DNS는 웹 세상의 ‘내비게이션’과 같은 역할을 하는 서버로, 사용자가 접속하고자 하는 웹사이트의 주소를 찾아주는 솔루션이다. 그러나 일반적인 DNS는 보안을 고려하지 않고 설계돼 다양한 공격에 악용된다. DNS를 이용한 공격방식과 대응 방법을 살펴본다.<편집자>
10월 21일 미국에서 발생한 디도스 공격의 중요한 시사점 중 하나는 보안에 취약한 DNS를 공격했다는 사실이다. DNS는 웹사이트의 IP 주소록이라고도 할 수 있는데, 사용자가 방문하고자 하는 웹사이트의 IP주소를 자동으로 변환시켜주는 서버를 말한다.
예를 들어 사용자가 ABC라는 회사의 www.abc.co.kr이라는 사이트에 접속하기 위해 웹브라우저 인터넷 주소창에 이 주소를 입력하거나 포털에서 해당 사이트의 이름을 검색한 후 해당 링크를 클릭하면, 웹브라우저는 가장 가까운 DNS 서버(A)에 www.abc.co.kr의 IP주소를 물어본다. DNS 서버 A는 ABC사의 DNS 서버(B)에 IP주소를 물어본 후, 답변을 받아 사용자 웹브라우저에 준다. 그러면 웹브라우저가 이 주소를 갖고 사이트에 접속하게 된다.
보안 고려 없는 DNS, 공격에 악용
DNS 서버는 요청하는 사람이 정상 사용자이든 해커이든 관계없이 IP 주소만 알려주면 되기 때문에 보안성은 낮지만 속도가 빠른 UDP 프로토콜을 사용한다. DNS 서버 자체에 보안 기능이 없기 때문에 이를 악용한 공격은 쉽게 성공할 수 있다.
DNS를 악용하는 공격은 DNS 서버에 많은 양의 쿼리를 보내 DNS 서버를 마비시키거나 존재하지 않는 서브 도메인을 요청해 DNS 캐시를 손상시키는 방법, 가짜 목적지의 소스 IP 주소를 포함하는 SYN 패킷을 보내는 방법 등으로 DNS 서버를 마비시킬 수 있다. 이 방식으로 해당 DNS를 통해 사이트에 접속하게 되는 서비스에 장애를 일으킬 수 있다.
아카마이 조사에 의하면 지난해 2분기부터 올해 1분기까지 400건 이상의 DNSSEC 증폭 디도스 공격이 발생했는데, 이 공격은 DNS에 ‘Any’라는 형식의 질의를 보내 DNS가 모든 IP를 찾도록 만들어 DNS 부하를 일으키는 방식이다.
DNS는 디도스 뿐만 아니라 데이터 유출 경로로도 이용된다. DNS 포트 53을 통해 IP 프로토콜 트래픽을 터널링하고, 훔친 데이터나 터널 IP 트래픽을 전달한다. 이 경로는 차세대 방화벽이 탐지하지 못하기 때문에 효과적으로 데이터를 빼내갈 수 있다. 피싱, 파밍에도 DNS를 이용한다. DNS 서버에 가짜 IP 주소를 입력해 사용자를 피싱·파밍 사이트로 유도하는 공격이다.
박영열 아카마이코이라 부장은 “DNS를 내비게이션이라고 가정한다면 DNS 증폭공격은 내비게이션에 동시에 많은 명령을 내려 내비게이션을 멈추게 할 수 있다. 범죄자가 내비게이션의 주소 정보를 조작해 도둑들의 소굴로 안내할 수도 있다. 이것이 DNS 공격”이라고 설명했다.
DNS 서비스를 제공하는 전용 사업자의 경우, 수백대의 DNS 서버를 운영하고 있으며, 방화벽, IPS, DDoS 방어 장비 등 보안 솔루션을 갖추고 있어 공격을 어느 정도 방어할 수 있다. 그러나 앞서 예로 든 사례 중 ABC사에서 운영하는 DNS 서버(B)와 같이, 사내에 설치된 DNS 서버의 경우, 한두대의 서버만을 운영하며, 별도의 보안 시스템도 두지 않고 관리자 계정조차 제대로 관리하지 않고 있는 실정이다.
이헌주 인포블록스코리아 지사장은 “DNS 서버 앞에 보안 장비를 추가하면 서비스 속도가 느려지고, 서버에 보안 장비를 추가하면 서버 성능이 느려져 사용자들이 불편해한다. DNS 서버 자체에 보안을 강화하는 방법만이 DNS 악용 공격을 막을 수 있다”고 강조했다.
