네트워크 공격기법 2

서비스 마비 공격인 DoS와 DDoS를 중심으로 네트워크 공격기법을 정리합니다.

스니핑
스푸핑
ARP Spoofing
IP Spoofing
DNS Spoofing
세션 하이재킹
MITM
Replay Attack

이 내용은 정보보안기사 필기와 실기 모두에서 중요합니다.
특히 실기에서는 다음과 같은 형태로 자주 출제될 수 있습니다.

DoS와 DDoS의 차이를 설명하시오.
SYN Flooding 공격의 원리와 대응 방안을 설명하시오.
DDoS 공격 대응 절차를 설명하시오.
Reflection Attack과 Amplification Attack을 설명하시오.

학습 목표

이번 절의 학습 후 다음 질문에 답할 수 있어야 한다.

질문	목표
DoS란 무엇인가?	단일 공격자가 서비스를 마비시키는 공격이라고 설명
DDoS란 무엇인가?	다수의 공격자가 분산되어 서비스를 마비시키는 공격이라고 설명
DoS와 DDoS의 차이는?	공격 주체의 수와 대응 난이도 차이로 설명
SYN Flooding이란?	TCP 연결 과정을 악용해 서버 자원을 고갈시키는 공격이라고 설명
UDP Flooding이란?	UDP 패킷을 대량 전송해 대역폭과 자원을 소모시키는 공격이라고 설명
ICMP Flooding이란?	ICMP 패킷을 대량 전송해 네트워크나 서버를 마비시키는 공격이라고 설명
Smurf Attack이란?	IP 위조와 브로드캐스트를 이용한 ICMP 증폭 공격이라고 설명
Reflection Attack이란?	제3의 서버를 반사체로 이용하는 공격이라고 설명
Amplification Attack이란?	작은 요청으로 큰 응답을 유도하는 증폭 공격이라고 설명
Slow HTTP 공격이란?	적은 트래픽으로 웹 서버 연결 자원을 장시간 점유하는 공격이라고 설명
DDoS 대응은?	탐지, 차단, 우회, 분산, 모니터링, 복구로 설명

공격기법 전체 지도

이번 절에서 학습할 공격은 대부분 가용성 Availability 침해와 관련됩니다.

정보보안의 3요소를 다시 보면 다음과 같습니다.

요소	의미	침해 예시
기밀성	허가받은 사람만 정보 접근	개인정보 유출
무결성	정보가 위변조되지 않음	데이터 조작
가용성	필요할 때 서비스 사용 가능	DoS, DDoS

핵심은 가용성 침해 공격입니다.

공격	핵심 의미
DoS	단일 공격자가 서비스 거부 유발
DDoS	다수의 공격자가 분산 공격
SYN Flooding	TCP 연결 대기 자원 고갈
UDP Flooding	UDP 대량 트래픽 전송
ICMP Flooding	ICMP 대량 트래픽 전송
Smurf Attack	IP 위조 + ICMP 브로드캐스트 증폭
Reflection Attack	제3의 서버를 반사체로 이용
Amplification Attack	작은 요청으로 큰 응답 유도
DRDoS	분산 반사 서비스 거부 공격
Slow HTTP	웹 연결을 천천히 유지해 자원 점유
Botnet	감염된 다수 단말을 이용한 공격망

DoS

DoS란?

DoS는 Denial of Service입니다.
한국어로는 서비스 거부 공격입니다.

시험식 정의는 다음입니다.

DoS는 공격자가 서버, 네트워크, 애플리케이션의 자원을 고갈시키거나 장애를 유발하여 정상 사용자가 서비스를 이용하지 못하게 만드는 공격이다.

핵심 의미는 다음과 같다.

DoS = 서비스를 못 쓰게 만드는 공격

예를 들어 웹사이트에 접속하려는데 다음과 같은 현상이 발생합니다.

페이지가 열리지 않음
로그인이 안 됨
서버 응답이 매우 느림
네트워크가 마비됨

이런 상태를 유발하는 공격이 DoS입니다.

DoS의 주요 목표

DoS 공격은 보통 다음 자원을 고갈시키려고 합니다.

공격 대상 자원	설명
네트워크 대역폭	대량 트래픽으로 회선 포화
서버 CPU	과도한 요청 처리로 CPU 사용률 증가
메모리	연결 상태, 요청 처리로 메모리 고갈
세션 테이블	연결 대기 상태를 많이 만들어 자원 소모
애플리케이션 자원	DB 조회, 로그인, 검색 등 고비용 기능 악용
보안장비 자원	방화벽, IDS/IPS, WAF 처리 한계 초과

핵심은 다음입니다.

DoS는 가용성을 침해한다.

DDoS

DDoS란?

DDoS는 Distributed Denial of Service입니다.
한국어로는 분산 서비스 거부 공격입니다.

시험식 정의는 다음입니다.

DDoS는 공격자가 다수의 감염된 시스템이나 분산된 공격 지점을 이용하여 대량의 트래픽 또는 요청을 발생시켜 대상 서비스의 가용성을 침해하는 공격이다.

핵심 의미는 다음과 같다.

DDoS = 여러 곳에서 동시에 때리는 서비스 마비 공격

DoS와 DDoS 비교

구분	DoS	DDoS
공격 주체	단일 또는 소수	다수의 분산된 시스템
트래픽 규모	상대적으로 작을 수 있음	매우 큼
차단 난이도	상대적으로 낮음	높음
출발지	제한적	전 세계 다수 IP 가능
대응	단일 IP 차단 등 가능	트래픽 분석, 우회, 분산 방어 필요
예시	단일 서버에서 과도한 요청	봇넷을 이용한 대규모 공격

시험식 답안

DoS는 단일 공격자가 서버나 네트워크 자원을 고갈시켜 서비스를 방해하는 공격이고, DDoS는 다수의 분산된 공격 지점을 이용해 대량의 트래픽을 발생시키는 공격이다. DDoS는 출발지가 다양하고 트래픽 규모가 커서 탐지와 차단이 더 어렵다.

DDoS 공격의 기본 구조

DDoS는 보통 다음 구조로 이해하면 됩니다.

공격자
→ 명령 제어 서버 또는 공격 지시
→ 감염된 다수의 좀비 PC, 봇
→ 피해 서버로 대량 트래픽 전송

주요 구성요소는 다음입니다.

