DDoS·봇·스캐너 대응: 엣지 방어부터 애플리케이션 레벨까지

요약: 트레이딩 서비스는 지연·가용성이 수익과 직결됩니다. 따라서 방어는 계층형(Defense-in-Depth)으로 설계해야 합니다. 본 문서는 엣지(CDN/Anycast)→네트워크(WAF/L3/4)→전송(TLS)→애플리케이션(API 레이트리밋/봇관리)→백오피스(모니터링/런북) 순으로, 트레이딩 워크로드에 맞춘 실무 체크리스트를 제시합니다.

1) 위협 모델링 — 무엇을 지켜야 하나

• 가용성: 호가/시세 API, 주문/체결(OMS) 엔드포인트, 로그인/자금 흐름.
• 지연: p95/p99 응답, 체결 이벤트 지연, 웹소켓 드롭율.
• 정확성: 시세 지연 유발·리플레이·스캐닝으로 인한 데이터 오염 방지.

2) 엣지 레이어 — 흡수하고 구분하기

• Anycast CDN/WAF: 전 세계 PoP에서 대량 트래픽을 흡수, L7 프록시로 악성 패턴 선별.
• 엣지 캐싱/컴퓨트: 정적 자산(이미지/스크립트) 캐시, 헬스체크·챌린지를 엣지에서 수행해 오리진 보호.
• 지능형 챌린지: JavaScript/무인증 WebAssembly 테스트, 터치/포인터 힌트 활용(자동화 탐지).
• Geo/IP 정책: 고위험 ASN/국가 단계적 제한(읽기 전용→완전 차단), Allow-list 우선.

3) L3/L4 — 네트워크·전송 계층 방어

• 라우터 방화벽 규칙: SYN/UDP 플러드 베이스라인 정의, ICMP/프래그먼트 인자 조정.
• 커넥션 제한: 초당 커넥션 생성 한도, 비정상 재전송/핸드셰이크 드롭.
• TLS: TLS 1.2+, 가벼운 암호군 선호, 세션 재활용(키 재사용)로 핸드셰이크 비용 절감.

4) L7 — 애플리케이션/ API 방어

• WAF 룰셋: 공통 취약점 서명 + 커스텀 규칙(경로/메서드 화이트리스트, 예상치 못한 페이로드 차단).
• 레이트리밋: 엔드포인트 중요도별 쿼터/버스트(예: /api/order < /api/price), IP+유저+토큰 키 조합.
• 웹소켓 보호: 핑/퐁 타임아웃, 초당 메시지 한도, 구독 채널 수 제한.
• 봇 관리: 디바이스 지문·행동 기반 스코어링, 스코어에 따른 서빙 등급(완전허용/슬로틀링/챌린지/차단).
• 재시도/큐: 오리진 혼잡 시 엣지 큐·백오프, 주문 API는 멱등 키로 중복 방지.

5) 스캐너·취약점 탐색 억제

• 허니패스/허니헤더: 존재하지 않는 엔드포인트에만 달리는 트래픽 자동 블랙홀.
• UA/헤더 위변조 탐지: 드문 조합·클럭 스큐·헤더 순서로 자동화 툴 식별.
• 속도 기반 신호: 초단위 경로 전환·동시 다중 경로 탐색은 챌린지 또는 차단.

6) 트레이딩 특화 지연 보호

• 핫패스 분리: 주문/체결 API는 별도 도메인·오리진, 캐시·정적 자산과 네트워크 경로 분리.
• 우선순위 큐: 인증된 트래픽·프리미엄 사용자에 우선 대역폭/스레드 할당.
• 시세 스트림: 토픽당 구독 수 제한, 리샘플링/배치 전송으로 스파이크 완화.

7) 모니터링·가시성

• 핵심 지표: p95/99 응답·오류율·오픈 커넥션·웹소켓 드롭율·엣지 챌린지 통과율.
• 소스 인텔: ASN/국가/아이피 히트맵, 차단 룰 정상작동 여부(오탐/미탐 비율).
• 대시보드: 엣지·오리진·DB 별, 실시간과 히스토리 탭 분리.

8) 런북(Incident Response) 요약

1. 탐지: 임계 초과 알람→지표 확인(p95/오류/접속수).
2. 격리: 엣지 레벨 챌린지 강화·Geo/ASN 제한·핫패스 보호 모드.
3. 치료: WAF 커스텀 룰 적용, 레이트리밋 프로파일 상향, 특정 시그니처 드롭.
4. 복구: 완화 후 점진적 롤백, 오탐 확인, 포스트모템 기록.

9) 설정 체크리스트

• CDN/WAF: 챌린지 레벨, Geo/ASN 정책, 봇 점수 임계, 허니패스 라우팅.
• API: 엔드포인트별 레이트리밋, 멱등 키, 오류 코드 일관성, 슬로우로어리스(느린 요청) 방지.
• 웹소켓: 커넥션 제한, 메시지/초 제한, 구독 토픽 수 상한, 백프레셔.
• 로깅: 차단 사유, 룰 ID, 요청 샘플, 재현 지표 저장(WORM 권장).

10) 흔한 실패 패턴

• 모든 엔드포인트에 동일 레이트리밋 적용 → 핫패스 지연.
• 오탐 확인 없이 차단 레벨 상향 → 정상 유저 손실.
• 엣지/오리진 지표 불일치 → 원인 추적 어려움(표준 상관 키 필요).

FAQ

캡차만으로 충분한가요?

아닙니다. 트레이딩에서는 캡차가 지연을 유발할 수 있어 봇 스코어링+레이트리밋+챌린지의 조합이 안전합니다.

웹소켓은 어떻게 보호하죠?

세션 인증·구독 제한·메시지 레이트리밋·핑/퐁 타임아웃·백프레셔로 제어하세요.

오탐을 줄이는 방법?

Allow-list(사내/파트너) 우선, 룰 변경 시 시뮬레이션 모드로 영향도를 측정한 뒤 단계적 적용이 좋습니다.

CTA

현재 인프라의 DDoS/봇 방어 구성을 무상 30분으로 점검해 드립니다. 문의로 런북/룰셋 템플릿을 요청하세요.

※ 본 문서는 합법적 서비스 보호를 위한 일반 가이드입니다. 공격·침투를 조장하지 않으며, 세부 설정은 귀사 환경과 계약한 보안 벤더 가이드를 따르세요.