Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Implementing DDoS Attack Detection and Blocking Systems in Small Network Environments

소규모 네트워크 환경에서의 DDoS 공격 탐지 및 차단 시스템 구현

  • 양태규 (동신대학교 정보보안학과) ;
  • 김종민 (동신대학교 컴퓨터학과)
  • Received : 2024.10.07
  • Accepted : 2024.10.11
  • Published : 2025.03.31
Download PDF
⟨ Previous Next ⟩

Abstract

In recent years, the one-person media industry has rapidly expanded, leading to an increase in streamers operating personal internet broadcasting channels in small-scale network environments. This rise in individual streamers has resulted in a surge of indiscriminate Distributed Denial-of-Service (DDoS) attacks targeting popular streamers, disrupting live content and, in more severe cases, escalating to ransomware attacks that encrypt personal computer systems for financial extortion. While deploying and managing professional security solutions is essential for mitigating such threats, individual users in small-scale network environments face economic and technical limitations in adopting these measures. Therefore, this paper proposes a system for efficiently detecting and mitigating DDoS attacks in small-scale network environments. By implementing and analyzing the system's performance, this study aims to provide practical security enhancements for individual streamers and small-scale network users, contributing to advancements in the related research field.

최근 몇 년간 1인 미디어 산업이 급격하게 발전하면서 소규모 네트워크 환경에서 개인 인터넷 방송 채널을 운영하는 스트리머들이 증가하고 있다. 이러한 개인 스트리머 증가는 유명 스트리머의 방송에 무차별적인 분산 서비스 거부 (DDoS) 공격을 시도하여 실시간 콘텐츠 진행을 방해하고, 더 나아가 개인 컴퓨터 시스템을 암호화하여 금전적 요구를 하는 랜섬웨어 공격의 증가로 이어지고 있다. 이러한 공격에 대응하기 위해서는 전문적인 보안 솔루션 도입 및 운영이 필수적이나, 소규모 네트워크 환경의 개인 사용자가 이를 활용하기에는 경제적 및 기술적 한계가 존재한다. 따라서 본 논문에서는 소규모 네트워크 환경에서 DDoS 공격을 효율적으로 탐지하고 차단하는 시스템을 제안하고, 실제 구현 및 성능 분석을 통해 개인 스트리머를 포함한 소규모 네트워크 사용자에게 실질적인 보안 강화 방안을 제시함으로써, 관련 연구 분야 발전에 기여할 것으로 기대된다.

Keywords

1. 서론

1인 미디어 산업은 정보통신 기술의 발전과 함께 현대 사회에서 핵심적인 문화 현상으로 자리매김 하였다. 특히, 유튜브, 트위치, 아프리카TV 등 다양한 플랫폼을 기반으로 개인 스트리머들이 등장하며 콘텐츠 제작과 소비 방식에 혁명적인 변화를 가져왔다[1]. 개인 스트리머들은 자신만의 개성과 콘텐츠를 바탕으로 시청자들과 실시간으로 소통하며 새로운 형태의 커뮤니티를 형성하고, 막대한 경제적 가치를 창출하고 있다[2].

이러한 1인 미디어 산업의 급성장과 함께 사이버 보안 위협도 비례하여 증가하고 있다. 특히, 개인 스트리머들은 상대적으로 취약한 보안 환경에 노출되어 다양한 사이버 공격의 표적이 되고 있다. 그 중에서도 분산 서비스 거부(DDoS) 공격은 실시간 방송 진행을 방해하고 시청자들에게 불편을 초래하며, 스트리머의 이미지 실추 및 경제적 손실 등 심각한 위협이 되고 있다[3]. 더욱 심각한 문제는 DDoS 공격을 시작점으로 삼아 랜섬웨어 공격과 같은 복합적인 사이버 범죄로 이어지는 사례가 증가하고 있으며, 랜섬웨어 공격을 통해 개인 컴퓨터 시스템을 마비시키고 중요한 데이터를 암호화하여 금전을 요구함으로써 스트리머의 생계를 위협하는 직접적인 피해를 발생시키고 있다[4].

따라서, 본 논문에서는 이러한 문제점을 해결하기 위해 소규모 네트워크 환경에 적합한 DDoS 공격 탐지 및 차단 시스템을 설계하고 구현하였다. 제안하는 시스템은 기존의 고가용성 및 고성능 보안 솔루션과는 달리, 자동화 및 경량화하여 개인 사용자가 쉽게 구축하고 운영할 수 있도록 구현하였다.

