전송률 제한은 특정 시간 범위 내에서 사용자가 보낼 수 있는 요청 수를 제어함으로써 API를 남용으로부터 보호합니다. 이는 초, 분, 시간 단위의 주어진 기간 동안 단일 사용자(또는 IP 주소)로부터 허용되는 최대 요청 수에 대한 임계값을 설정함으로써 이루어집니다. 전송률 제한은 과도한 요청으로 API를 과부하 상태로 만들어 성능 문제를 유발하거나 DoS(서비스 거부) 공격, API 스크레이핑 등으로 보안 취약점이 노출되는 것을 방지합니다.
전송률 제한이란 무엇일까요?
전송률 제한은 지정된 시간 동안 두 시스템 간에 전송될 수 있는 데이터 또는 요청의 양을 제어하는 메커니즘입니다. 이는 남용을 방지하고 시스템 리소스를 보호하고, 모든 사용자에게 공정한 사용을 보장하는 데 도움이 됩니다. 전송률 제한을 구축하면 기업은 서버 과부하 리스크를 방어하고, 네트워크 성능을 개선하고, 전반적인 보안을 강화할 수 있습니다.
API(애플리케이션 프로그래밍 인터페이스)와 같은 디지털 리소스는 본질적으로 유한합니다. 예를 들어 하나의 가상 서버와 같이 고정된 인프라에 배포된 경우, 분당 또는 시간당 처리할 수 있는 요청 수에는 한계가 있습니다. 이러한 리소스의 과부하를 방지하기 위해, 자원 소유자는 일정 시간 동안 사용자별로 처리할 요청 수를 제한하는 전송률 제한을 적용하는 경우가 많습니다. 전송률 제한은 공기 흐름을 제한하기 위해 파이프를 좁히는 것과 유사한 디지털 방식이기 때문에 ‘throttling(스로틀링)’이라고도 합니다.
전송률 제한은 은 여러 가지 목적을 수행합니다. 이는 서비스 품질 기대치를 충족하는 디지털 리소스에 대한 안정적인 접속을 보장합니다. 전송률 제한을 사용하면 시스템 소유자는 필요하지 않은 인프라에 투자할 필요가 없습니다. 또한 전송률 제한은 악성이거나 무단 사용으로부터 디지털 자산을 보호하는 데 중요한 툴일 뿐만 아니라, 트래픽 요구사항을 더 잘 이해해 환경 확장 방식을 결정하는 데도 도움이 됩니다.
전송률 제한이란 무엇일까요?
전송률 제한을 이해하는 가장 좋은 방법은 이를 하나의 정책으로 보는 것입니다. 전송률 제한은 사용자가 디지털 리소스에 접속할 수 있는 속도를 제어하는 일련의 룰입니다. 예를 들어 사용자는 1분 동안 웹사이트에 로그인 시도를 몇 번 할 수 있을까요? 전송률 제한 정책이 없으면 그 답은 ‘사용자가 원하는 만큼’입니다. 반면 전송률 제한이 적용되면 ‘사용자는 주어진 1분 동안 최대 세 번까지 로그인 시도를 할 수 있습니다’. 네 번째 로그인 시도를 하면 차단됩니다.
전송률 제한은 전송률 제한 정책이 하드웨어 또는 소프트웨어 솔루션에 의해 적용될 때 발생합니다. 정책과 그 적용은 모두 필요합니다. 정책이 없으면 적용은 의미가 없습니다. 정책 적용 지점이 없으면 정책 역시 의미가 없습니다. 또한 전송률 제한은 리소스 사용 속도를 추적하고, 서버가 ‘과부하 상태’에 있거나 사이버 공격이 진행 중임을 시사하는 의심스러운 활동과 같은 문제 상황을 표시하는 모니터링 툴의 존재를 전제로 합니다.
전송률 제한이 중요한 이유는 무엇일까요?
전송률 제한은 서비스 품질, 사이버 보안, 재무 측면에서 핵심적인 운영 요소를 제공하기 때문에 중요합니다. 서비스 품질 측면에서 전송률 제한은 과도한 요청으로 인해 리소스가 과부하 상태에 빠지는 것을 방지해 서비스 지연이나 중단을 예방합니다. 적절하게 설계된 전송률 제한 정책을 통해 모든 적격 사용자는 유사한 수준의 QoS(서비스 품질)를 누릴 수 있습니다. 관련 측면에서 전송률 제한은 특정 사용자가 디지털 리소스를 독점하지 못하도록 함으로써 공정성을 보장합니다.
사이버 보안 측면에서 전송률 제한은 다양한 위협에 대응하는 대응 수단으로 작동합니다. 예를 들어 DoS(서비스 거부) 공격은 리소스를 요청으로 범람시켜 시스템을 중단시키려는 공격입니다. 전송률 제한은 DoS 공격자가 이러한 목적을 달성하지 못하도록 차단할 수 있습니다. 전송률 제한은 은 비밀번호를 빠르게 추측하는 무차별 대입 공격 역시 방어할 수 있습니다. 또한 전송률 제한은 은 무차별 대입 공격의 한 형태인 크리덴셜 스터핑에도 효과적으로 작동하며, 이는 공격자가 탈취한 다양한 사용자 이름과 비밀번호 조합을 빠르게 시도해 은행 웹사이트와 같은 리소스에 무단으로 접속하는 공격 방식입니다.
