710. 분산 서비스 거부 공격 (DDoS) 위협 - 봇넷, C&C 서버, 반사/증폭

핵심 인사이트: 방패(서버)가 너무 두꺼워져서 해커 혼자 창을 찌르는 DoS로는 흠집도 안 났다. 악랄한 해커는 전략을 바꿨다. 인터넷에 널려 있는 허접한 보안의 공유기, CCTV, 좀비 PC 10만 대를 몰래 악성코드로 감염시켜 거대한 '노예 부대(Botnet)'를 조직했다. 그리고 해커가 마스터 서버(C&C)의 빨간 버튼을 누르는 순간, 전 세계 10만 대의 노예들이 일제히 한곳을 향해 화살(쓰레기 트래픽)을 퍼붓기 시작한다. 막을 수도, 추적할 수도 없는 대재앙 DDoS다.

Ⅰ. DDoS (Distributed Denial of Service)의 개념

  • 해커 1대의 PC가 아닌, 분산된(Distributed) 수만~수백만 대의 감염된 기기(좀비 PC, IoT 기기)들을 동원하여 타겟 서버에 엄청난 트래픽 폭탄을 일제히 쏟아부어 서버를 마비시키는 가장 파괴적인 네트워크 공격 기법입니다.
  • 공격이 전 세계의 수만 개 IP에서 산발적으로 날아오기 때문에, 방화벽이 특정 IP 하나를 차단한다고 해서 막을 수 있는 수준이 아닙니다.

Ⅱ. DDoS를 굴리는 거대한 군대 아키텍처 🌟

해커는 절대로 자기 컴퓨터에서 직접 화살을 쏘지 않습니다. 3단계 다단계 조직을 구축하여 자신을 완벽하게 숨깁니다.

  1. Attacker (해커 / 마스터): 공격을 기획하고 최종 돌격 명령 버튼을 누르는 실제 흑막입니다.
  2. C&C 서버 (Command and Control Server) 🌟:
    • 해커가 직접 좀비들에게 명령을 내리면 IP 추적을 받아 체포됩니다. 그래서 해커는 중간에 **'명령 하달 전용 은닉 서버(C&C 서버)'**를 세워둡니다. 해커가 이 서버에만 "공격해라" 지시하면, C&C 서버가 아래 10만 대의 노예들에게 일제히 작전 지시를 브로드캐스트합니다. (이 C&C 서버를 경찰이 찾아내 부수면 좀비 군대는 통제력을 잃고 해산됩니다.)
  3. Botnet (봇넷 / 좀비 부대 / 핸들러와 데몬):
    • 악성코드(미라이 봇넷 등)에 감염되어 숙주 컴퓨터 몰래 24시간 백그라운드로 돌아가며 C&C 서버의 명령만 애타게 기다리는 수백만 대의 노예 좀비 PC, 스마트 TV, IP 카메라 집단입니다. 공격 명령이 떨어지면 일제히 네이버나 은행 서버를 향해 무차별로 쓰레기 패킷을 쏘아 올려 대역폭을 불태워버립니다.

Ⅲ. 가장 악랄한 진화: 반사와 증폭 (Reflection & Amplification) 🌟

최근의 디도스는 좀비 부대가 직접 쏘는 것마저 귀찮아합니다. 더 교묘한 꼼수(DRDoS, 반사 증폭 공격)를 찾아냈습니다. (상세는 717번 이후 문서 참조)

  • 반사 (Reflection): 좀비 PC가 화살을 쏠 때, 겉면에 적힌 '출발지 주소(IP 스푸핑)'를 자기 주소가 아니라 **'피해자 서버 IP'**로 위조해서 던집니다. 즉, 지나가는 거인(정상적인 DNS 서버 등)에게 돌을 던지면서 "이거 저기 있는 피해자가 때린 거야!"라고 덮어씌워, 화난 거인이 피해자에게 분노의 펀치(응답 패킷)를 날리게 조종하는 수법입니다.
  • 증폭 (Amplification): 더 무서운 점은, 좀비 PC가 던진 조그만 조약돌(1바이트 쿼리)을 맞은 거인(DNS 서버)은 빡쳐서 100배 큰 거대한 바위(100바이트 응답 패킷)로 반사시켜 피해자를 깔아뭉개버린다는 것입니다. 적은 힘으로 100배의 타격력을 뽑아내는 궁극의 레버리지 효과입니다.

Ⅳ. 현대의 방어 대책 (클라우드 스크러빙 센터)

수백 Gbps로 쏟아지는 트래픽은 회사 앞의 방화벽(IPS) 장비로는 물리적으로 막을 수 없습니다(인터넷 선이 먼저 터짐).

  • 오늘날의 방어는 클라우드플레어(Cloudflare)나 통신사(KT)가 제공하는 거대한 대피소인 **'스크러빙 센터(Scrubbing Center)'**로 회사의 모든 트래픽을 돌려보내, 그곳의 무식하게 거대한 파이프 필터로 쓰레기를 다 세척해 내고 맑은 물(정상 고객)만 사내망으로 넣어주는 서비스에 가입하여 막아냅니다.

📢 섹션 요약 비유: 해커가 피자집(서버)을 망하게 하려고 장난 전화를 겁니다. 혼자 걸면(DoS) 점원이 한 대의 전화기만 수화기를 내려놓으면(IP 차단) 그만입니다. 하지만 해커가 전국 10만 명의 불량 청소년(Botnet 봇넷)을 돈으로 매수해서 특정 단톡방(C&C 서버)에 모아둡니다. 금요일 저녁 6시, 해커가 단톡방에 "지금 일제히 피자집에 전화 걸어!"라고 지시를 내리면, 전국 10만 대의 전화기에서 동시에 전화벨이 울려 피자집 전화선(대역폭) 전체가 타버리는 파멸적인 영업방해, 이것이 DDoS 공격입니다.