2. 관련연구

2.1 1인 미디어

1인 미디어란 소셜 미디어나 포털 등의 온라인 동영상 플랫폼을 통해 개인이 콘텐츠를 직접 제작하고 공유하는 형태의 매체를 의미하며 (그림 1)과 같이 1인 미디어를 창작하는 창작자들은 매년 증가하고 있는 추세이다. 1인 미디어를 창작하는 창작자들은 뷰티, 제품 리뷰, 게임 등 다양한 콘텐츠를 제공하고 있으며, 네트워크가 연결되어 있는 환경에서는 어디서든 콘텐츠 시청이 가능하기 때문에 항상 보안위협에 노출되어 있다[5][6].

SOBTCQ_2025_v25n1_3_2_f0001.png 이미지

(그림 1) 1인 미디어 창작자 통계[6]

2.2 DDoS 공격 개요 및 동향

DDoS 공격은 분산된 다수의 공격자 PC를 이용하여 특정 시스템 또는 네트워크에 과도한 트래픽을 집중시켜 정상적인 서비스 제공을 방해하는 사이버 공격이다[7]. 공격 유형은 크게 대역폭 고갈 공격, 프로토콜 공격, 애플리케이션 계층 공격으로 분류할 수 있으며, 대역폭 고갈 공격은 대량의 트래픽을 발생시켜 네트워크 대역폭을 소진시키는 공격(예: UDP 플러딩, ICMP 플러딩)이며, 프로토콜 공격은 TCP/IP 프로토콜 스택의 취약점을 이용하여 시스템 자원을 고갈시키는 공격(예: SYN 플러딩)이다. 애플리케이션 계층 공격은 웹 서버, DNS 서버 등 특정 애플리케이션의 취약점을 이용하여 서비스를 중단시키는 공격(예: HTTP 플러딩, Slowloris)이다[8].

<표 1>은 유형별 침해사고 신고현황으로 2023년 상반기 유형별 침해사고 건수는 DDoS 공격이 213건으로 전년 대비 74.6%나 증가하여 2023년 가장 많이 증가한 침해사고로 나타났다[9].

<표 1> 유형별 침해사고 신고현황[9]

SOBTCQ_2025_v25n1_3_3_t0001.png 이미지

(그림 2)는 DDoS 공격에 대한 신고 현황으로서 2020년 213건, 2021년 123건, 2022년 122건으로 감소 흐름을 보이다 지난해 다시 213건으로 늘어난 것을 볼 수 있다[9].

SOBTCQ_2025_v25n1_3_3_f0001.png 이미지

(그림 2) DDoS 공격 신고 현황[9]

최근 DDoS 공격은 공격 기법이 더욱 고도화 및 지능화되는 추세이다. 공격 트래픽의 양이 증가하고, 공격 지속 시간도 길어지고 있으며, 다양한 공격 유형을 혼합하여 사용하는 복합적인 공격 형태가 증가하고 있다[10]. 또한, IoT 기기들을 이용한 봇넷 구성, 암호화 트래픽을 이용한 공격 등 새로운 공격 기법이 등장하고 있으며, 공격 대상도 특정 기업이나 기관에서 개인 사용자로 확대되는 경향을 보이고 있다. 특히, 1인 미디어 스트리머와 같이 사회적으로 영향력이 큰 개인 사용자들이 DDoS 공격의 주요 표적이 되고 있다[11].

2.3 1인 미디어 DDoS 공격사례 분석

최근 인터넷 방송 BJ들과 게임 업계가 대규모 DDoS 공격으로 인해 방송 중단과 게임 플레이에 심각한 피해를 입었으며, 특히 2023년 말부터 2024년 초까지의 기간 동안 빈번하게 발생하고 있다. <표 2>는 인터넷 방송인 대상 DDoS 공격 사례로서 2024년 3월 한달 간 리그 오브 레전드(LoL), 배틀그라운드, 로스트아크 등 다양한 게임을 대상으로 DDoS 공격이 일어난 것을 알 수 있다. DDoS 공격으로 인해 아프리카TV, 치지직, 트위치 등 여러 방송 플랫폼에서 활동하는 인터넷 방송인들이 방송 중단 및 게임 플레이를 하지 못하면서 막대한 손해를 입었다[12].

<표 2> 인터넷 방송인 대상 DDoS공격 사례[12]

SOBTCQ_2025_v25n1_3_3_t0002.png 이미지

2.3 DDoS 공격 탐지 및 차단 관련 연구 동향

DDoS 공격 탐지 및 차단 기술은 오랜 기간 동안 연구되어 왔으며, 다양한 접근 방식이 제시되었다. 초기 연구들은 주로 시그니처 기반 탐지 (Signature-based Detection) 방식에 집중되었다. 시그니처 기반 탐지는 미리 정의된 공격 패턴 (시그니처)과 네트워크 트래픽을 비교하여 공격을 탐지하는 방식으로, 알려진 공격에 대해서는 높은 탐지율을 보이지만, 새로운 변종 공격이나 알려지지 않은 공격에는 취약하다[13].