구성요소	설명
공격자	공격을 지시하는 주체
봇	악성코드에 감염되어 공격 명령을 수행하는 단말
봇넷	봇들이 모인 공격 네트워크
C&C 서버	명령을 전달하는 제어 서버
피해 서버	공격 대상 서비스

시험에서 자주 나오는 표현

봇넷은 악성코드에 감염되어 공격자의 명령을 받는 다수의 시스템으로 구성된 네트워크이다.

DoS/DDoS 공격의 분류

DoS와 DDoS는 여러 방식으로 나눌 수 있습니다.

분류	설명	예시
대역폭 고갈형	네트워크 회선을 포화시킴	UDP Flood, ICMP Flood
프로토콜 공격형	네트워크 프로토콜의 구조를 악용	SYN Flooding, Smurf
애플리케이션 공격형	웹, DB, 로그인 등 애플리케이션 자원 소모	Slow HTTP, HTTP GET Flood
반사·증폭형	제3의 서버를 이용해 트래픽을 반사·증폭	DNS, NTP, Memcached 악용 사례
자원 고갈형	CPU, 메모리, 세션, DB 연결 등을 고갈	SYN Flooding, Slow HTTP

정보보안기사에서는 특히 다음을 잘 알아야 합니다.

SYN Flooding
UDP Flooding
ICMP Flooding
Smurf Attack
Reflection / Amplification Attack
Slow HTTP 공격

SYN Flooding

TCP 3-Way Handshake 복습

TCP는 연결을 만들 때 3-Way Handshake를 수행합니다.

1. 클라이언트 → 서버: SYN
2. 서버 → 클라이언트: SYN/ACK
3. 클라이언트 → 서버: ACK

순서

SYN → SYN/ACK → ACK

정상 연결에서는 세 번째 ACK가 와야 연결이 완료됩니다.

SYN Flooding이란?

SYN Flooding은 TCP 연결 설정 과정을 악용하는 공격입니다.

시험식 정의는 다음입니다.

SYN Flooding은 공격자가 다수의 SYN 요청을 보내고 최종 ACK를 보내지 않아 서버의 연결 대기 자원을 고갈시키는 DoS 공격이다.

핵심 의미

SYN만 많이 보내고 연결을 끝내지 않는 공격

SYN Flooding의 원리

정상적인 경우

SYN → SYN/ACK → ACK
연결 완료

공격 상황

SYN → SYN/ACK → ACK 없음
연결 대기 상태가 쌓임

서버는 ACK를 기다리며 일정 시간 연결 정보를 유지합니다.
공격자가 이런 미완료 연결을 대량으로 만들면 서버 자원이 고갈됩니다.

SYN Flooding의 영향

영향	설명
연결 대기 큐 고갈	정상 사용자의 연결 처리 불가
서버 자원 소모	메모리, CPU 사용 증가
서비스 지연	웹, API, 서버 응답 지연
서비스 중단	정상 접속 불가

시험에서는 다음 표현이 중요합니다.

Half-open connection이 다량 발생한다.

Half-open connection은 연결이 완전히 완료되지 않은 상태입니다.

SYN Flooding 대응책

대응책	설명
SYN Cookie	연결 정보를 서버가 저장하지 않고 쿠키 방식으로 검증
연결 대기 큐 조정	backlog 크기와 timeout 조정
Rate Limiting	SYN 요청량 제한
방화벽·IPS 차단	비정상 SYN 패턴 탐지
출발지 IP 검증	위조 IP 필터링
로드밸런서 활용	트래픽 분산
DDoS 방어 서비스	대규모 공격 트래픽 정화

실기형 답안

SYN Flooding은 TCP 3-Way Handshake 과정에서 다수의 SYN 요청을 보내고 최종 ACK를 보내지 않아 서버의 연결 대기 자원을 고갈시키는 공격이다. 대응 방안으로는 SYN Cookie 적용, 연결 대기 큐와 타임아웃 조정, SYN 요청 Rate Limiting, 방화벽·IPS 탐지, 출발지 IP 필터링, 로드밸런서와 DDoS 방어 서비스 활용 등이 있다.

UDP Flooding

UDP Flooding이란?

UDP Flooding은 UDP 패킷을 대량으로 전송하여 대상 서버나 네트워크의 자원을 고갈시키는 공격입니다.

시험식 정의

UDP Flooding은 공격자가 대상 서버에 대량의 UDP 패킷을 전송하여 네트워크 대역폭과 시스템 자원을 소모시키는 DoS/DDoS 공격이다.

UDP는 비연결 지향이므로 TCP처럼 연결 설정 과정이 없습니다.

UDP = 비연결 지향

그래서 대량 전송 공격에 악용될 수 있습니다.

UDP Flooding의 영향

영향	설명
네트워크 대역폭 소모	대량 UDP 트래픽으로 회선 포화
서버 자원 소모	불필요한 패킷 처리로 CPU 사용 증가
정상 서비스 지연	정상 트래픽 처리 지연
ICMP 응답 증가	닫힌 포트 대상일 경우 오류 응답 유발 가능

UDP Flooding 대응책

대응책	설명
불필요한 UDP 서비스 차단	사용하지 않는 UDP 포트 차단
Rate Limiting	UDP 트래픽 요청량 제한
ACL 적용	허용된 출발지와 목적지만 허용
방화벽·IPS 탐지	비정상 UDP 패턴 차단
대역폭 모니터링	급증 트래픽 탐지
DDoS 방어 서비스	대규모 트래픽 정화
Anycast/CDN 활용	트래픽 분산

실기형 답안

UDP Flooding은 대상 서버나 네트워크에 대량의 UDP 패킷을 전송하여 대역폭과 시스템 자원을 고갈시키는 공격이다. 대응 방안으로는 불필요한 UDP 서비스 차단, UDP 트래픽 Rate Limiting, ACL 적용, 방화벽·IPS 탐지, 대역폭 모니터링, DDoS 방어 서비스 활용 등이 있다.

ICMP Flooding

ICMP Flooding이란?

ICMP Flooding은 ICMP 패킷을 대량으로 전송하여 네트워크나 서버 자원을 소모시키는 공격입니다.

시험식 정의

ICMP Flooding은 공격자가 대상 시스템에 대량의 ICMP Echo Request 등을 전송하여 네트워크 대역폭과 시스템 자원을 고갈시키는 DoS/DDoS 공격이다.

ICMP는 정상적으로 ping 같은 네트워크 진단에 사용됩니다.
하지만 대량으로 보내면 공격이 됩니다.

