AWS Training에서 제공하는 AWS Cloud Practitioner (Korean) 강의 요약 정리 내용입니다.
1. 서비스 거부 공격(DoS) – 단독 장난전화
시나리오
커피숍에 한 장난꾸러기가 전화를 걸어 계속 주문을 하고는 픽업을 하지 않습니다. 계산원은 계속 이 전화를 받느라, 실제 고객의 주문을 받을 수 없습니다. 이것이 바로 DoS(서비스 거부, Denial of Service) 공격입니다.
단일 공격자가 트래픽을 반복적으로 보내 서버의 자원을 소진시키고, 정당한 사용자들이 서비스를 이용하지 못하게 만드는 공격입니다.
2. 분산 서비스 거부 공격(DDoS) – 친구들과 단체 장난전화
시나리오 확장
장난꾸러기가 친구 여러 명에게도 전화를 걸게 합니다. 이들은 서로 다른 번호를 사용하기 때문에 커피숍에서는 번호 차단으로는 대응할 수 없습니다. 게다가 동시에 걸려 오는 전화가 많아지면서 정상 고객이 주문 전화를 걸기 어려워집니다.
이것이 바로 DDoS(분산 서비스 거부, Distributed Denial of Service) 공격입니다.
여러 감염된 컴퓨터(봇넷)를 이용해 동시에 수많은 트래픽을 발생시켜 서비스를 마비시킵니다.
3. AWS Shield로 방어하기
AWS Shield란?
AWS Shield는 AWS 상에서 DoS 및 DDoS 공격으로부터 서비스를 보호하는 보안 서비스입니다. 기본 제공되는 Shield Standard와 고급 보안이 가능한 Shield Advanced 두 가지 등급이 있습니다.
AWS Shield Standard – 기본 보호
- 모든 AWS 고객에게 기본 제공
- 가장 흔한 DDoS 공격 유형으로부터 자동 보호
- CloudFront, ELB, Route 53 등에 연결된 서비스는 자동 감지 및 완화
예: 초당 수천 건의 요청이 몰려와도 정상 트래픽은 유지하며 공격 트래픽은 자동 차단
AWS Shield Advanced – 고급 보호
- 유료 서비스
- 정교한 공격에 대한 맞춤형 탐지 및 대응
- Amazon CloudFront, ELB, Route 53과 긴밀히 통합
- AWS WAF와 연동해 사용자 지정 보안 규칙 설정 가능
- 공격 발생 시 전문 대응팀(DRT)과 직접 협력 가능
- DDoS 공격에 따른 비용 증가를 보상하는 비용 보호 기능 포함
4. DoS/DDoS vs AWS Shield – 한눈에 보기
| 항목 | DoS | DDoS | AWS Shield Standard | AWS Shield Advanced |
| 공격 주체 | 단일 | 다수 (봇넷) | - | - |
| 공격 방식 | 반복 요청 | 분산 요청 | 자동 감지·완화 | 고급 탐지 및 대응 가능 |
| 보호 대상 | - | - | CloudFront, ELB 등 | 추가 비용 보호, WAF 연동 |
| 비용 | - | - | 무료 | 유료 |
'AWS 자격증 > AWS Certified Cloud Practitioner' 카테고리의 다른 글
| AWS Certified Cloud Practitioner 모듈7 - Amazon CloudWatch (0) | 2025.06.21 |
|---|---|
| AWS Certified Cloud Practitioner 모듈6 - 추가 보안 서비스 (0) | 2025.06.21 |
| AWS Certified Cloud Practitioner 모듈6 - 규정 준수 (0) | 2025.06.21 |
| AWS Certified Cloud Practitioner 모듈6 - AWS Organizations (0) | 2025.06.21 |
| AWS Certified Cloud Practitioner 모듈6 - 사용자 권한 및 액세스 (0) | 2025.06.20 |