최근에는 이상 행위 탐지(Anomaly-based Detection) 방식에 대한 연구가 활발하게 진행되고 있다. 이상 행위 탐지는 정상적인 네트워크 트래픽 패턴을 학습하고, 이로부터 벗어나는 이상 행위를 탐지하는 방식으로, 새로운 공격이나 변종 공격에도 효과적으로 대응할 수 있다. 이상 행위 탐지 기법은 통계 기반, 기계 학습 기반 등 다양한 알고리즘이 연구되고 있으며, 네트워크 트래픽의 통계적 특징(예: 트래픽 양, 패킷 크기, 프로토콜 유형) 분석, 머신 러닝 알고리즘(예: Support Vector Machine, Decision Tree, Neural Network)을 활용하여 DDoS 공격을 탐지하는 연구들이 활발히 진행되고 있다[14, 15].

이렇듯 현재까지는 소규모 네트워크 환경에 특화된 DDoS 공격 탐지 및 차단 연구는 아직 미흡한 실정이다. 기존 연구들은 주로 대규모 네트워크 환경, 기업 환경을 대상으로 설계되었으며, 높은 성능과 안정성을 목표로 하지만, 소규모 네트워크 환경에 적용하기에는 과도한 자원 요구량, 복잡한 설정 및 운영 방식 등의 한계점을 가진다. 소규모 네트워크 환경의 제한적인 자원 및 사용자 편의성을 고려한 경량화된 DDoS 공격 탐지 및 차단 시스템에 대한 연구가 필요하다.

3. 시스템 구현방법

3.1 시스템 구현 환경

<표 3>은 시스템 구현을 하기 위한 개발환경이다.

<표 3> 개발 환경

SOBTCQ_2025_v25n1_3_4_t0001.png 이미지

3.2 시스템 프로세스

(그림 3)은 시스템 프로세스이다. 백그라운드에서 패킷 모니터링을 실행하다 10초에 10000번 이상의 비정상 동작이 감지되면 패킷을 전송한 IP를 기록하고 방화벽 차단 Rules에 자동으로 추가된다. 추가된 IP는 로컬 사용자에게 알림창으로 알려주며 정상/비정상을 판단하여 차단/허용을 설정할 수 있다.

SOBTCQ_2025_v25n1_3_4_f0001.png 이미지

(그림 3) DDoS 탐지 및 차단 프로세스

4. 시스템 구현 및 비교분석

4.1 시스템 구현

구현된 시스템에서 DDoS 공격에 대해 탐지와 차단 되는 것을 확인하기 위해 UDP Flood, SYN Flood 등으로 가상 공격을 시도하였으며 (그림 4)와 같다.

SOBTCQ_2025_v25n1_3_5_f0001.png 이미지

(그림 4) DDoS 공격 시도

시스템을 실행하면 패킷을 실시간 모니터링하고 IP 요청 횟수를 저장하여 일정 시간 간격으로 요청 횟수 확인하게 되는데 10초에 10000번 이상의 DDoS 공격으로 의심되는 비정상 행동이 확인되면 자동으로 (그림 5)와 같이 Windows 방화벽 차단 규칙에 추가된다.

SOBTCQ_2025_v25n1_3_5_f0002.png 이미지

(그림 5) 방화벽 차단 Rules 생성

추가된 방화벽 차단 Rules에 의해 IP는 블랙 리스트에 저장하며 연결을 차단하게 되며 (그림 6)과 같이 사용자에게 UI로 출력해 줌으로써 차단 정보를 알려준다.

SOBTCQ_2025_v25n1_3_5_f0003.png 이미지

(그림 6) 차단 정보 출력

(그림 7)은 차단된 IP에 대해 관리를 할 수 있는 기능이며, 차단 IP를 확인하고 추가 및 제거가 가능하다. 또한 VirusTotal과 연동하여 (그림 8)과 같이 IP에 대한 안전성 검사도 할 수

SOBTCQ_2025_v25n1_3_5_f0004.png 이미지

(그림 7) 차단 IP 관리 메뉴

SOBTCQ_2025_v25n1_3_5_f0005.png 이미지

(그림 8) IP 검사 기능

4.2 비교분석

<표 4>는 기업용 보안 솔루션과 개발한 프로그램을 비교한 것이다. 성능면에서는 기업용 보안 프로그램이 머신러닝 기반의 분석 기능, 실시간 모니터링 및 높은 수준의 위협 대응 기능을 갖추고 있기에 상대적으로 성능이 높지만 개인이 사용하기에는 라이선스 비용, 유지보수 및 업데이트 등의 비용을 감당하기에 한계가 있고, 접근성 또한 개인이 기업용 보안 솔루션을 제대로 사용하기에는 설치, 구성, 운영 등에 있어 높은 수준의 기술 지식이 필요하기에 개인이 사용하기에는 한계점이 존재한다.

