Microsoft Defender를 사용하는 환경에서 DoS(Denial of Service) 공격이 감지되었을 때, 외부 보안 업체에 도움을 요청하기 전에 반드시 숙지해야 할 내부 표준 대응 절차를 단계별로 정리했습니다. 이 매뉴얼은 공격 발생 직후부터 핵심 서비스의 정상화까지, 비즈니스 연속성을 최우선으로 확보하는 데 초점을 맞춥니다.
1. DoS 공격 대응의 기본 원칙: 가용성 우선 확보
DoS 공격에 대응하는 목표는 단순히 트래픽을 차단하는 것을 넘어, 조직의 핵심 기능(Critical Functionality)을 보존하고 서비스의 가용성을 유지하는 것입니다. 대응은 탐지, 차단, 가용성 확보, 분석, 정상화의 5단계 프로세스를 따릅니다.
다음 표는 보안 전문가들이 공통으로 제시하는, DoS 공격 대응의 핵심 5단계 프로세스를 구조화한 것입니다.
| 단계 | 주요 활동 | 핵심 목표 |
|---|---|---|
| 1단계: 탐지 및 식별 | Defender 대시보드에서 경고 세부사항 즉시 확인 (공격 유형, 대상 IP, 시간 기록) | 사고 인지 및 초기 상황 파악 |
| 2 | 초기 트래픽 차단 및 경계 설정 | |
| 3 | 핵심 서비스 트래픽 우선 처리 (방화벽/ACL 조정) | |
| 4 | 공격 유형 분석 및 대응책 적용 | |
| 5 | 정상화 확인 및 사후 보고서 작성 |
1. 단계별 상세 대응 매뉴얼
1.1. 1단계: 초기 인지 및 범위 파악 (Discovery)
가장 먼저 해야 할 일은 ‘무엇이, 얼마나 심각하게’ 공격받고 있는지를 파악하는 것입니다.
- 로그 분석: 방화벽, 웹 서버, 네트워크 장비의 로그를 실시간으로 모니터링하여 비정상적인 트래픽 패턴(예: 대량의 SYN 패킷, 특정 포트로의 집중적인 요청)을 식별합니다.
- 트래픽 패턴 분석: 공격의 출처(Source IP)와 목적지(Destination IP)를 파악하고, 공격의 종류(DDoS, DoS, 스캐닝 등)를 분류합니다.
1.2. 2단계: 즉각적 완화 조치 (Mitigation)
상황이 명확해지면, 서비스 중단을 막기 위한 즉각적인 조치가 필요합니다.
- 트래픽 필터링: 비정상적인 트래픽을 차단할 수 있는 임시 규칙(ACL)을 방화벽에 즉시 적용합니다. 예를 들어, 특정 국가나 IP 대역 전체의 트래픽을 일시적으로 차단할 수 있습니다.
- 서비스 우선순위 지정: 모든 서비스를 동일하게 보호하려 하기보다, 비즈니스 연속성에 가장 중요한 핵심 서비스(예: 결제 시스템, 로그인 페이지)의 트래픽을 최우선으로 보호하는 규칙을 적용합니다.
1.3. 3단계: 심층 분석 및 구조적 대응 (Analysis & Hardening)
일시적 차단만으로는 근본적인 해결이 되지 않습니다. 공격의 패턴을 분석하여 방어 체계를 강화해야 합니다.
- Rate Limiting 적용: 특정 IP나 사용자로부터의 요청 빈도(Rate)를 제한하여 무차별적인 요청을 원천적으로 막습니다.
- WAF(Web Application Firewall) 강화: SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 애플리케이션 계층의 취약점을 노린 공격 패턴을 탐지하고 차단하도록 WAF 규칙을 업데이트합니다.
- CDN/클라우드 서비스 활용: 트래픽을 분산 처리할 수 있는 CDN(Content Delivery Network)이나 클라우드 기반의 DDoS 방어 서비스를 활용하여 대규모 트래픽을 흡수하고 분산시키는 것이 가장 효과적입니다.
2. 예방 및 사후 관리 (Prevention & Post-mortem)
사건 대응의 완성은 재발 방지입니다.
- 정기적인 모의 훈련: 실제 공격이 발생했을 때 팀원들이 당황하지 않고 매뉴얼대로 움직일 수 있도록 정기적인 모의 훈련(Tabletop Exercise)을 실시해야 합니다.
- 정책 검토 및 업데이트: 이번에 막아낸 공격 패턴을 분석하여 보안 정책(Policy)과 방화벽 규칙(Rule Set)을 영구적으로 업데이트합니다.
- 자동화 시스템 구축: 수동으로 규칙을 수정하는 과정에서 실수가 발생할 수 있습니다. AI 기반의 이상 트래픽 탐지 및 자동 차단 시스템을 구축하여 대응 속도를 높여야 합니다.