ICMP Flooding의 영향

영향	설명
네트워크 대역폭 소모	ICMP 트래픽으로 회선 포화
서버 응답 자원 소모	Echo Reply 처리 부담
정상 통신 지연	네트워크 혼잡
서비스 장애	대규모 공격 시 정상 접속 불가

ICMP Flooding 대응책

대응책	설명
ICMP Rate Limiting	ICMP 요청량 제한
불필요한 ICMP 차단	외부 ICMP 제한
필요한 ICMP만 허용	진단용 ICMP 타입만 제한적으로 허용
방화벽 정책 적용	출발지와 목적지 기준 제어
트래픽 모니터링	비정상 ICMP 급증 탐지
DDoS 방어 장비 활용	대규모 공격 트래픽 차단

실기형 답안

ICMP Flooding은 대량의 ICMP 패킷을 전송하여 네트워크 대역폭과 시스템 자원을 소모시키는 공격이다. 대응 방안으로는 ICMP Rate Limiting, 불필요한 ICMP 차단, 필요한 ICMP 타입만 허용, 방화벽 정책 적용, 트래픽 모니터링, DDoS 방어 장비 활용 등이 있다.

Smurf Attack

Smurf Attack이란?

Smurf Attack은 ICMP와 IP Spoofing, 브로드캐스트를 이용한 공격입니다.

시험식 정의

Smurf Attack은 공격자가 출발지 IP를 피해자 IP로 위조한 ICMP Echo Request를 브로드캐스트 주소로 전송하여 다수의 호스트가 피해자에게 응답하게 만드는 증폭형 DoS 공격이다.

핵심 의미

피해자 IP로 위조해서 여러 장비가 피해자에게 응답하게 만드는 공격

Smurf Attack의 핵심 요소

Smurf Attack에는 세 가지가 연결됩니다.

요소	의미
ICMP	ping 계열 요청과 응답
IP Spoofing	출발지 IP를 피해자 IP로 위조
Broadcast	여러 호스트에게 동시에 요청 전달

결과적으로 다수의 호스트가 피해자에게 ICMP 응답을 보내 피해자의 네트워크를 마비시킬 수 있습니다.

Smurf Attack 대응책

대응책	설명
Directed Broadcast 차단	라우터에서 브로드캐스트 전달 차단
IP Spoofing 필터링	위조 출발지 IP 차단
ICMP Rate Limiting	ICMP 응답량 제한
브로드캐스트 응답 제한	호스트가 브로드캐스트 ping에 응답하지 않도록 설정
트래픽 모니터링	비정상 ICMP 트래픽 탐지

실기형 답안

Smurf Attack은 출발지 IP를 피해자 IP로 위조한 ICMP Echo Request를 브로드캐스트 주소로 보내 다수의 호스트가 피해자에게 응답하게 만드는 증폭형 DoS 공격이다. 대응 방안으로는 directed broadcast 차단, IP Spoofing 필터링, ICMP Rate Limiting, 브로드캐스트 응답 제한, 트래픽 모니터링 등이 있다.

Reflection Attack

Reflection Attack이란?

Reflection Attack은 제3의 서버를 반사체로 이용하는 공격입니다.

시험식 정의

Reflection Attack은 공격자가 출발지 IP를 피해자 IP로 위조하여 제3의 서버에 요청을 보내고, 해당 서버의 응답이 피해자에게 전달되도록 하는 공격이다.

핵심 의미

공격자가 직접 때리지 않고, 다른 서버들이 피해자를 때리게 만드는 공격

Reflection Attack 구조

단순화하면 다음입니다.

1. 공격자가 출발지 IP를 피해자 IP로 위조한다.
2. 제3의 서버에 요청을 보낸다.
3. 제3의 서버는 응답을 피해자에게 보낸다.
4. 피해자는 많은 응답 트래픽을 받는다.

여기서 제3의 서버를 반사 서버 또는 Reflector라고 볼 수 있습니다.

Amplification Attack

Amplification Attack이란?

Amplification Attack은 작은 요청으로 큰 응답을 유도하는 공격입니다.

시험식 정의

Amplification Attack은 공격자가 작은 요청 패킷을 보내 큰 응답 트래픽을 발생시키도록 하여 공격 트래픽 규모를 증폭시키는 공격이다.

핵심 의미

작게 보내고 크게 터뜨리는 공격

Reflection과 Amplification의 차이

둘은 자주 같이 나옵니다.

구분	Reflection	Amplification
핵심	제3의 서버를 반사체로 이용	요청보다 큰 응답을 유도
목적	피해자에게 응답 트래픽 집중	공격 트래픽 규모 확대
공통점	IP Spoofing이 자주 사용됨	DDoS 규모 확대에 사용
예시	피해자 IP로 위조해 DNS 서버에 요청	작은 DNS 요청으로 큰 DNS 응답 유도

시험식 구분

Reflection = 반사체 이용
Amplification = 트래픽 증폭

DRDoS

DRDoS란?

DRDoS는 Distributed Reflection Denial of Service입니다.
한국어로는 분산 반사 서비스 거부 공격입니다.

시험식 정의

DRDoS는 공격자가 출발지 IP를 피해자 IP로 위조한 요청을 다수의 반사 서버에 보내고, 반사 서버들의 응답이 피해자에게 집중되도록 하는 DDoS 공격이다.

DRDoS는 다음 요소가 결합됩니다.

DDoS + IP Spoofing + Reflection + Amplification

DRDoS에 악용될 수 있는 프로토콜

시험에서 특정 프로토콜을 깊게 묻기보다, 반사·증폭에 악용될 수 있는 UDP 기반 서비스들을 연결해서 이해하면 됩니다.

프로토콜	보안 이슈
DNS	큰 응답을 유도할 수 있음
NTP	증폭 공격에 악용될 수 있음
SNMP	장비 응답 정보가 커질 수 있음
SSDP	장치 검색 응답 악용 가능
Memcached	잘못 노출되면 큰 응답 악용 가능

핵심은 다음입니다.

불필요하게 외부에 노출된 UDP 기반 서비스는 반사·증폭 공격에 악용될 수 있다.