<표 4> 기업용 보안 프로그램과의 차이점

SOBTCQ_2025_v25n1_3_6_t0001.png 이미지

5. 결론

COVID19의 장기화로 인해 전 세계적으로 재택근무가 보편화되고 모든 일상을 집에서 해결하는 홈족이 늘어났으며, 이와 비례하여 소규모 네트워크 환경의 1인 미디어 창작자와 창작자가 제공하는 콘텐츠 산업도 크게 증가하였다. 이런 1인 미디어 창작자들은 먹방, 뷰티, 게임 등 다양한 콘텐츠들을 제공함으로써, 네트워크가 연결된 장소에서는 언제 어디서나 창작활동을 할 수 있으며, 콘텐츠들은 시청하는 시청자의 수와 후원으로 수입이 발생된다.

하지만 실시간 스트리밍을 중 보안위협 사고로 인한 방송중단은 1인 미디어 창작자에게 막대한 손해를 입을 수 있다. 따라서 본 논문은 소규모 네트워크 환경에서의 DDoS 공격 탐지 및 차단 시스템 구현하였다.

기업의 경우에는 보안위협이 발생하면 서비스 불가에 따라 막대한 금전적 손해를 입기 때문에 전문적인 보안솔루션들을 구축할 수 있지만 개인의 경우에는 보안솔루션 운영 및 금전적인 한계가 있어 개인 컴퓨터에서 간편하면서도 가벼운 시스템이 필요하다.

본 논문에서는 소규모 네트워크 환경의 1인 미디어 창작자 대상으로 한 보안위협 분석을 통해 DDoS 공격으로 인해 방송중단을 하는 문제가 계속해서 증가하고 있다는 것을 알 수 있었으며, DDoS 공격에 대해 제안한 시스템 도입으로 소규모 네트워크에서 개인이 쉽고 간편하게 설정 가능하기 때문에 안전한 1인 미디어 창작자의 개인 인터넷 방송을 운영할 수 있는 환경을 유지할 수 있다.

References

  1. 박경태, "1인 미디어 콘텐츠 이용 경험과 이용만족도가 플랫폼 충성도에 미치는 영향 연구," 한국콘텐츠학회논문지, 제18권, 제12호, pp. 576-587, 2018.
  2. 김민정, "디지털 미디어 환경 변화에 따른 개인 미디어 플랫폼의 성장과 과제 연구," 언론과학연구, 제25권, 제2호, pp. 7-42, 2020.
  3. 윤대희, "최근 DDoS 공격 트렌드 분석 및 대응 방안 연구," 정보보호학회논문지, 제29권, 제6호, pp. 123-134, 2019.
  4. 이종혁, "랜섬웨어 공격 동향 분석 및 효과적인 대응 전략 연구," 컴퓨터정보학회논문지, 제26권, 제10호, pp. 89-101, 2021.
  5. 정혜경, 한상균, "1인 미디어 콘텐츠에 대한 수용자 연구", 만화애니메이션연구, 제69호, pp. 365-394, 2022.
  6. Business Post, "유튜버 비롯한 1인 미디어 창작자 작년 전체 수입 1조, 상위 1% 평균 8억5천", https://www.businesspost.co.kr/BP?command=article_view&num=341868, 2024.
  7. 박찬우, "분산 서비스 거부 공격 (DDoS) 기술동향 분석," 정보과학회지, 제32권, 제3호, pp. 34-41, 2014.
  8. 정수환, "DDoS 공격 유형별 탐지 및 방어 기술 연구," 한국정보기술학회논문지, 제15권, 제11호, pp. 121-130, 2017.
  9. 한국인터넷진흥원, "2023년 하반기 사이버 위협 동향 보고서", 2024.
  10. 윤성훈, "최신 DDoS 공격 동향 및 대응 기술," 정보보호학회지, 제28권, 제4호, pp. 45-52, 2018.
  11. 김동현, "1인 미디어 스트리머 대상 사이버 공격사례 분석 및 보안 강화 방안 연구," 디지털융복합연구, 제19권, 제10호, pp. 231-242, 2021.
  12. 한국재정정보원, "디도스 공격, 여전히 위협적인존재", https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/notice_issue?articleSeq=3898, 2024.
  13. Snapp, S. R., et al., "SADEs: a system for detecting anomalies in network traffic," Proceedings of the 4th USENIX conference on Security symposium, pp. 219-230, 1995.
  14. Lakhina, A., et al., "Diagnosing network-wide traffic anomalies," ACM SIGCOMM computer communication review, vol. 34, no. 4, pp. 219-230, 2004. https://doi.org/10.1145/1030194.1015492
  15. Tavallaee, M., et al., "A detailed analysis of the KDD cup 99 data set," 2009 IEEE symposium on computational intelligence for security and defense applications, pp. 1-6, 2009.