ICMP 플러드 공격(핑 플러드라고도 함)은 ICMP 에코 요청 패킷으로 대상 시스템을 압도하는 DDoS 공격 유형입니다. 본 가이드는 이러한 공격의 작동 방식, 네트워크 성능에 미치는 잠재적 영향, 완화 전략을 설명합니다.
공격자들이 사용하는 도구와 기법을 알아보고, 이러한 파괴적인 위협으로부터 네트워크를 보호하는 방법을 익히세요. ICMP 플러드 공격을 이해하는 것은 네트워크 보안과 가용성을 유지하는 데 매우 중요합니다.
ICMP 플러드(핑 플러드) DDoS 공격이란 무엇인가?
ICMP 플러드(핑 플러드)는 인터넷 제어 메시지 프로토콜(ICMP)을 악용하여 대량의 네트워크 트래픽으로 대상 시스템을 마비시키는 DDoS 공격의 한 유형입니다. 공격자는 이 방법을 사용하여 대상의 온라인 서비스를 방해하여 합법적인 사용자가 이용할 수 없게 만듭니다.
- 인터넷 제어 메시지 프로토콜(ICMP) – ICMP는 라우터나 스위치 같은 네트워크 장비가 오류 메시지와 운영 정보를 전달하는 데 사용하는 네트워크 계층 프로토콜입니다. "목적지 도달 불가"나 "시간 초과" 같은 ICMP 메시지는 네트워크 관리자가 네트워크 문제를 식별하고 해결하는 데 도움을 줍니다.
- ICMP 에코 요청 및 에코 응답 — 일반적으로 "핑(ping)"으로 알려진 ICMP 에코 요청은 네트워크 연결성을 테스트하기 위해 한 장치에서 다른 장치로 전송되는 메시지입니다. 수신 장치는 ICMP 에코 응답 메시지를 보내 네트워크 상의 존재를 확인합니다.
ICMP 플러드(핑 플러드) DDoS 공격은 어떻게 작동하나요?
ICMP 플러드 공격에서 공격자는 대상에게 엄청난 양의 ICMP 에코 요청 메시지를 보내 대상의 네트워크 리소스와 대역폭을 압도합니다. 결과적으로 대상은 정상적인 요청을 처리할 수 없게 되어 서비스 중단 및 장애를 초래합니다.
- 위조된 IP 주소 – 공격자는 ICMP 플러드 공격에서 탐지 및 추적을 피하기 위해 스푸핑된 IP 주소를 자주 사용합니다. 이 전술은 공격의 기원을 식별하고 시정 조치를 취하기 어렵게 만듭니다.
- 봇넷 – 공격자는 봇넷 – 악성코드에 감염된 장치를 네트워크로 연결한 것 – 을 활용하여 대규모 ICMP 플러드 공격을 실행할 수도 있습니다. 공격자는 여러 장치를 동시에 사용하여 공격의 영향을 증폭시켜 완화하기 어렵게 만듭니다.
ICMP 플러드(핑 플러드) DDoS 공격 완화 기법
ICMP 플러드 공격을 완화하고 클라우드 인프라를 그 영향으로부터 보호하기 위한 여러 기술과 전략이 있습니다:
- 트래픽 필터링 – 트래픽 필터링 규칙을 구현하면 악성 ICMP 트래픽을 식별하고 차단하는 동시에 합법적인 요청은 통과시킬 수 있습니다.
- 속도 제한 — 속도 제한을 사용하면 네트워크가 수신하는 ICMP 에코 요청 메시지 수를 제어하여 ICMP 플러드 공격의 영향을 줄일 수 있습니다.
- 이상 탐지 — 이상 탐지 시스템은 네트워크 트래픽 패턴을 모니터링하여 ICMP 트래픽의 갑작스러운 급증과 같은 비정상적인 활동을 감지합니다. 이는 진행 중인 ICMP 플러드 공격을 나타낼 수 있습니다.
SentinelOne Singularity로 클라우드 인프라 보호하기 XDR
SentinelOne Singularity XDR은 클라우드 인프라 보호를 지원하는 고급 사이버 보안 플랫폼입니다.
• AI 기반 위협 탐지 – SentinelOne Singularity XDR은 인공 지능과 머신 러닝을 활용하여 실시간으로 위협을 탐지하고 대응합니다. 이 첨단 기술은 ICMP 플러드 공격 및 기타 악성 활동을 식별하여 신속한 대응과 완화를 가능하게 합니다.
• 네트워크 트래픽 분석 – 네트워크 트래픽을 지속적으로 분석함으로써, SentinelOne Singularity XDR은 진행 중인 ICMP 플러드 공격을 나타낼 수 있는 비정상적인 패턴과 이상 징후를 탐지하는 데 도움을 줍니다.