반사·증폭 공격 대응책

대응책	설명
IP Spoofing 필터링	Ingress/Egress Filtering 적용
불필요한 UDP 서비스 차단	외부 공개 최소화
오픈 리졸버 제한	DNS 서버가 아무나 질의하지 못하게 제한
NTP, SNMP 설정 강화	외부 접근 제한, 불필요 기능 비활성화
Rate Limiting	응답량 제한
ISP 협력	상위망에서 공격 트래픽 차단
DDoS 방어센터 연계	대규모 트래픽 정화
로그와 트래픽 분석	반사 트래픽 패턴 확인

실기형 답안

Reflection Attack은 출발지 IP를 피해자 IP로 위조하여 제3의 서버 응답이 피해자에게 전달되도록 하는 공격이고, Amplification Attack은 작은 요청으로 큰 응답을 유도해 트래픽을 증폭시키는 공격이다. 대응 방안으로는 Ingress/Egress Filtering, 불필요한 UDP 서비스 차단, 오픈 리졸버 제한, NTP·SNMP 접근 제한, Rate Limiting, ISP 및 DDoS 방어센터 연계가 필요하다.

HTTP Flood

HTTP Flood란?

HTTP Flood는 웹 서버나 웹 애플리케이션에 대량의 HTTP 요청을 보내 자원을 소모시키는 공격입니다.

시험식 정의

HTTP Flood는 대량의 HTTP GET 또는 POST 요청을 전송하여 웹 서버, 애플리케이션 서버, DB 서버의 자원을 고갈시키는 애플리케이션 계층 DDoS 공격이다.

이 공격은 7계층 공격입니다.

HTTP Flood = 7계층 응용 계층 공격

HTTP Flood의 특징

특징	설명
정상 요청처럼 보일 수 있음	단순 패킷 차단이 어려움
웹 서버 자원 소모	CPU, 메모리, 스레드 사용
DB 부하 유발	검색, 로그인, 조회 요청 반복
WAF·웹 로그 분석 필요	URL, User-Agent, 요청 패턴 확인
봇넷 활용 가능	다수 IP에서 정상처럼 요청

HTTP Flood 대응책

대응책	설명
WAF 적용	비정상 HTTP 요청 탐지
Rate Limiting	IP, 세션, 계정 단위 요청 제한
CAPTCHA	자동화 요청 차단
캐싱 적용	정적 콘텐츠 부하 감소
CDN 활용	트래픽 분산
비정상 User-Agent 차단	자동화 도구 패턴 제한
로그인·검색 기능 보호	고비용 기능 요청 제한
웹 로그 분석	URL별 요청 급증 탐지

실기형 답안

HTTP Flood는 대량의 HTTP GET 또는 POST 요청을 통해 웹 서버와 애플리케이션 자원을 고갈시키는 7계층 DDoS 공격이다. 대응 방안으로는 WAF 적용, IP·세션별 Rate Limiting, CAPTCHA, 캐싱과 CDN 활용, 비정상 User-Agent 차단, 웹 로그 분석, 고비용 기능 요청 제한 등이 있다.

Slow HTTP 공격

Slow HTTP 공격이란?

Slow HTTP 공격은 많은 트래픽을 보내지 않고도 웹 서버의 연결 자원을 오래 점유하는 공격입니다.

시험식 정의

Slow HTTP 공격은 HTTP 요청이나 응답을 매우 느리게 전송하여 웹 서버의 연결 자원을 장시간 점유하고 정상 요청 처리를 방해하는 애플리케이션 계층 DoS 공격이다.

핵심 의미

연결을 천천히 유지하면서 서버 자원을 붙잡아 두는 공격

Slow HTTP 공격의 특징

특징	설명
적은 트래픽으로도 가능	대역폭보다 연결 자원 소모가 핵심
정상 연결처럼 보일 수 있음	단순 트래픽 양 기준 탐지 어려움
웹 서버 연결 수 고갈	동시 연결 제한에 도달
7계층 공격	HTTP 동작 특성 악용
타임아웃 설정과 관련	연결 유지 시간이 길수록 위험

Slow HTTP 대응책

대응책	설명
연결 타임아웃 설정	비정상적으로 오래 유지되는 연결 종료
Header/Body 전송 시간 제한	느린 요청 전송 제한
동시 연결 수 제한	IP별 연결 수 제한
Rate Limiting	요청 속도와 빈도 제한
Reverse Proxy 사용	웹 서버 앞단에서 비정상 연결 처리
WAF 적용	Slow HTTP 패턴 탐지
웹 서버 설정 강화	keep-alive, timeout 값 조정
모니터링	비정상 장기 연결 탐지

실기형 답안

Slow HTTP 공격은 HTTP 요청 헤더나 본문을 매우 느리게 전송하여 웹 서버의 연결 자원을 장시간 점유하는 7계층 DoS 공격이다. 대응 방안으로는 연결 타임아웃 설정, IP별 동시 연결 수 제한, Header/Body 전송 시간 제한, Rate Limiting, Reverse Proxy와 WAF 적용, 웹 서버 설정 강화 등이 있다.

Botnet

Botnet이란?

Botnet은 악성코드에 감염되어 공격자의 명령을 받는 다수의 시스템으로 구성된 네트워크입니다.

시험식 정의

봇넷은 악성코드에 감염된 다수의 좀비 PC나 서버, IoT 장비가 공격자의 명령을 받아 스팸 발송, 정보 탈취, DDoS 공격 등을 수행하는 네트워크이다.

핵심 의미

Botnet = 공격자가 조종하는 감염된 장비들의 집합

Botnet의 위험

위험	설명
DDoS 공격	다수 장비에서 동시 공격
스팸 발송	악성 메일, 피싱 메일 발송
정보 탈취	감염 단말의 정보 수집
악성코드 유포	추가 감염 확산
공격 출처 은폐	여러 IP에서 공격 발생
IoT 악용	보안이 약한 장비가 공격에 사용

Botnet 대응책

대응책	설명
악성코드 탐지·치료	백신, EDR 활용
C&C 통신 차단	명령 제어 서버와의 통신 차단
네트워크 이상 트래픽 탐지	비정상 outbound 트래픽 확인
패치 적용	감염 경로 차단
기본 비밀번호 변경	IoT 장비 보호
접근통제	외부 노출 서비스 최소화
보안관제	감염 징후 지속 모니터링
사용자 교육	피싱, 악성 첨부파일 예방

실기형 답안

봇넷은 악성코드에 감염된 다수의 시스템이 공격자의 명령을 받아 DDoS, 스팸 발송, 정보 탈취 등을 수행하는 네트워크이다. 대응 방안으로는 백신과 EDR을 통한 악성코드 탐지, C&C 통신 차단, 보안패치 적용, 기본 비밀번호 변경, 이상 트래픽 모니터링, 보안관제와 사용자 교육이 필요하다.

