ICMP 플러드 공격(핑 플러드라고도 함)은 대상에게 ICMP Echo Request 패킷을 대량으로 보내 네트워크를 압도하는 DDoS 공격의 일종입니다. 이 가이드에서는 이러한 공격이 어떻게 작동하는지, 네트워크 성능에 미치는 잠재적 영향, 그리고 대응 전략에 대해 설명합니다.
공격자가 사용하는 도구와 기법, 그리고 이러한 위협으로부터 네트워크를 보호하는 방법에 대해 알아보십시오. ICMP 플러드 공격을 이해하는 것은 네트워크 보안과 가용성을 유지하는 데 매우 중요합니다.
ICMP 플러드(핑 플러드) DDoS 공격이란?
ICMP 플러드(핑 플러드라고도 함)는 인터넷 제어 메시지 프로토콜(ICMP)을 이용해 대상에게 대량의 네트워크 트래픽을 보내 네트워크를 압도하는 DDoS 공격의 일종입니다. 공격자는 이 방법을 통해 대상의 온라인 서비스를 방해하여 정상 사용자가 이용하지 못하도록 만듭니다.
- 인터넷 제어 메시지 프로토콜(ICMP) – ICMP는 라우터, 스위치 등 네트워크 장치가 오류 메시지와 운영 정보를 전달하는 데 사용하는 네트워크 계층 프로토콜입니다. “목적지 도달 불가” 또는 “시간 초과”와 같은 ICMP 메시지는 네트워크 관리자가 네트워크 문제를 식별하고 해결하는 데 도움을 줍니다.
- ICMP Echo Request 및 Echo Reply – ICMP Echo Request는 일반적으로 “핑”이라고 하며, 한 장치가 다른 장치에 네트워크 연결을 테스트하기 위해 보내는 메시지입니다. 수신 장치는 ICMP Echo Reply 메시지로 응답하여 네트워크 상에 존재함을 확인합니다.
ICMP 플러드(핑 플러드) DDoS 공격은 어떻게 작동하는가?
ICMP 플러드 공격에서 공격자는 대상에게 대량의 ICMP Echo Request 메시지를 보내 네트워크 자원과 대역폭을 압도합니다. 그 결과, 대상은 정상적인 요청을 처리할 수 없게 되어 서비스 중단 및 장애가 발생합니다.
- 스푸핑된 IP 주소 – 공격자는 ICMP 플러드 공격에서 탐지 및 추적을 피하기 위해 스푸핑된 IP 주소를 자주 사용합니다. 이 전술은 공격의 출처를 식별하고 대응 조치를 취하는 것을 어렵게 만듭니다.
- 봇넷 – 공격자는 봇넷 – 악성코드에 감염된 기기들의 네트워크 – 을 활용해 대규모 ICMP 플러드 공격을 수행할 수 있습니다. 여러 기기를 동시에 사용함으로써 공격자는 공격의 영향을 증폭시키고 대응을 더욱 어렵게 만듭니다.
ICMP 플러드(핑 플러드) DDoS 공격 대응 기법
ICMP 플러드 공격을 완화하고 클라우드 인프라를 보호하기 위한 여러 가지 기술과 전략이 있습니다:
- 트래픽 필터링 – 트래픽 필터링 규칙을 구현하면 악의적인 ICMP 트래픽을 식별하고 차단하는 동시에 정상적인 요청은 통과시킬 수 있습니다.
- 속도 제한 – 속도 제한을 통해 네트워크가 수신하는 ICMP Echo Request 메시지의 수를 제어하여 ICMP 플러드 공격의 영향을 줄일 수 있습니다.
- 이상 탐지 – 이상 탐지 시스템은 네트워크 트래픽 패턴을 모니터링하고 ICMP 트래픽의 갑작스러운 증가와 같은 비정상적인 활동을 감지하여 ICMP 플러드 공격의 징후를 포착할 수 있습니다.
SentinelOne Singularity XDR로 클라우드 인프라 보호
SentinelOne Singularity XDR은 클라우드 인프라를 보호할 수 있는 고급 사이버 보안 플랫폼입니다.
• AI 기반 위협 탐지 – SentinelOne Singularity XDR은 인공지능과 머신러닝을 활용해 실시간으로 위협을 탐지하고 대응합니다. 이 첨단 기술은 ICMP 플러드 공격 및 기타 악의적 활동을 식별하여 신속한 대응과 완화를 가능하게 합니다.
• 네트워크 트래픽 분석 – 네트워크 트래픽을 지속적으로 분석함으로써 SentinelOne Singularity XDR은 ICMP 플러드 공격의 징후일 수 있는 비정상적인 패턴과 이상 현상을 탐지할 수 있습니다.