전송률 제한은 재무 측면에서도 기업에 도움이 됩니다. 디지털 자산에는 비용이 수반되므로, 이를 효율적으로 활용할수록 재무 성과는 더욱 개선됩니다. 전송률 제한은 디지털 자산 사용량을 예측 가능한 범위 내로 유지합니다. 이 점이 왜 중요한지 이해하려면, 무제한 접속 권한을 가진 사용자로 인해 발생한 대량의 트래픽을 감당하기 위해 기업이 추가 서버를 구매해야 하는 상황을 떠올려 보시기 바랍니다. 이는 바람직한 투자가 아닙니다.
이 문제를 다른 관점에서 보면, 각 서비스 요청에는 비용이 발생합니다. 대역폭, 데이터 센터 비용, 소프트웨어 및 하드웨어 감가상각을 고려하면 그 비용은 아주 미미할 수 있습니다. 그러나 수백만 건의 불필요한 서비스 요청이 시스템을 마비시키고 있으면 이는 막대한 비용 낭비로 이어집니다.
전송률 제한은 디지털 자산 수익화 전략의 일부가 될 수도 있습니다. 예를 들어 한 기업은 사용자에게 주당 5000회의 API 호출을 100달러에 제공할 수 있습니다. API 소유자는 이 최대 API 호출 수를 강제하기 위해 전송률 제한이 필요합니다.
전송률 제한은 어떻게 작동하나요?
전송률 제한은 사용자 ID 또는 사용자의 IP(인터넷 프로토콜) 주소를 기반으로 합니다. 전송률 제한 솔루션은 서비스 요청과 연결된 IP 주소를 추적합니다. IP 주소는 요청된 서비스에 대한 각 연결을 고유하게 식별하는 코드이므로, 전송률 제한 솔루션이 정책을 벗어난 행동을 효과적으로 차단할 수 있게 합니다.
전송률 제한의 실제 과정은 특정 IP 주소에서 사용자가 보낸 총 요청 수를 추적하는 것을 포함합니다. 그런 다음 전송률 제한 솔루션은 해당 요청 활동을 자체 정책과 비교합니다. 이를 통해 룰을 위반하는 사용자를 쉽게 탐지하고 추가 요청을 중단시킬 수 있습니다. 대부분의 경우 전송률 제한 솔루션은 사용자에게 오류 메시지를 전송합니다.
API 페이지네이션 역시 API 요청 속도를 제어하는 데 사용되는 툴입니다. 이는 시스템이 과부하되지 않도록 하고 데이터를 효율적으로 조회할 수 있도록 하기 위해 사용됩니다 이 기법은 악성 요청으로부터 보호하고 데이터 유출 리스크를 줄이는 데도 도움이 됩니다. 또한 요청 수를 제한함으로써 서버 부하를 줄이고 전반적인 성능을 향상할 수 있습니다.
전송률 제한의 사용 사례는 무엇인가요?
시스템 소유자는 주로 QoS와 보안을 이유로 다양한 목적에서 전송률 제한을 사용합니다. 그 목적은 거의 항상 시스템을 정상적으로 운영하고, 우수한 사용자 경험을 제공하고, 디지털 자산을 악성 오용으로부터 보호하는 데 있습니다. 구체적으로는 다음과 같습니다.
- 리소스 과다 사용으로 인한 가용성 문제 방지. API와 같은 리소스에 대한 과도한 수요는 그것이 인기도 때문이든 사이버 범죄 때문이든, 해당 리소스를 필요로 하는 사용자에게 가용성을 저하합니다.
- IT 환경의 다른 영역 보호. 전송률 제한은 무차별 대입 공격이나 크리덴셜 스터핑 공격으로 발생할 수 있는 네트워크 침투 또는 데이터 유출 리스크를 줄입니다.
- 할당량 및 계약 관리. 시스템 소유자는 리소스 사용에 대한 할당량을 설정하거나 접속량과 접속 시점을 제한하는 계약을 요구할 수 있습니다. 전송률 제한을 통해 이러한 계약을 적용할 수 있습니다.
- 트래픽 및 흐름 제어. 전송률 제한은 네트워크 트래픽 흐름을 정의된 수준 내로 유지해 지연이나 서비스 중단을 방지합니다. 또한 전송률 제한은 예측 가능한 트래픽 규모를 기반으로 네트워크 트래픽을 라우팅해, 예를 들어 여러 스트림을 단일 디바이스로 병합하는 지능형 흐름 제어를 가능하게 합니다.