DDoS 공격 징후

실무형 문제에서는 로그나 상황을 보고 DDoS를 의심해야 할 수 있습니다.

징후	의미
특정 시간대 트래픽 급증	대량 공격 가능성
동일 URL 요청 폭증	HTTP Flood 가능성
SYN 패킷 급증	SYN Flooding 가능성
UDP 트래픽 급증	UDP Flooding 가능성
ICMP 트래픽 급증	ICMP Flooding 가능성
다수 국가·IP에서 동시 접속	DDoS 가능성
서버 CPU·메모리 급증	자원 고갈 가능성
방화벽 세션 테이블 포화	연결 기반 공격 가능성
웹 서버 동시 연결 수 증가	HTTP Flood, Slow HTTP 가능성
정상 사용자 접속 실패	가용성 침해 발생

DDoS 대응 절차

DDoS 대응은 단순히 차단만 하는 것이 아닙니다.
탐지, 분석, 차단, 우회, 복구, 재발 방지 흐름으로 봐야 합니다.

탐지
→ 분석
→ 차단·완화
→ 우회·분산
→ 복구
→ 사후 분석
→ 재발 방지

단계	내용
탐지	트래픽 급증, 서비스 지연, 장비 알림 확인
분석	공격 유형, 출발지, 대상 서비스, 트래픽 특성 파악
차단·완화	방화벽, IPS, ACL, Rate Limiting 적용
우회·분산	CDN, Anycast, 로드밸런싱, DDoS 방어센터 연계
복구	서비스 정상화, 서버와 장비 상태 점검
사후 분석	로그 분석, 공격 패턴 정리
재발 방지	정책 개선, 용량 증설, 대응 절차 보완

실기형 답안

DDoS 공격 발생 시 트래픽 급증과 서비스 지연 여부를 탐지하고, 공격 유형, 출발지, 대상 서비스, 패킷 특성을 분석해야 한다. 이후 방화벽·IPS·ACL·Rate Limiting으로 차단하거나 완화하고, CDN, Anycast, 로드밸런서, DDoS 방어센터를 통해 트래픽을 분산·정화한 뒤 로그 분석과 정책 개선으로 재발 방지 대책을 수립한다.

DDoS 대응 기술

Rate Limiting

Rate Limiting은 일정 시간 동안 허용되는 요청 수나 트래픽 양을 제한하는 방식입니다.

Rate Limiting = 요청량 제한

예

특정 IP에서 초당 요청 수 제한
특정 URL 요청 빈도 제한
ICMP 요청량 제한

ACL

ACL은 Access Control List입니다.
네트워크에서는 허용하거나 차단할 IP, 포트, 프로토콜을 정의하는 데 사용됩니다.

ACL = 접근 허용·차단 목록

Blackhole Routing

Blackhole Routing은 공격 트래픽을 폐기 경로로 보내는 방식입니다.

장점은 공격 트래픽을 빠르게 제거할 수 있다는 점입니다.
단점은 정상 트래픽도 함께 버려질 수 있다는 점입니다.

Blackhole = 트래픽을 버리는 경로로 보냄

시험에서는 장단점을 함께 기억하세요.

Sinkhole

Sinkhole은 의심 트래픽을 특정 분석 지점으로 유도하여 관찰하거나 차단하는 방식입니다.

Sinkhole = 트래픽을 분석·차단 지점으로 유도

Scrubbing Center

Scrubbing Center는 대규모 트래픽을 받아 정상 트래픽과 공격 트래픽을 구분하고, 정상 트래픽만 원래 서비스로 전달하는 방어 체계입니다.

Scrubbing = 공격 트래픽 정화

DDoS 방어센터라고 이해하면 쉽습니다.

CDN과 Anycast

CDN은 콘텐츠를 여러 지역의 서버에 분산하여 제공하는 방식입니다.

CDN = 콘텐츠 분산 제공

Anycast는 같은 IP 주소를 여러 지역의 노드에서 사용하여, 사용자가 가까운 노드로 연결되게 하는 방식입니다.

Anycast = 같은 IP를 여러 지점에서 서비스하여 트래픽 분산

DDoS 대응에서는 트래픽을 한 곳에 집중시키지 않고 분산하는 효과가 있습니다.

WAF

WAF는 Web Application Firewall입니다.

HTTP Flood나 Slow HTTP 같은 7계층 웹 공격 대응에 활용됩니다.

WAF = 웹 애플리케이션 방화벽

WAF는 다음을 분석합니다.

URL
HTTP 메서드
헤더
쿠키
요청 본문
User-Agent
요청 빈도

공격별 대응 정리

공격	핵심 원리	주요 대응
SYN Flooding	TCP 연결 대기 자원 고갈	SYN Cookie, Rate Limiting, IPS
UDP Flooding	UDP 대량 트래픽	UDP 제한, ACL, DDoS 방어
ICMP Flooding	ICMP 대량 요청	ICMP 제한, Rate Limiting
Smurf Attack	IP 위조 + 브로드캐스트	Directed Broadcast 차단
Reflection	제3의 서버 응답 반사	IP Spoofing 필터링, 반사체 제한
Amplification	작은 요청으로 큰 응답	UDP 서비스 접근 제한, Rate Limit
HTTP Flood	대량 HTTP 요청	WAF, CDN, Rate Limiting
Slow HTTP	연결 자원 장기 점유	Timeout, 연결 수 제한, WAF
Botnet DDoS	감염 단말 대량 공격	DDoS 방어센터, C&C 차단, 보안관제

학습 내용 연결 정리

공격자가 DDoS 공격을 수행한다고 가정해봅시다.

1. 공격자는 봇넷을 이용한다.
2. 다수의 감염 단말이 피해 서버에 트래픽을 보낸다.
3. 일부 공격은 SYN Flooding으로 연결 대기 자원을 고갈시킨다.
4. 일부 공격은 UDP/ICMP Flooding으로 대역폭을 소모한다.
5. 일부 공격은 DNS, NTP 같은 반사 서버를 이용해 트래픽을 증폭한다.
6. 웹 서비스에는 HTTP Flood나 Slow HTTP로 7계층 자원을 소모시킨다.
7. 피해 서버는 응답 지연, 접속 실패, 장비 과부하를 겪는다.

방어자는 다음을 수행합니다.

