[AWS-Security] 6.4. AWS Shield를 사용해 분산 서비스 공격(DDoS)으로부터 보호

1. DDoS 공격

분산 서비스 거부(DDoS, Distributed Denial of Service) 공격은 일반적인 서비스 거부(DoS) 공격의 진화된 형태이다.

• 표준 DoS 공격
  • 단일 또는 소수의 클라이언트(공격자 머신)에서 서버로 아주 많은 요청을 보낸다.
  • 트래픽 소스가 적기 때문에 WAF나 NACL로 해당 IP만 차단하면 비교적 쉽게 중지시킬 수 있다.
• 분산 DoS(DDoS) 공격
  • 수많은 공격자의 머신(좀비 PC 등)에서 동시에 악의적인 요청이 쏟아진다.
  • 요청이 분산되어 들어오기 때문에 어떤 IP를 차단해야 할지 알 수 없으며, 단순한 IP 차단 방식으로는 방어할 수 없다. WAF나 Security Group만으로는 막기 어려운 대규모 DDoS 공격을 방어하기 위해 AWS는 Shield라는 특화된 서비스를 두 가지 수준(Standard, Advanced)으로 제공한다.

2. Shield Standard를 통한 무료 보호 서비스

• 특징 : AWS 고객이라면 무료로 제공되며, 별도로 수행해야 할 작업 없이 자동으로 활성화되어 애플리케이션을 보호한다.
• 지원되는 프론트엔드 서비스 : ALB, CLB, Amazon CloudFront, Amazon Route53
• 권장 사항 : Shield Standard는 무료임에도 일반적인 인프라(L3/L4) 수준의 DDoS 공격에 대해 매우 우수한 보호 기능을 제공한다. 따라서 애플리케이션 앞단에 EC2를 직접 노출하기보다는, CloudFront나 ALB 같은 서비스를 배치하여 Shield Standard의 혜택을 누리는 것이 좋다.

3. Shield Advanced를 통한 보호 강화

AWS Shield는 더욱 정교하고 대규모의 DDoS 공격으로부터 사용자를 보호하는 유료 서비스이다.

• 비용 : 월 3,000달러(약 400만 원)의 막대한 기본 요금과 데이터 전송에 대한 추가 요금이 부과된다. (상당히 높음)
• 도입을 고려해야 하는 경우
  • 귀중한 정보를 많이 저장하는 의료나 금융 같은 고위험 산업인지
  • 공격자가 서비스를 다운시켰을 때 명성을 얻을 만큼 애플리케이션의 인지도가 높은지
  • 애플리케이션이 미션 크리티컬(Mission Critical)한지
    (몇 시간의 다운타임을 감내할 수 없는지)
  • 애플리케이션이 중단되었을 때 발생하는 손실이 Shield Advanced의 월 비용보다 훨씬 큰지
  • 기존의 Shield Standard나 WAF 규칙으로는 완화되지 않는 교묘한 DDoS 공격에 이미 직면해 있는 상황인지
• Advanced만의 핵심 추가 기능
  • AWS DDoS 대응 팀(DRT) 지원 : (AWS Premium Support 구독 필요) 공격이 발생하는 동안 전문가 팀이 개입하여 공격을 관리하고, 사후에 애플리케이션을 분석해 향후 방어책을 마련해 준다.
  • 비용 급증 방지 : DDoS 공격을 받으면 트래픽을 처리하기 위해 오토 스케일링이나 대역폭 비용이 급증할 수 있다. Shield Advanced는 공격으로 인해 발생한 리소스 확장 비용을 고객에게 환불해 주는 재정적 보호를 제공한다.