• 통합 엔드포인트 및 클라우드 보안 – SentinelOne Singularity XDR은 통합된 엔드포인트 및 클라우드 보안 플랫폼을 제공하여 ICMP 플러드 공격 및 인프라를 노리는 기타 사이버 위협으로부터 포괄적인 보호를 제공합니다.
• 자동화된 대응 및 복구 – SentinelOne Singularity XDR은 탐지된 위협에 자동으로 대응하도록 설계되어 ICMP 플러드 공격의 영향을 완화하고 조직의 다운타임을 최소화합니다.
AI 기반 엔드포인트 탐지 및 대응.
결론
ICMP 플러드(핑 플러드) DDoS 공격은 온라인 운영을 심각하게 방해하고 클라우드 인프라의 보안을 위협할 수 있습니다. 이러한 공격의 특성을 이해하고 효과적인 대응 전략을 구현함으로써 조직에 미치는 영향을 최소화할 수 있습니다. ICMP 플러드 공격 및 기타 사이버 위협에 대한 고급 보호를 통해 중요한 시스템과 데이터의 지속적인 보안과 가용성을 보장할 수 있습니다.
강력한 사이버 보안 솔루션에 투자하여 사이버 위협보다 한발 앞서 나가십시오. 도움이 필요하다면 SentinelOne에 문의하십시오.
ICMP 플러드 FAQ
ICMP 플러드 공격은 대상에게 대량의 핑(ICMP Echo Request) 패킷을 전송하여 응답 능력을 압도합니다. 피해자가 각 핑을 처리하고 응답하도록 강제함으로써 공격자는 네트워크 대역폭이나 시스템 리소스를 소진시킵니다. 플러드가 충분히 크면 정상 트래픽이 차단되고 서비스가 느려지거나 중단될 수 있습니다. 이는 모든 문을 크게 두드려 정상적으로 열리지 못하게 하는 것과 비슷합니다.
공격자는 대상 IP로 빠르고 지속적으로 ICMP Echo Request 메시지를 전송합니다. 각 요청은 Echo Reply를 요구하므로, 피해자는 응답을 위해 CPU 사이클과 대역폭을 소모합니다. 요청이 호스트의 처리 용량을 훨씬 초과하면 네트워크 스택이 과부하됩니다. 패킷이 대기열에 쌓이고, 라우터는 신규 트래픽을 드롭하며, 응답 시간이 급증합니다. 플러드는 공격자가 중단하거나 방어가 작동할 때까지 계속됩니다.
영향을 높이기 위해 공격자는 피해자의 IP를 스푸핑하여 제3자 호스트에 ICMP 요청을 보내고, 이 호스트들은 위조된 주소로 응답합니다. 각 응답이 피해자를 플러드하게 됩니다. 이를 ICMP 증폭 공격이라고 합니다. 일부 라우터나 서버가 느슨한 필터링으로 더 큰 응답 패킷을 보내면 트래픽이 증가합니다. 여러 리플렉터를 동시에 연결하면 공격자는 자신의 네트워크에 추가 부담 없이 플러드를 증폭시킬 수 있습니다.
들어오는 ICMP 트래픽이 갑자기 급증하며, 초당 수만 개의 패킷이 관찰될 수 있습니다. 네트워크 모니터링 도구는 아웃바운드 흐름과 일치하지 않는 링크에서 높은 사용률을 보고할 수 있습니다. 공격받는 서버는 핑 처리로 CPU 사용률이 증가하고, 패킷 대기열이 커지며, 패킷 드롭이 발생합니다. 사용자는 느려짐이나 타임아웃을 경험합니다. 플러드는 필터링되거나 제한될 때까지 지속적으로 이어집니다.
플러드 중에는 악의적인 핑으로 대역폭이 점유되어 정상 요청이 통과하기 어렵습니다. 라우터와 스위치는 버퍼가 가득 차면서 지연이 증가합니다. 웹이나 VoIP와 같은 중요 서비스가 타임아웃되거나 실패할 수 있습니다. 대상의 CPU는 각 에코를 처리하느라 급증하여 애플리케이션 프로세스가 느려집니다. 방치할 경우 패킷 손실이 100%에 도달해 시스템이 사실상 오프라인 상태가 될 수 있습니다.
라우터나 방화벽에서 ICMP 속도를 제한하여 초당 허용되는 에코 요청 수를 제한할 수 있습니다. 인그레스 및 이그레스 필터링(BCP 38)을 구성해 스푸핑된 소스 IP를 차단하십시오. 네트워크 ACL 또는 DDoS 보호 서비스를 사용해 과도한 핑을 코어에 도달하기 전에 차단할 수 있습니다. 클라우드 환경에서는 대용량 공격 방어 기능을 활성화하십시오. 마지막으로 ICMP 트렌드를 모니터링하고 임계값 알림을 설정해 신속히 대응할 수 있도록 하십시오.