트래픽 급증 탐지
공격 유형 분석
ACL, Rate Limiting, IPS 적용
SYN Cookie 적용
불필요한 UDP/ICMP 제한
WAF로 웹 공격 차단
CDN, Anycast, DDoS 방어센터로 분산·정화
로그 분석과 재발 방지

시험에 나오는 포인트

이번 절 내용 중 필기와 실기에 자주 나오는 포인트입니다.

주제	시험 포인트
DoS	단일 공격으로 서비스 거부 유발
DDoS	다수 분산 공격으로 서비스 거부 유발
가용성	DoS/DDoS의 주된 침해 대상
SYN Flooding	SYN 요청 후 ACK 미전송, Half-open 연결 증가
SYN Cookie	SYN Flooding 대응
UDP Flooding	대량 UDP 패킷으로 대역폭과 자원 소모
ICMP Flooding	대량 ICMP 패킷으로 자원 소모
Smurf Attack	IP 위조, ICMP, 브로드캐스트
Reflection	제3의 서버를 반사체로 이용
Amplification	작은 요청으로 큰 응답 유도
DRDoS	분산 반사 서비스 거부 공격
HTTP Flood	7계층 대량 HTTP 요청
Slow HTTP	느린 HTTP 전송으로 연결 자원 점유
Botnet	감염된 다수 단말의 공격망
Rate Limiting	요청량 제한
Scrubbing Center	공격 트래픽 정화
Blackhole	트래픽 폐기 경로
CDN/Anycast	트래픽 분산
WAF	웹 계층 공격 대응

필기형 문제풀이

문제 1

DoS 공격의 주된 보안 침해 요소는?

A. 기밀성
B. 무결성
C. 가용성
D. 부인방지

정답: C

DoS와 DDoS는 정상 사용자가 서비스를 이용하지 못하게 하므로 가용성을 침해합니다.

문제 2

DDoS에 대한 설명으로 가장 적절한 것은?

A. 단일 사용자가 파일 권한을 변경하는 행위
B. 다수의 분산된 공격 지점에서 대량 트래픽을 발생시켜 서비스를 마비시키는 공격
C. 단일 출발지에서 제한된 요청으로 서비스 거부를 유발하는 공격
D. 정상 사용자 세션을 탈취해 권한을 악용하는 공격

정답: B

DDoS는 분산된 다수의 시스템을 이용해 서비스 거부를 유발하는 공격입니다.

문제 3

SYN Flooding이 악용하는 프로토콜 과정은?

A. ARP 요청 과정
B. TCP 3-Way Handshake
C. DNS Zone Transfer
D. HTTP 쿠키 설정

정답: B

SYN Flooding은 TCP 3-Way Handshake의 연결 대기 상태를 악용합니다.

문제 4

SYN Flooding에 대한 설명으로 가장 적절한 것은?

A. SYN 요청을 대량 전송하고 최종 ACK를 보내지 않아 연결 대기 자원을 고갈시킨다
B. DNS 캐시에 위조 정보를 저장한다
C. UDP 패킷을 대량 전송해 회선 대역폭을 소모시킨다
D. HTTP 요청 본문을 느리게 전송해 연결을 오래 점유한다

정답: A

SYN Flooding은 Half-open 연결을 다량 발생시켜 서버 자원을 고갈시킵니다.

문제 5

SYN Flooding 대응책으로 적절한 것은?

A. SYN Cookie 적용
B. Half-open 연결의 타임아웃을 무제한으로 늘린다
C. SYN 요청에 대한 Rate Limiting을 제거한다
D. 출발지 IP 검증 없이 모든 SYN 요청을 그대로 수용한다

정답: A

SYN Cookie는 SYN Flooding 대응에 활용됩니다.

문제 6

UDP Flooding의 설명으로 적절한 것은?

A. 대량의 UDP 패킷으로 네트워크 대역폭과 서버 자원을 소모시킨다
B. 정상 파일에 감염되어 전파된다
C. 세션 쿠키를 암호화한다
D. 파일 소유자를 변경한다

정답: A

UDP Flooding은 UDP 트래픽을 대량 전송해 자원과 대역폭을 고갈시키는 공격입니다.

문제 7

Smurf Attack의 핵심 요소로 적절한 것은?

A. ICMP, IP Spoofing, 브로드캐스트
B. 해시, 솔트, 전자서명
C. 쿠키, 세션, SameSite
D. chmod, chown, chgrp

정답: A

Smurf Attack은 출발지 IP를 피해자 IP로 위조한 ICMP 요청을 브로드캐스트로 보내 응답을 피해자에게 집중시키는 공격입니다.

문제 8

Reflection Attack의 설명으로 적절한 것은?

A. TCP 연결 대기 큐를 고갈시키기 위해 SYN만 대량 전송한다
B. 공격자가 직접 대상 서버에 대량의 HTTP 요청만 전송한다
C. 제3의 서버를 반사체로 이용해 응답 트래픽을 피해자에게 보내게 한다
D. 정상 DNS 응답에 악성 스크립트를 삽입해 브라우저에서 실행한다

정답: C

Reflection Attack은 반사 서버를 이용하여 피해자에게 트래픽을 집중시키는 공격입니다.

문제 9

Amplification Attack의 설명으로 적절한 것은?

A. 작은 요청으로 큰 응답을 유도해 공격 트래픽을 증폭시킨다
B. 제3의 서버를 반사체로 이용해 응답을 피해자에게 보내게 한다
C. TCP 연결 대기 큐를 고갈시키기 위해 SYN만 대량 전송한다
D. HTTP 연결을 천천히 유지해 웹 서버 자원을 점유한다

정답: A

Amplification Attack은 작은 요청으로 큰 응답을 유도해 트래픽 규모를 확대합니다.

문제 10

HTTP Flood는 주로 어느 계층 공격으로 볼 수 있는가?

A. 1계층
B. 2계층
C. 3계층
D. 7계층

정답: D

HTTP Flood는 HTTP 요청을 이용하므로 7계층 응용 계층 공격입니다.

문제 11

Slow HTTP 공격의 특징으로 적절한 것은?

A. HTTP 요청이나 응답을 느리게 유지하여 웹 서버 연결 자원을 점유한다
B. IP 주소를 MAC 주소로 변환한다
C. 도메인 이름을 IP 주소로 정상 변환한다
D. ICMP Echo Request를 브로드캐스트로 보내 응답을 집중시킨다

정답: A

Slow HTTP 공격은 적은 트래픽으로도 웹 서버 연결 자원을 장시간 점유할 수 있습니다.