• 통합 엔드포인트 및 클라우드 보안 – SentinelOne Singularity XDR은 통합 엔드포인트 및 클라우드 보안 플랫폼을 제공하여 ICMP 플러드 공격 및 인프라를 노리는 기타 사이버 위협에 대한 포괄적인 보호 기능을 제공합니다.
• 자동화된 대응 및 복구 – SentinelOne Singularity XDR은 탐지된 위협에 자동으로 대응하도록 설계되어 ICMP 플러드 공격의 영향을 완화하고 조직의 다운타임을 최소화합니다.
Conclusion
ICMP 플러드(핑 플러드) DDoS 공격은 온라인 운영을 심각하게 방해하고 클라우드 인프라의 보안을 위협할 수 있습니다. 이러한 공격의 특성을 이해하고 효과적인 완화 전략을 구현함으로써 조직에 미치는 영향을 최소화할 수 있습니다. ICMP 플러드 공격 및 기타 사이버 위협에 대한 고급 보호 기능을 확보하여 핵심 시스템과 데이터의 지속적인 보안 및 가용성을 보장할 수 있습니다.
강력한 사이버 보안 솔루션에 투자하여 사이버 위협보다 한 발 앞서 나가십시오. 도움이 필요하시면 지금 바로 SentinelOne에 문의하십시오.
"ICMP 플러드 FAQ
ICMP 플러드 공격은 대상에게 엄청난 양의 ping(ICMP Echo Request) 패킷을 보내 응답 능력을 압도합니다. 피해자가 각 ping을 처리하고 응답하도록 강요함으로써 공격자는 네트워크 대역폭이나 시스템 자원을 고갈시킵니다. 플러드 규모가 충분히 크면 정상 트래픽이 차단되고 서비스 속도가 느려지거나 중단됩니다. 모든 문을 동시에 세게 두드려 정상적으로 열 수 없게 만드는 것과 같습니다.
"공격자는 대상 IP에 빠르고 지속적으로 ICMP 에코 요청 메시지를 보냅니다. 각 요청은 에코 응답을 요구하므로 피해자는 응답하기 위해 CPU 사이클과 대역폭을 소모합니다. 요청이 호스트의 처리 능력을 훨씬 초과하면 네트워크 스택이 과부하 상태가 됩니다. 패킷이 대기열에 쌓이고, 라우터는 새로운 트래픽을 삭제하며, 응답 시간이 급증합니다. 공격자가 중단하거나 방어 체계가 작동할 때까지 플러드는 계속됩니다.
"영향을 증폭시키기 위해 공격자는 피해자의 IP를 위조하고, 위조된 주소로 응답하는 제3자 호스트에 ICMP 요청을 보냅니다. 각 응답은 다시 피해자에게 플러딩됩니다. 이를 ICMP 증폭 공격이라고 합니다. 필터링이 느슨한 일부 라우터나 서버는 더 큰 응답 패킷으로 답장하여 트래픽을 증폭시킵니다. 공격자는 한 번에 여러 리플렉터를 연결함으로써 자신의 네트워크에 추가 부담 없이 플러드를 확대합니다.
"수신 ICMP 트래픽이 갑작스럽게 급증하는 현상(초당 수만 개의 패킷 발생)이 관찰됩니다. 네트워크 모니터링 도구는 일치하는 아웃바운드 흐름 없이 링크에서 높은 사용률을 보고할 수 있습니다. 공격을 받는 서버는 ping 처리 시 CPU 사용량 증가, 패킷 큐 확대, 패킷 손실 현상을 보입니다. 사용자는 속도 저하나 시간 초과를 경험하게 됩니다. 플러드는 일반적으로 차단되거나 속도 제한이 적용될 때까지 지속적으로 발생합니다.
"플러드 발생 시 악성 핑으로 대역폭이 점유되어 정상 요청이 통과하기 어렵습니다. 라우터와 스위치의 버퍼가 가득 차 지연 시간이 증가합니다. 웹이나 VoIP 같은 중요 서비스는 시간 초과되거나 실패할 수 있습니다. 대상 시스템의 CPU는 각 에코 요청을 처리하느라 급증하여 애플리케이션 프로세스를 느리게 할 수 있습니다. 방치할 경우 패킷 손실이 100%에 달해 시스템을 사실상 오프라인 상태로 만들 수 있습니다.
"라우터나 방화벽에서 ICMP 전송률을 제한하여 초당 통과하는 에코 요청 수를 제한할 수 있습니다. 스푸핑된 소스 IP를 차단하기 위해 인그레스 및 이그레스 필터링(BCP 38)을 구성하세요. 네트워크 ACL이나 DDoS 보호 서비스를 사용하여 과도한 핑이 핵심 시스템에 도달하기 전에 차단하세요. 클라우드 환경에서는 볼륨 공격 방어 기능을 활성화하세요. 마지막으로 ICMP 추세를 모니터링하고 임계값 경보를 설정하여 신속하게 대응할 수 있도록 하십시오.
"