라우터 기반 푸시백과 클라이언트 퍼즐을 결합한 DDoS 방어 메커니즘

초록

본 논문은 전통적인 엔드‑투‑엔드 혼잡 제어가 무력화된 DDoS 공격을 라우터 수준에서 탐지·차단하기 위해 푸시백 기법과 클라이언트 퍼즐을 결합한 하이브리드 방어 체계를 제안한다. 퍼즐 풀이를 라우터가 수행하도록 이동시켜 공격 트래픽이 핵심망을 통과하기 전에 필터링하고, 공격자 식별 및 자원 보호를 동시에 달성한다.

상세 분석

이 논문은 DDoS 방어를 두 가지 기존 접근법, 즉 푸시백(pushback)과 클라이언트 퍼즐(client puzzle) 방식의 장점을 융합한 새로운 메커니즘을 제시한다는 점에서 학술적·실무적 의의가 크다. 전통적인 푸시백은 라우터가 비정상적인 트래픽을 감지하고 상위 라우터에 차단을 요청함으로써 공격 흐름을 원천에서 억제한다. 그러나 기존 설계는 공격 트래픽을 식별하기 위한 신호(예: 패킷 손실률, RTT 증가)만을 활용하므로, 정교한 스머프 공격이나 트래픽 변조 공격에 취약할 수 있다. 반면 클라이언트 퍼즐은 서버가 직접 퍼즐을 발행해 응답을 요구함으로써 공격자를 식별한다. 하지만 퍼즐을 서버에서 처리하면 공격 트래픽이 이미 네트워크 코어를 통과한 뒤에야 차단되므로, 라우터 자원이 불필요하게 소모되는 단점이 있다.

논문은 이러한 문제점을 해결하기 위해 퍼즐 생성·검증 로직을 라우터에 탑재하고, 라우터가 의심 트래픽에 대해 즉시 퍼즐을 부여하도록 설계하였다. 라우터는 패킷 헤더에 퍼즐 토큰을 삽입하고, 응답이 없거나 부정확하면 해당 흐름을 차단한다. 이 과정에서 라우터는 기존 푸시백 신호와 퍼즐 성공률을 종합해 공격 확률을 정량화하고, 동적으로 퍼즐 난이도를 조정한다. 즉, 정상 사용자에게는 최소한의 지연만 발생시키면서, 공격자는 퍼즐 풀이에 필요한 연산 자원을 소모하게 만든다.

핵심 기술적 기여는 다음과 같다. 첫째, 라우터 기반 퍼즐 메커니즘을 구현하기 위해 최소한의 상태 정보를 유지하도록 설계했으며, 이는 라우터 메모리 오버헤드를 크게 증가시키지 않는다. 둘째, 퍼즐 난이도 조정 알고리즘을 푸시백 신호와 결합해 공격 강도에 따라 자동으로 스케일링한다. 셋째, 라우터 간 협업 프로토콜을 정의해 상위 라우터가 하위 라우터의 퍼즐 결과를 공유함으로써 전역적인 공격 차단 효율을 높인다.

하지만 몇 가지 한계도 존재한다. 라우터가 퍼즐 연산을 수행하려면 추가 CPU 사이클이 필요하므로, 고속 백본 라우터에서 처리량 저하 위험이 있다. 또한 퍼즐 토큰을 패킷에 삽입하는 과정에서 MTU 초과나 프래그멘테이션 문제가 발생할 가능성이 있다. 보안 측면에서는 퍼즐 자체가 역설계되어 공격자가 미리 풀어놓은 퍼즐을 재사용하거나, 퍼즐 생성 시드가 노출될 경우 공격 회피가 가능하다. 따라서 시드 관리와 퍼즐 설계에 대한 추가 연구가 필요하다.

종합적으로, 라우터 기반 푸시백·퍼즐 하이브리드 모델은 DDoS 방어의 새로운 패러다임을 제시하지만, 실운용 환경에서의 성능 검증과 보안 강화가 뒤따라야 한다.