웹 애플리케이션을 인터넷에 노출하는 순간, 두 종류의 적이 동시에 찾아온다. 하나는 양(volume)으로 밀어붙이는 DDoS — 트래픽을 폭증시켜 서버를 마비시킨다. 다른 하나는 꾀(payload)로 파고드는 애플리케이션 공격 — SQL 인젝션, XSS처럼 정교한 요청으로 데이터를 탈취한다. 이 둘은 방어하는 계층이 다르다. DDoS는 주로 L3/L4(네트워크·전송)에서, 인젝션은 L7(애플리케이션)에서 막는다. 그래서 AWS의 엣지 보안은 **Shield(DDoS)**와 **WAF(L7 필터링)**를 분리하고, 이를 멀티 계정에 일괄 적용하는 Firewall Manager, VPC 내부를 지키는 Network Firewall, 악성 도메인을 막는 DNS Firewall로 확장한다.
SAP-C02 시험에서 엣지 보안은 "이 위협을 어느 계층에서 막나", "Shield Standard로 충분한가 Advanced가 필요한가", "수백 계정에 WAF 정책을 어떻게 일괄 적용하나"라는 의사결정으로 나온다. OSI 7계층을 머릿속에 두고 "이 공격은 몇 계층인가"를 먼저 묻는 게 정답의 출발점이다. 오늘은 각 서비스의 동작 원리와 DDoS의 종류별 방어를 계층으로 정리한다.
DDoS는 공격 계층에 따라 세 종류로 나뉜다(이 분류가 방어 선택을 결정한다).