- 비용 및 자본적 지출(CapEx) 관리 전송률 제한은 시스템 소유자가 조달 단계에서 설정한 수준에 맞춰 디지털 리소스에 트래픽을 할당할 수 있도록 하며, 예를 들어 서버가 시간당 10000건의 서비스 요청을 처리할 것이라는 예측을 기반으로 구매가 승인된 경우에 이를 가능하게 합니다. 실제 서비스 요청이 이를 초과할 경우, 초기 예산에 포함되지 않았던 추가 서버 구매가 필요해질 수 있습니다.
전송률 제한 종류
지금까지는 정의된 시간 동안 사용자의 서비스 요청을 기준으로 한 전송률 제한을 중점적으로 살펴보았습니다. 그러나 요청을 제한하는 방법은 이 외에도 다양합니다. 예를 들어, 전송률 제한 룰은 요청 빈도와 전체 요청량을 기준으로 요청 규모를 제한할 수 있습니다. 사용자는 분당 10회를 초과해 사이트에 로그인 시도를 하지 못하도록 제한될 수 있습니다. 또한 사용자는 하루에 100회를 초과해 로그인 시도를 하지 못하도록 제한될 수도 있습니다. 이 두 룰은 동시에 적용될 수 있습니다. 그렇지 않으면 해당 사용자는 24시간(1440분) 동안 매분 10회씩 로그인을 시도할 수 있으며, 이는 QoS 측면에서 바람직하지 않습니다.
또한 위치를 기준으로 전송률 제한을 적용하는 것도 가능합니다. 예를 들어 독일의 사용자는 하루 100회의 로그인 시도가 허용되는 반면, 프랑스 사용자는 200회가 허용될 수 있습니다. 또는 이러한 전송률 제한 정책은 서비스 요청의 재라우팅을 트리거할 수도 있으며, 예를 들어 독일에서 과부하된 서버의 트래픽을 프랑스에 있는 서버로 전달할 수 있습니다.
결론
전송률 제한은 보안을 유지하고 서비스 중단을 방지하려는 시스템 소유자에게 필수적인 제어 수단이자 대응책입니다. 또한 이러한 방식은 디지털 리소스에 대한 투자에서 기대되는 재무적 성과를 확보하는 데에도 도움이 됩니다. 이는 분당 요청 수와 같은 룰을 기준으로 접속을 제한하는 단순한 개념이지만, 구축 과정에서는 세부 사항에 대한 면밀한 주의가 필요합니다. 효과적인 전송률 제한이 적용되면 서버와 API를 비롯한 인프라 요소가 정당한 사용 권한을 가진 사용자에게 안정적으로 제공됩니다.
FAQ
대부분의 API 보안 모범 사례에는 전송률 제한 구축을 위한 다음과 같은 일반적인 전략이 포함됩니다.
- 토큰 버킷: 사용자에게 일정 수의 토큰을 할당하고 해당 토큰은 고정된 속도로 다시 보충됩니다. 각 API 요청은 하나의 토큰을 소모하며 사용자의 토큰 수는 서서히 회복됩니다. 이는 급증하는 트래픽과 변동하는 요청 속도를 처리하는 데 도움이 됩니다.
- 리키 버킷: 이 방식은 토큰 버킷과 유사하게 일정 시간 동안 사용자에게 허용되는 시도 횟수를 제어합니다. 그러나 리키 버킷은 설정된 최대치까지 토큰을 누적하는 대신, 초과 토큰을 ‘누출’시켜 요청 흐름을 일정하게 유지함으로써 보다 매끄러운 전송률 제한을 제공하고 트래픽 급증을 방지합니다.
- 고정 창 카운터: 이 전략은 고정된 시간 창과 허용되는 최대 요청 수를 설정하는 방식입니다. 요청 수가 제한을 초과하면, 창이 갱신될 때까지 이후 요청은 거부됩니다. 이 전략은 구축이 간단하지만, 트래픽 급증 패턴에 취약합니다.
API에 전송률 제한을 적용하면 지연이나 접속 문제로 인해 사용자 경험에 영향을 줄 수 있으며, ‘보안’과 ‘사용자 경험’ 간의 균형점을 찾기 위해서는 세밀한 조정이 필요합니다.
과도하게 낮은 전송률 제한 설정은 정상적인 사용자에게도 응답 지연이나 요청 거부 오류를 초래할 수 있습니다. 전송률 제한이 일관되지 않으면 간헐적인 접속 문제가 발생하고 불안정한 작동이 이루어질 수 있습니다. 예상되는 트래픽 패턴을 기준으로 전송률 제한을 세밀하게 조정하면 이러한 문제를 해소할 수 있습니다. 핵심 기능은 유지하면서 필요에 따라 기능을 점진적으로 축소하도록 애플리케이션을 설계하는 것이 바람직합니다.
API 보안 전송률 제한을 사용자에게 전달할 때는 투명성과 명확성이 가장 중요한 우선순위입니다. 오류 메시지에는 HTTP 상태 코드 ‘429 Too Many Requests’를 사용하고, 전송률 제한이 적용 중임을 명시하며, 허용되는 최대 요청 수 또는 토큰이 추가되거나 갱신되기 전까지 남은 요청 수에 대한 구체적인 정보를 제공해야 합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰합니다.
