DNS는 웹 세상의 ‘내비게이션’과 같은 역할을 하는 서버로, 사용자가 접속하고자 하는 웹사이트의 주소를 찾아주는 솔루션이다. 그러나 일반적인 DNS는 보안을 고려하지 않고 설계돼 다양한 공격에 악용된다. DNS를 이용한 공격방식과 대응 방법을 살펴본다.<편집자>
서비스-공격대응 분리해 서비스 중단 없이 공격 차단
DNS 악용 공격은 끊임없이 발생해왔지만, DNS 보안에는 거의 투자를 하지 않았던 것이나 다름없다. 위험성은 충분히 알고 있지만 투자 우선순위에서 밀릴 수 밖에 없었던 것은, 핵심 업무 시스템이 아니기 때문이다. 그러나 미국 디도스 사고를 통해 DNS 서비스 공격으로 수많은 웹 서비스가 중단될 수 있다는 것을 경험한 만큼, DNS 보안도 관심을 갖게 될 것으로 기대된다.
DNS 보안의 중요성이 커지면서 전용 보안 솔루션을 제공하는 기업들도 주목을 받고 있다. DNS 기업 인포블록스가 DNS 보안 전용 솔루션을 출시하며 시장을 이끌고 있으며, 시스코가 오픈DNS를 인수하면서 이 시장에 뛰어들었다. F5는 DNS 솔루션에 보안 기능을 탑재해 DNS 공격을 막고 있으며, 아카마이는 분산된 DNS 플랫폼으로 DNS 타깃 공격을 방어하는 ‘패스트DNS’ 출시를 예고했다.
인포블록스의 ‘ADP(Advanced DNS Protection)’는 DNS 요청에 대한 원본 IP와 요청된 DNS 레코드를 추적하는 지능형 공격 방어 기능을 제공한다. 동일한 IP 주소에서 오는 과도한 DNS 디도스 요청을 지능적으로 차단하며, DNS 하이재킹 같은 공격으로 손상되지 않도록 DNS의 무결성을 유지한다.
‘DNS 방화벽’ 솔루션은 DNS를 사용해 봇넷과 명령 및 컨트롤 서버와 통신하고 데이터를 유출하는 멀웨어와 APT 문제를 해결한다. 이는 악성 도메인과 네트워크에 대한 멀웨어 통신 시도를 탐지하고 완화한다.
인포블록스의 DNS 솔루션은 공격 대응 프로세스와 서비스 프로세스를 별도로 나눠 대응하기 때문에 공격이 진행되고 있는 중에도 정상적으로 서비스가 진행될 수 있다. 어플라이언스에 IPS와 디도스 방어 전용 칩이 탑재돼 있어 안정적으로 공격을 막을 수 있다.
이헌주 인포블록스코리아 지사장은 “유럽에는 금융기관의 DNS 보안을 의무화하는 컴플라이언스가 있으며, 영국 바클레이즈 은행은 컴플라이언스 준수와 지능형 공격을 차단하기 위해 전 세계에 인포블록스 DNS 보안 솔루션을 설치했다”며 “우리나라에서도 금융기관을 비롯해 여러 산업군을 노리는 DNS 증폭공격이 수시로 발생하고 있는 만큼, 향후 도입 수요가 활발하게 일어날 수 있을 것”이라고 말했다.
이 지시장은 “기존의 보안 솔루션을 공급했던 벤더들은 DNS의 특성을 제대로 이해하지 못하며, DNS 솔루션 기업은 보안 기술의 깊이가 충분하지 못해 DNS 공격을 막을 수 있는 완성도 있는 솔루션을 만들지 못한다”며 “DNS는 어려운 솔루션은 아니지만 이 특성을 악용하는 공격을 지능적으로 차단하기 위해서는 DNS와 보안에 대한 깊은 통찰이 필요하며, 전문 기업만이 이 통찰력을 제공할 수 있다”고 덧붙였다.
DNS 서버 증설만으로 공격 못 막아
DNS 서버를 제공하는 기업들도 DNS 공격을 막을 수 있다고 자신하지만, 대규모 혹은 지능적으로 보안 시스템을 우회하는 공격을 차단할 수는 없다. DNS 서버 자체가 저렴하기 때문에 DNS 서버를 증설해 DNS 증폭공격 같은 볼륨공격은 막을 수 있지만, 이 용량을 훨씬 뛰어넘는 대규모 공격이 가능하기 때문에 서버 증설만으로 공격을 차단하는 것은 어려운 일이다.