문제 12

DDoS 대응 방안으로 적절하지 않은 것은?

A. Rate Limiting
B. DDoS 방어센터 연계
C. WAF 적용
D. 공격 유형과 무관하게 모든 출발지 요청을 무제한 허용

정답: D

DDoS 대응에서는 요청량 제한, 트래픽 정화, 웹 계층 방어, 모니터링 등이 필요합니다.

실기형 답안 훈련

실기 예제 1

문제: DoS와 DDoS의 차이를 설명하시오.

좋은 답안

DoS는 단일 공격자가 서버나 네트워크 자원을 고갈시켜 정상 사용자의 서비스 이용을 방해하는 공격이다. DDoS는 다수의 분산된 공격 지점을 이용해 대량의 트래픽을 발생시키는 공격으로, 출발지가 다양하고 트래픽 규모가 커서 탐지와 차단이 더 어렵다.

채점 포인트

요소	포함 여부
DoS = 단일 공격	필요
DDoS = 분산 공격	필수
자원 고갈	중요
정상 사용자 서비스 방해	중요
대응 난이도 차이	좋음

실기 예제 2

문제: SYN Flooding의 원리와 대응 방안을 설명하시오.

좋은 답안

SYN Flooding은 TCP 3-Way Handshake 과정에서 다수의 SYN 요청을 보내고 최종 ACK를 보내지 않아 서버의 연결 대기 자원을 고갈시키는 공격이다. 대응 방안으로는 SYN Cookie 적용, 연결 대기 큐와 타임아웃 조정, Rate Limiting, 방화벽·IPS 탐지, 출발지 IP 필터링, DDoS 방어 서비스 활용 등이 있다.

채점 포인트

요소	포함 여부
TCP 3-Way Handshake	필수
SYN 대량 전송	필수
ACK 미전송	필수
연결 대기 자원 고갈	필수
SYN Cookie	중요
Rate Limiting, IPS	좋음

실기 예제 3

문제: Smurf Attack의 개념과 대응 방안을 설명하시오.

좋은 답안

Smurf Attack은 출발지 IP를 피해자 IP로 위조한 ICMP Echo Request를 브로드캐스트 주소로 보내 다수의 호스트가 피해자에게 응답하게 만드는 증폭형 DoS 공격이다. 대응 방안으로는 directed broadcast 차단, IP Spoofing 필터링, ICMP Rate Limiting, 브로드캐스트 응답 제한, 트래픽 모니터링 등이 있다.

채점 포인트

요소	포함 여부
출발지 IP 위조	필수
ICMP Echo Request	중요
브로드캐스트	필수
다수 호스트 응답	필수
directed broadcast 차단	중요

실기 예제 4

문제: Reflection Attack과 Amplification Attack을 설명하시오.

좋은 답안

Reflection Attack은 공격자가 출발지 IP를 피해자 IP로 위조하여 제3의 서버에 요청을 보내고, 해당 서버의 응답이 피해자에게 전달되도록 하는 공격이다. Amplification Attack은 작은 요청으로 큰 응답을 유도하여 공격 트래픽 규모를 증폭시키는 공격이며, 대응 방안으로는 IP Spoofing 필터링, 불필요한 UDP 서비스 차단, 오픈 리졸버 제한, Rate Limiting 등이 있다.

채점 포인트

요소	포함 여부
Reflection = 제3의 서버	필수
피해자 IP로 위조	중요
Amplification = 작은 요청, 큰 응답	필수
UDP 서비스 제한	좋음
IP Spoofing 필터링	중요

실기 예제 5

문제: HTTP Flood와 Slow HTTP 공격의 차이를 설명하시오.

좋은 답안

HTTP Flood는 대량의 HTTP GET 또는 POST 요청을 보내 웹 서버와 애플리케이션 자원을 고갈시키는 7계층 DDoS 공격이다. Slow HTTP 공격은 요청 헤더나 본문을 매우 느리게 전송하여 적은 트래픽으로도 웹 서버의 연결 자원을 장시간 점유하는 공격이다.

채점 포인트

요소	포함 여부
HTTP Flood = 대량 요청	필수
Slow HTTP = 느린 전송	필수
7계층 공격	중요
웹 서버 자원 고갈	필수
연결 자원 점유	중요

실기 예제 6

문제: DDoS 공격 대응 절차를 설명하시오.

좋은 답안

DDoS 공격 발생 시 트래픽 급증과 서비스 지연 여부를 탐지하고, 공격 유형, 출발지, 대상 서비스, 패킷 특성을 분석해야 한다. 이후 방화벽·IPS·ACL·Rate Limiting으로 차단하거나 완화하고, CDN, Anycast, 로드밸런서, DDoS 방어센터를 통해 트래픽을 분산·정화한 뒤 로그 분석과 정책 개선으로 재발 방지 대책을 수립한다.

채점 포인트

요소	포함 여부
탐지	필요
공격 유형 분석	필수
차단·완화	필수
분산·정화	중요
DDoS 방어센터	좋음
사후 분석·재발 방지	중요

핵심 요약

개념	한 줄 요약
DoS	서비스 가용성을 침해하는 서비스 거부 공격
DDoS	다수의 분산된 공격 지점에서 수행되는 서비스 거부 공격
가용성	DoS/DDoS의 핵심 침해 대상
Botnet	감염된 다수 시스템의 공격 네트워크
SYN Flooding	SYN 요청 후 ACK 미전송으로 연결 대기 자원 고갈
Half-open	TCP 연결이 완료되지 않은 대기 상태
SYN Cookie	SYN Flooding 대응 기법
UDP Flooding	대량 UDP 패킷으로 대역폭과 자원 소모
ICMP Flooding	대량 ICMP 패킷으로 자원 소모
Smurf Attack	IP 위조와 ICMP 브로드캐스트를 이용한 증폭 공격
Reflection Attack	제3의 서버를 반사체로 이용
Amplification Attack	작은 요청으로 큰 응답을 유도
DRDoS	분산 반사 서비스 거부 공격
HTTP Flood	대량 HTTP 요청으로 웹 자원 고갈
Slow HTTP	느린 HTTP 전송으로 연결 자원 점유
Rate Limiting	요청량 제한
Scrubbing Center	공격 트래픽 정화 센터
Blackhole	트래픽 폐기 경로
CDN	콘텐츠와 트래픽 분산
Anycast	같은 IP를 여러 지점에서 제공해 트래픽 분산
WAF	웹 계층 공격 탐지·차단

필수 암기 문장

아래 문장은 필기와 실기 모두 중요합니다.

