721. DRDoS 스크러빙 센터 (Scrubbing Center) 완화 트래픽 정제 대피소

핵심 인사이트: 100Gbps로 쏟아지는 쓰레기 트래픽을 우리 회사 정문에 있는 10Gbps짜리 방화벽으로 막으려 해봤자, 이미 건물 앞 진입로 자체가 꽉 막혀서 서버는 다운된다. 해법은 단 하나다. 쓰레기가 우리 회사로 아예 오지 못하게, 길목 저 멀리 있는 '거대한 하수 처리장(스크러빙 센터)'으로 뱃머리를 돌려서 맑은 물만 회사로 흘려보내는 것이다.

Ⅰ. 방어의 한계 (왜 자체 방화벽으로 막을 수 없나?)

  • DRDoS나 대규모 볼류메트릭(Volumetric) 디도스 공격은 패킷의 덩치가 수십~수백 기가비트(Gbps)에 달합니다.
  • 기업이 수천만 원을 주고 산 IPS(침입 방지 시스템) 장비는 기껏해야 10Gbps 정도만 처리할 수 있습니다. 해커의 공격이 100Gbps로 쏟아지면, IPS 장비를 검사하기도 전에 인터넷 서비스 제공자(ISP, 예: KT)에서 기업으로 들어오는 **물리적인 랜선 파이프(대역폭) 자체가 꽉 차버려 병목(Choke point)**이 발생해 결국 서버가 마비됩니다.

Ⅱ. 스크러빙 센터 (Scrubbing Center)의 개념

  • 개념: DDoS 공격이 발생했을 때, 타겟으로 쏟아지는 엄청난 양의 트래픽을 기업 내부망이 아닌 외부의 거대한 클라우드 대피소로 강제로 돌려(우회), 그곳에서 쓰레기 악성 트래픽을 깨끗하게 씻어내고(Scrubbing) 오직 정상적인 트래픽만 걸러서 다시 기업 서버로 보내주는 디도스 완화(Mitigation) 전용 아키텍처입니다.
  • 제공자: 주로 전 세계적인 네트워크망을 가진 Akamai, Cloudflare, Imperva 같은 글로벌 CDN 업체나 KT, SKT 같은 대형 통신사(ISP)가 제공합니다. (Anti-DDoS 서비스)

Ⅲ. 동작 메커니즘 (트래픽 대피 시나리오) 🌟

디도스 공격이 터지는 순간 마법처럼 동작합니다.

  1. 평상시 (Normal State): 고객들은 naver.com의 진짜 IP 주소를 보고 정상적으로 서버에 직접 접속합니다. 스크러빙 센터는 개입하지 않고 조용히 관전합니다.
  2. 공격 감지 (Detection): 서버로 들어오는 트래픽이 임계치(Threshold)를 넘어 폭주하기 시작하면, 네트워크 앞단의 라우터나 모니터링 시스템이 "디도스다!"라고 경고를 울립니다.
  3. BGP 라우팅 변경 (트래픽 우회) 🌟:
    • 이것이 핵심입니다. 관리자는 **BGP(경계 경로 프로토콜)**나 DNS 설정을 건드려, 인터넷의 이정표를 슬쩍 바꿔버립니다.
    • 전 세계 라우터들에게 "지금부터 naver.com으로 가는 모든 패킷은 원래 주소가 아니라, 저기 멀리 있는 '스크러빙 센터'로 먼저 보내라!"라고 방송(BGP Anycast)합니다.
  4. 정제 및 정수 (Scrubbing):
    • 해커가 쏜 100Gbps의 쓰레기 트래픽이 거대한 클라우드 스크러빙 센터로 빨려 들어갑니다. (이곳은 10Tbps도 견디는 거대한 파이프가 있음).
    • 센터 내부의 거대한 딥러닝 AI 필터와 IPS들이 SYN Flood, DNS 증폭 공격(DRDoS) 등 악성 찌꺼기 패킷을 0.01초 만에 모조리 차단해 쓰레기통에 버립니다(Drop).
  5. 정상 패킷 전달 (Clean Traffic Delivery):
    • 깨끗하게 세척되어 살아남은 진짜 손님들의 정상 패킷(Clean Traffic) 모아서, 안전하고 뚫리지 않는 비밀 터널(GRE 터널 등)을 통해 진짜 네이버 서버로 배달해 줍니다.

Ⅳ. 도입 효과

  • 공격자는 아무리 때려도 타겟 서버가 죽지 않아 절망하게 됩니다. 기업은 값비싼 대용량 방화벽을 굳이 살 필요 없이, 공격이 들어온 날에만 종량제로 스크러빙 센터 사용료를 내면 되므로 비용 효율이 극대화됩니다.

📢 섹션 요약 비유: 스크러빙 센터는 거대한 '정수 처리장'입니다. 맑은 계곡물(정상 트래픽)을 받아먹던 마을(서버)에 갑자기 흙탕물 폭우(DDoS)가 쏟아져 마을이 잠길 위기에 처했습니다. 이장이 다급하게 수문을 돌려 흙탕물 전체를 동네 밖의 거대한 정수 처리장으로 흘려보냅니다. 정수 처리장은 무식하게 넓은 댐을 열어 흙탕물을 몽땅 받아낸 뒤, 정수 필터로 진흙(악성 트래픽)은 다 걸러내고 맑은 물 1급수만 얇은 파이프를 통해 다시 마을로 보내주어 마을을 물난리에서 구해냅니다.