DNS 보안을 위해 쿼리를 보낸 소스IP에 인증을 요청해 정상 요청인지 아닌지 확인해 볼 수 있다. DNS 공격은 대체로 잘 설계된 공격이 아니며, 일방적으로 쿼리만 전송해 DNS를 무력화하는 방식이기 때문에 인증을 재요청한 후 답이 없으면 공격으로 인정하고 차단할 수 있다.
그러나 이 방식을 사용하려면 UDP 프로토콜을 사용할 수 없으며, 인증에 시간이 걸리기 때문에 현실적이지 않다. 열려있는 DNS 포트를 이용해 데이터를 유출하고, DNS 정보를 위조해 피싱·파밍 공격을 시도하는 공격은 해결할 수 없다.
신기욱 F5코리아 상무는 “DNS 서버 증설만으로 다양한 DNS 공격을 막을 수 없으며, 전용 보안 기능이 필요하다. F5는 DNS 서버에서 IP를 관리하는 존을 그대로 다른 DNS로 복사해 붙일 수 있어 DNS가 공격을 당했을 때에도 서비스를 그대로 이어갈 수 있다”며 “이 기능을 사용하면 가짜 IP주소를 대량으로 요청해 캐시를 고갈시키는 캐시 기반 공격까지 차단할 수 있다”고 말했다.
F5 DNS는 DNS와 DNS 보안 역할을 수행할 수 있는 전용장비다. 경쟁사에 비해 상당한 고가로, 기존 DNS를 대체하기보다 DNS 확장이나 보안 고도화 사업에 사용될 수 있다. ADC 솔루션인 LTM 고객은 라이선스만 업그레이드하면 이 기능을 사용할 수 있으며, 대형 포털 등에서 사용하고 있다.
아카마이도 DNS 보안요구에 대응하는 서비스를 제공한다. 인증 받은 사용자와 통신하는 DNS 시큐리티 서비스가 있지만, DNS SEC의 암호화 통신 프로토콜을 사용하기 때문에 응답속도가 떨어진다는 한계가 있다. 아카마이는 DNS를 분산 운영하는 ‘패스트DNS’ 기능을 통해 DNS 공격을 완화한다.
패스트DNS는 전 세계 2000대의 네임서버를 20대 단위로 그룹화 한 후 하나의 네임서버가 공격을 당하면 다른 네임서버가 응답하도록 한다. 중간 단계 네임서버를 운영해 DNS 위변조 공격에도 대응할 수 있다. 과거 해킹에 이용됐거나 C&C 서버로 사용된 유해 IP를 걸러내 사전 차단할 수 있다.
박영열 아카마이코리아 부장은 “아카마이는 하루 3000억건의 DNS 요청을 처리하기 때문에 공격 샘플을 그만큼 많이 수집할 수 있고 지능적으로 정확하게 공격을 차단할 수 있다”며 “사내 설치 방식이 아니라 클라우드 방식으로, 100% SLA를 보장해 안전하다”고 설명했다.
평판분석 기술로 DNS 보안 강화
보안 사업 역량을 지속적으로 강화하고 있는 시스코는 지난해 오픈DNS를 인수하면서 이 시장에 뛰어 들었다. 오픈DNS는 클라우드 기반 보안과 공격을 탐지하는 지능 엔진을 탑재하고 있으며, 공격 요청와 IP와 URL을 리스트화해 차단한다. 의심스러운 트래픽은 글로벌 네트워크로 터널링해 공격 여부를 확인한 후 차단/허용해 안전한 요청만 DNS에서 처리하도록 한다.
오픈DNS는 매일 8억건의 도메인네임 요청을 받아 처리하고 있으며, 이를 기반으 로한 평판기반 정책을 적용해 유해한 요청을 차단한다. 또한 시스코의 보안연구팀인 탈로스와 오픈DNS 보안 연구팀을 통해 업데이트되는 위협 인텔리전스와 연동해 지능적인 공격을 차단한다.
HPE도 오픈DNS와 유사한 이념으로 DNS 보안 모듈인 ‘DMA’를 개발했다. DMA는 아크사이트 플랫폼에 추가하는 모듈로, HPE가 수집한 악성 IP와 URL 정보를 이용한 평판기반 차단/허용 정책을 제공한다.
HPE 관계자는 “악성행위를 분석한 결과, 멀웨어 감염됐을 때 91%가 DNS를 활용해 데이터를 유출하는 것으로 나타났다. DMA는 HPE 보안관제센터에서 축적한 공격 위협 정보를 체계화하고, 3년간 DNS 모니터링을 통해 테스트한 것으로, 아크사이트 실시간 상관분석 솔루션에 추가 모듈로 탑재해 DNS 기반의 멀웨어 행위 탐지 기능을 수행할 것”이라고 설명했다.