DoS는 서버나 네트워크 자원을 고갈시켜 정상 사용자가 서비스를 이용하지 못하게 만드는 공격이다.

DDoS는 다수의 분산된 공격 지점을 이용해 대량 트래픽을 발생시켜 서비스 가용성을 침해하는 공격이다.

SYN Flooding은 TCP 3-Way Handshake 과정에서 SYN 요청을 대량 전송하고 최종 ACK를 보내지 않아 연결 대기 자원을 고갈시키는 공격이다.

SYN Flooding 대응에는 SYN Cookie, Rate Limiting, 연결 대기 큐 조정, 방화벽·IPS 탐지가 사용된다.

UDP Flooding은 대량의 UDP 패킷을 전송하여 네트워크 대역폭과 서버 자원을 고갈시키는 공격이다.

ICMP Flooding은 대량의 ICMP 패킷으로 네트워크와 시스템 자원을 소모시키는 공격이다.

Smurf Attack은 출발지 IP를 피해자 IP로 위조한 ICMP 요청을 브로드캐스트 주소로 보내 다수 호스트가 피해자에게 응답하게 만드는 공격이다.

Reflection Attack은 제3의 서버를 반사체로 이용하고, Amplification Attack은 작은 요청으로 큰 응답을 유도하여 트래픽을 증폭시킨다.

HTTP Flood는 대량의 HTTP 요청으로 웹 서버 자원을 고갈시키는 7계층 공격이다.

Slow HTTP 공격은 HTTP 요청을 매우 느리게 전송하여 웹 서버의 연결 자원을 장시간 점유하는 공격이다.

DDoS 대응은 탐지, 분석, 차단·완화, 우회·분산, 복구, 사후 분석, 재발 방지 순서로 수행한다.

연습 과제

다음 문제에 답한다.
이번 절은 실기형 답안으로 자주 나오는 주제이므로 직접 문장으로 작성하는 방식으로 확인한다.

A. 단답형

1. DoS란 무엇인가?
2. DDoS란 무엇인가?
3. DoS와 DDoS의 차이를 쓰시오.
4. DoS/DDoS가 주로 침해하는 보안 3요소는 무엇인가?
5. 봇넷이란 무엇인가?
6. SYN Flooding이란 무엇인가?
7. SYN Flooding에서 Half-open connection이란 무엇인가?
8. SYN Flooding 대응 방안 3가지를 쓰시오.
9. UDP Flooding이란 무엇인가?
10. ICMP Flooding이란 무엇인가?
11. Smurf Attack의 핵심 요소 3가지를 쓰시오.
12. Reflection Attack이란 무엇인가?
13. Amplification Attack이란 무엇인가?
14. DRDoS란 무엇인가?
15. HTTP Flood란 무엇인가?
16. Slow HTTP 공격이란 무엇인가?
17. Rate Limiting이란 무엇인가?
18. Scrubbing Center란 무엇인가?
19. Blackhole Routing의 장단점을 쓰시오.
20. DDoS 공격 징후 3가지를 쓰시오.

B. 공격 매칭 문제

다음 상황에서 의심할 수 있는 공격을 쓴다.

21. SYN 패킷이 급증하고 연결 대기 상태가 대량 발생했다.
22. UDP 트래픽이 갑자기 폭증하여 회선이 포화되었다.
23. ICMP Echo Request와 Reply 트래픽이 비정상적으로 증가했다.
24. 피해자 IP로 위조된 ICMP 요청이 브로드캐스트로 전송되었다.
25. 제3의 DNS 서버들이 피해자에게 대량 응답을 보내고 있다.
26. 웹 서버에 GET 요청이 대량으로 몰려 DB 부하가 급증했다.
27. HTTP 연결 수가 많지만 전송 속도가 매우 느리고 오래 유지된다.
28. 전 세계 여러 IP에서 동시에 같은 서비스로 요청이 몰린다.

C. 실기형 답안 작성

다음 5문제는 2~3문장으로 작성한다.

29. DoS와 DDoS의 차이를 설명하시오.

30. SYN Flooding의 원리와 대응 방안을 설명하시오.

31. Smurf Attack의 개념과 대응 방안을 설명하시오.

32. Reflection Attack과 Amplification Attack을 설명하시오.

33. DDoS 공격 대응 절차를 설명하시오.

보강 해설: DDoS 증상 매칭

문항	정답	증상 해설
21	SYN Flooding	SYN 패킷 급증과 Half-open connection 증가는 TCP 연결 수립 과정 악용의 전형적 증상이다.
22	UDP Flooding	UDP 트래픽 폭증으로 회선이나 장비 처리량이 포화된다.
23	ICMP Flooding	ICMP Echo Request/Reply가 급증하면 대역폭과 장비 자원이 소모된다.
24	Smurf Attack	피해자 IP로 위조한 ICMP 요청을 브로드캐스트로 보내 다수 응답이 피해자에게 몰린다.
25	Reflection/Amplification 또는 DRDoS	제3의 DNS 서버 응답이 피해자에게 몰리면 반사·증폭 구조를 의심한다.
26	HTTP Flood	GET 요청이 대량 발생하고 DB 부하가 증가하면 애플리케이션 계층 공격이다.
27	Slow HTTP 공격	연결은 많지만 전송이 느리고 오래 유지되어 웹 서버 연결 자원을 고갈시킨다.
28	DDoS	여러 IP에서 동시에 요청이 몰리면 분산 서비스 거부 공격 가능성이 높다.

연습 과제 정답 및 해설

단답형 핵심 키워드: DoS는 단일 또는 제한된 출처의 서비스 거부, DDoS는 다수 분산 출처의 서비스 거부이다. 주로 가용성을 침해하며 봇넷, SYN Flooding, UDP/ICMP Flooding, Smurf, Reflection, Amplification, DRDoS, HTTP Flood, Slow HTTP를 구분해야 한다.

실기형 채점 기준: DDoS 대응 절차는 탐지, 유형 분석, 차단·완화, 우회·분산, 복구, 사후 분석, 재발 방지를 순서대로 쓰면 적절하다. 공격명만 쓰고 증상 근거를 설명하지 않으면 감점한다.

목차