거나 애플리케이션 스택 앞에 보호 기능을 배치할 수 있으므로 기본 WAF와 기존 DoS 툴이 효과적입니다. 기본 WAF는 여전히 Rate Limiting, Denylisting, Bot Signature를 통해 기존 공격을 방어하지만, 위협 요소는 그 이상으로 진화했습니다.

요컨대, 환경이 변화하여 기본 WAF와 기존 DoS 방어는 최신 애플리케이션 아키텍처에서는 효과적이지 않습니다.

현대 DoS 공격은 Layer 7에서 발생하며, 암호화된 채널과 Target 애플리케이션 로직에 숨겨져 있기 때문에 탐지하기가 훨씬 더 어렵습니다. 따라서 DoS 공격의 가장 큰 두 가지 지표인 클라이언트 행동과 서버 트래픽을 측정하기 위한 추가적인 보호 Layer가 필요합니다.

이 문제를 해결하기 위해 최근 NGINX App Protect Denial of Service 모듈을 출시했습니다. 이미 WAF와 기존 DoS 보호 기능이 있는 경우 DoS 모듈이 필요한지 궁금할 수 있습니다.

2. 현대 아키텍처에는 최신 보호 기능이 필요합니다.

암호화는 어디에나 존재하며, 기존의 DoS 방어는 대규모 복호화를 위해 설계되지 않았습니다. Monolithic 애플리케이션 시대에는 암호화가 널리 퍼져 있지 않았고 클라이언트 측만 살펴봐도 공격을 대부분 탐지할 수 있었기 때문에 중앙 집중식 DoS 방어가 적합했습니다. 오늘날에는 거의 모든 트래픽이 암호화되므로, 특히 공격이 단일 표적 요청을 사용하여 애플리케이션에 트래픽을 가하는 경우, Ingress 트래픽에만 집중하는 Stateless DoS 방어는 크게 효과적이지 않습니다.

애플리케이션은 이제 Microservices와 같은 분산 아키텍처에 맞게 설계되고 최적화되었으며, 사용자 개인정보 보호에 대한 강조와 그에 따른 법률 제정으로 인해 End-to-End 암호화가 보편화되고 있습니다. 최신 아키텍처는 API에 크게 의존하고 있으며, API 간 통신(East‑West 트래픽이라고도 합니다)은 중앙 집중식 보안 제어를 통과하지 못할 수도 있습니다.

효과적인 애플리케이션 수준의 DoS 방어에는 클라이언트 측 이상 징후와 서버 측 트래픽을 탐지할 수 있는 기능을 포함한 End-to-End 가시성과 컨텍스트가 필요합니다. 고급 Layer 7 DoS 공격은 합법적인 트래픽으로 위장하는 경우가 많기 때문에 Rate Limiting, Deny listing, Signatures, 프로토콜 준수와 같은 기본적인 완화 조치만으로는 더 이상 충분하지 않습니다.

정교한 Layer 7 공격은 겉으로 보기에는 정상적인 트래픽처럼 보이지만, 기본 WAF는 이를 탐지하는 데 필요한 행동 분석 기능이 부족합니다. NGINX App Protect DoS는 클라이언트 이상 징후와 서버 트래픽을 모두 살펴볼 수 있도록 특별히 설계되었으며, 이미 과중한 업무에 시달리는 보안팀의 주의 없이도 공격을 동적으로 식별 및 완화하고 완화 효과를 측정할 수 있습니다.

기본적인 WAF 방어와 기존의 DDoS 방어에만 의존하는 경우 Layer 7 공격에 대한 적절한 가시성과 컨텍스트를 확보할 수 없으며 지연 시간, Downtime, 수익 손실, 브랜드 손상 등 막대한 결과를 초래할 수 있습니다. 행동 분석을 통해 클라이언트 이상 징후와 서비스 상태를 지속적으로 분석하여 Zero-Day DoS 공격을 탐지할 수 있습니다. 사이트 행동을 면밀히 살펴보면 다음과 같은 질문에 답할 수 있습니다. 기준 트래픽 패턴과 비교하여 비정상적인 것이 있는가? 요청이 브라우저에서 온 것처럼 보이지만 브라우저에 포함될 것으로 예상되는 정보가 누락되어 있는가? 요청에 높은 CPU 사용률을 유발하는 복잡한 데이터베이스 Query가 포함되어 있는가?

정상적인 성능과 동작에 대한 전체적인 흐름을 파악함으로써 NGINX App Protect DoS는 기존 방어를 회피하고 애플리케이션에 트래픽을 가하는 Layer 7 공격에 중점적으로 대응할 수 있습니다.

3. 여러 모듈을 사용한 완화

성능 저하, 사용자 이탈, 수익 손실 등 DoS 공격의 결과는 변하지 않았습니다. 하지만 해커가 암호화 및 보안 도구를 사용하여 위협을 합법적인 트래픽으로 위장하는 등 DoS 공격이 발생하는 방식은 매우 달라질 수 있습니다.

사용자는 아키텍처 간의 차이를 구분하지 못할 수도 있지만 사이트 성능의 우수성과 불량성은 구분할 수 있습니다. 공격 트래픽이 폭주하면 지연 시간이 발생하여 사용자 경험이 느리게 느껴집니다. 속도가 느리면 아무리 인내심이 강한 사용자라도 거래를 포기하고 다른 사이트로 전환합니다. 단일 표적 요청은 지연 시간과 서버 트래픽을 증가시킬 수 있으므로 전문적인 애플리케이션 DoS 방어가 중요합니다.

웹 애플리케이션 보안 솔루션은 웹 애플리케이션에 대한 OWASP 자동화된 위협에 설명된 것과 같은 새로운 공격에 대응하기 위해 계속 발전하고 있습니다. 하지만 애플리케이션 런타임에 기본적으로 통합되는 보호 기능이 필요합니다. 즉, 동적이어야 하고. 적응력이 뛰어나야 합니다. 다른 DoS 솔루션은 SYN 폭주와 같은 네트워크 DDoS 공격에 맞게 설계된 반면, NGINX App Protect DoS 솔루션은 애플리케이션 리소스에 부담을 주는 Layer 7 공격에 특화되어 있습니다. WAF와 Layer 7 DoS 솔루션을 결합하면 취약성 악용과 비즈니스 로직 악용으로부터 애플리케이션을 보호하여 지연 시간, 성능 저하, Downtime은 물론 보안 침해를 방지할 수 있습니다.

NGINX App Protect DoS 및 NGINX App Protect WAF 를 직접 사용해 보거나 테스트해 보려면 지금 30일 무료 평가판을 신청하거나 사용 사례에 대해 최신 소식을 빠르게 전달받고 싶으시면 아래 뉴스레터를 구독하세요.