DDoS 사고 대응 runbook을 어떻게 구축하나요?

Question

Accepted Answer

DDoS runbook은 패닉을 체크리스트로 바꿉니다. 핵심 원칙은 **공격 중이 아니라 공격 전에 준비하라**입니다 — 계정이 프로비저닝되고, 연락처가 알려져 있고, 대시보드가 구축되어 있어 대응이 즉흥이 아니라 실행이 되도록.

## 미리 준비하기

- **CDN/scrubbing 제공자를 이미 통합**해 두기(DNS가 그곳을 통하도록 가리키고, 켤 수 있는 "under attack" 모드).
- 이상이 빠르게 드러나도록 트래픽, error rate, cache-hit ratio에 대한 **baseline 대시보드와 알림**을 유지.
- 즉시 조일 수 있는 **WAF 규칙과 rate-limit 단계**를 미리 작성.
- **연락처 목록** 유지: on-call, CDN/ISP 지원, 리더십, 그리고 준비된 **status-page** 템플릿.

## runbook 단계

1. **탐지 및 선언** — 알림이나 상관된 이상(DDoS 탐지 참조)이 사고를 촉발. 즉시 incident commander를 지정.
2. **공격 유형과 대상 식별** — Layer 3/4(볼류메트릭)인가 Layer 7(HTTP flood)인가? 어느 엔드포인트, IP, 지역인가? 유형이 어떤 통제를 가동할지 결정.
3. **방어 가동** — CDN "under attack" 모드 / scrubbing을 켜고, **WAF 규칙을 조이고**, **rate limit을 낮춤**. 가장 저렴하고 광범위한 통제부터 시작.
4. **출처 차단 / null-route** — 위반하는 IP 범위나 지역을 edge에서 차단; 최후의 수단으로 ISP에 대상 IP를 **null-route**하도록 요청해 나머지 플랫폼을 구함.
5. **소통** — **status page**에 게시하고, 이해관계자를 업데이트하며, 타임라인을 유지. 명확한 소통은 혼란이라는 두 번째 위기를 막음.
6. **필요 시 확장** — 필터가 조여지는 동안 통과하는 트래픽을 흡수하도록 origin 용량을 autoscale하거나 overprovision.
7. **사후 검토** — 안정되면 무비난 회고를 실행: 무엇이 효과적이었고, 무엇이 느렸으며, 어떤 규칙을 영구화할지, 어떤 격차를 메울지.

```text
탐지 -> 식별 -> 가동 (CDN/WAF/rate-limit) -> 차단/null-route
     -> 소통 -> 확장 -> 사후 검토
```

## 왜 중요한가

실제 공격 중에는 지연과 아드레날린 때문에 사람들이 단계를 건너뛰고 상황을 악화시킵니다. runbook은 알려진 순서, 미리 구축된 도구, 명확한 역할을 제공하여, 팀이 사이트가 다운된 동안 선택지를 논쟁하는 대신 몇 분 안에 완화하게 합니다. 어떤 DDoS runbook에서도 가장 가치 있는 줄은 미리 해둔 준비입니다 — flood를 당하는 중에 scrubbing 제공자를 통합하거나 ISP의 긴급 번호를 찾을 수는 없습니다.