[AWS Security] AWS Shield의 L3/L4 DDoS 탐지 로직 완전 정리
AWS Shield는 어떻게 L3/L4 네트워크 공격을 탐지하고 대응할까?
이번 포스트에서는 AWS 공식 문서를 바탕으로, 인프라 계층(Layer 3, Layer 4)에서의 DDoS 공격을 AWS Shield가 어떤 로직으로 탐지하고 완화하는지 상세하게 설명합니다.
🧱 개요: 인프라 계층(L3/L4)에서의 DDoS 방어
DDoS 공격은 네트워크와 트랜스포트 계층(L3/L4)을 통해 서버 자원을 고갈시켜 서비스를 마비시키는 대표적인 공격입니다. 예를 들면 다음과 같습니다:
- TCP SYN Flood (전송 계층)
- UDP/ICMP Flood (네트워크 계층)
AWS는 이러한 공격을 AWS Shield 서비스를 통해 자동 탐지하고 완화합니다.
보호 대상 리소스 유형 및 Shield Advanced 사용 여부에 따라 탐지 방식과 민감도가 달라집니다.
🛡 AWS Shield 탐지 구조: 리소스 유형별 상세 정리
1. CloudFront 및 Route 53
전 세계적으로 가장 빠른 탐지 및 완화가 적용되는 리소스
- 모든 요청은 완전히 인라인된 DDoS 완화 시스템에서 실시간으로 분석됨
- Shield Basic만 사용해도 보호 가능
- 네트워크 지연(latency) 없이 공격 탐지 및 완화 수행
- DDoS 공격이 발생하면 즉각적인 대응
🔸 실무 팁
가능하다면 웹 애플리케이션의 프론트엔드 진입점을 CloudFront + Route 53으로 구성하여 최전선 방어를 활용하는 것이 베스트 프랙티스입니다.
✅ 시나리오 1: 정적/동적 웹 서비스 (CloudFront + Route 53)
대상: 웹사이트, REST API 등 레이어 7 트래픽
구성도 요약: 사용자 → Route 53 → CloudFront → ALB → EC2
구성 설명
- Route 53이 DNS 요청을 받고, 가까운 CloudFront 엣지 로케이션으로 연결
- CloudFront는 정적 파일은 캐싱하고, 동적 요청은 ALB로 전달
- CloudFront, Route 53 모두 기본적으로 AWS Shield 보호가 활성화됨
- CloudFront + WAF를 연계하면 L7 공격 대응 (HTTP Flood 등)도 가능
장점
- 글로벌 사용자에게 빠르고 안전한 접근
- L3~L7 공격에 대해 다층 방어 가능
- 비용 효율적 (CloudFront 캐시 활용)
2. Global Accelerator 및 리전 내 리소스 (ALB, NLB, EC2 등)
이 리소스들은 다음과 같은 방식으로 DDoS 탐지를 수행합니다:
▶ ① 트래픽 모니터링 주기
- 1분마다 개별 리소스에 대한 네트워크 트래픽을 평가
- 이상 트래픽이 감지되면 추가 분석 수행
▶ ② 리소스의 처리 용량(Capacity) 조회
- 리소스별로 실질적인 처리 가능 용량을 기준으로 공격 판단
| EC2 / EIP | 인스턴스 타입, 크기, ENA 여부 등 |
| ALB / CLB | 대상 로드밸런서 노드의 스펙 기반 |
| NLB+EIP | 대상 구성과 관계없이 고정된 용량 기준 |
| Global Accelerator | 엔드포인트 설정에 따른 처리량 |
▶ ③ DDoS 탐지 및 완화 조건
- 다음 조건 중 하나 이상 충족 시 자동 완화(Mitigation) 수행:
- 리소스 전체 용량 초과
- 특정 트래픽 프로토콜/포트에서 DDoS로 알려진 패턴 감지
- 완화는 TTL(Time to Live)을 갖고 배포되며, 공격이 계속되면 자동 연장됨
🔸 주의사항
Shield가 완화 조치를 배포하더라도 공격 트래픽이 100% 차단되는 것은 아님. 일부 트래픽은 통과될 수 있으므로, 방화벽이나 ACL을 통한 추가 차단이 필요할 수 있음.
✅ 시나리오 2: TCP/UDP 기반 애플리케이션 (Global Accelerator)
대상: 게임 서버, VoIP, 금융 거래 등 빠른 연결이 중요한 서비스
구성도 요약: 사용자 → Global Accelerator → NLB/ALB → EC2
구성 설명
- Global Accelerator는 전 세계에 배포된 AWS 네트워크를 통해 가장 가까운 Edge에서 연결 시작
- 사용자는 단일 Anycast IP만 알고 접속하면 됨
- 내부적으로 가장 응답 좋은 AWS 리전에 트래픽이 전달됨
- TCP/UDP 모두 지원, HTTP 레이어가 아닌 경우에도 사용 가능
- Shield Standard/Advanced에 의해 기본 보호됨
장점
- L4 단위 공격 (SYN/UDP Flood 등)에도 빠른 대응
- 단일 IP 기반, 글로벌 애플리케이션 배포 가능
- EC2, ALB 등 리전 리소스와 자동 연동됨
⚙️ Shield Advanced 사용 시 탐지 로직 향상
Shield Advanced 구독 시, 탐지 민감도와 지능형 탐지 기능이 추가됩니다:
| 낮은 탐지 임계값 | 리소스 용량의 50% 수준에서 완화 시작 → 느린 공격도 조기 차단 |
| 간헐적 공격 대응 | 짧은 burst 형태의 공격에도 지수적으로 증가하는 TTL 완화 |
| 헬스 체크 기반 탐지 | Route 53 헬스 체크 결과를 탐지 로직에 반영함 |
▷ 헬스 체크 기반 탐지 로직
- 헬시 상태: 확신이 있어야 완화 조치 → 오탐 방지
- 언헬시 상태: 완화 기준 완화 → 조기 대응 가능
🔸 실무 예시:
EC2에 Application Load Balancer(ALB)를 붙이고, Shield Advanced와 헬스 체크를 연동하면 서비스 상태에 따라 민감하게 대응할 수 있습니다.
🔐 실무 보안팀을 위한 권장 사항 요약
| 웹 프론트엔드 | CloudFront + Route 53 구성 |
| L4 보호 대상 | Shield Advanced 적용 + ACL or WAF 연계 |
| 모니터링 | VPC 흐름 로그, CloudWatch Alarms 연동 |
| 오탐 방지 | 헬스 체크 연동, 룰 민감도 조절 |
| 추가 필터링 | iptables, AWS Network Firewall 병행 사용 |
✍️ 마무리
AWS Shield는 단순한 트래픽 필터링을 넘어, 각 리소스의 특성과 헬스 상태까지 고려한 정교한 탐지 로직을 제공합니다. 특히 Shield Advanced는 기업 환경에서 DDoS 방어 체계를 완성하는 데 필수적인 구성 요소입니다.
보안의 핵심은 계층적 방어입니다.
CloudFront → ALB → EC2 → WAF/NFW까지 이어지는 다층 방어 체계를 설계하세요.