[DNS] 보안에 취약하면서도 소홀한 IT 인프라

홈 > 뉴스 > 뉴스 > 보안

[DNS] 보안에 취약하면서도 소홀한 IT 인프라

공격에 ‘애용’되는 DNS, 보호 방법 ‘시급’…보안 강화된 DNS 솔루션으로 보호해야

관련기사

[웹 기반 공격 방어 기술] 일상생활 혁신시키는 웹

[웹방화벽①] 크리덴셜 스터핑·악성 봇도 탐지

[웹방화벽②] 차세대 기술 탑재하며 진화하는 웹방화벽

[웹방화벽③] 컴플라이언스로 성장한 국내 웹방화벽

[SWG·유해사이트 차단①] 사용자 보호하는 SWG

[SWG·유해사이트 차단②] 신기술로 무장한 ‘뉴 플레이어’

[SSL 가시성] 모든 트래픽 가시화해 보호

2018년 08월 08일 08:31:46

김선애 기자

iyamm@datanet.co.kr

DNS는 보안에 가장 취약하면서도 보안에 가장 소홀한 IT 인프라이다. DNS는 웹사이트 접속 경로를 안내하는 내비게이션의 역할을 하며 DNS가 공격을 당하면 피싱 사이트로 사용자를 유도해 큰 피해를 입히게 한다. DNS 보안은 대부분 방화벽, IPS 등으로만 보호할 뿐, 지능화되고 타깃 집중하는 공격으로부터 보호할 수 있는 기술을 적용하지 않는다.

DNS 보안 위협은 오랫동안 지적돼 온 것이며, 글로벌 보안 보고서에서도 지속적으로 경고되고 있다 아버네트웍스 보고서에서는 지난해 DNS 기반 공격이 81%, 올해 상반기에는 82%였다. 반사증폭공격의 87%가 DNS를 노렸다. 시스코 보고서에서는 DNS를 관리하는 조직이 없다고 답한 조직이 22%에 이르렀다. 전체 공격의 78%는 DNS를 이용한 것이고, 91%의 멀웨가 DNS를 이용하며, 멀웨어가 C&C 통신을 시도학 때 1순위가 DNS이다.

이헌주 인포블록스코리아 지사장은 “DNS가 공격에 악용되고 있는데도 여전히 보안 사각지대로 남아있다. DNS를 이용해 개인정보를 유출하고 있는데, 이는 GDPR 위반으로 막대한 과징금을 부과받을 수도 있는 것이다”라며 “IoT가 확산되면 DNS 쿼리가 폭증할 것이고, 이를 악용하는 공격은 더 늘어날 것이다. DNS를 보호하지 않으면 웹 서비스 전반이 위험해 질 것”이라고 말했다.

이 지사장은 “국내 한 은행이 자체 조사한 바에 따르면, DNS 트래픽의 절반이 유해 트래픽으로 나타났다. 기업/기관이 네트워크 보안에는 많은 투자를 하면서도 DNS 보안에는 관심을 갖지 않는다”고 덧붙였다.

보안 강화된 DNS 서버로 APT 대응

DNS를 이용한 공격의 대표적인 사례로 미라이봇넷이 DYN을 공격한 것을 들 수 있다. CCTV를 감염시켜 좀비로 만든 미라이봇넷이 미국의 DNS 서비스 기업 DYN에 대규모 디도스 공격을 퍼부어 DNS 서비슬 받는 주요 인터넷 서비스 사업자와 정부기관이 접속장애를 일으켰다. 이후 DNS가 심각한 보안홀이 되고 있다는 경고가 나왔지만, 일시적인 경고에 그쳤을 뿐, DNS 보안은 여전히 관심 밖의 일이 되고 있다.


▲DNS를 이용한 멀웨어 유포 과정(자료: 인포블록스)

DNS 터널링을 이용해 DNS에서 C&C 통신을 하도록 하는 것도 많이 발생한다. 이 방식을 이용하면 방화벽을 우회할 수 있어 악성코드를 다운로드하는데 용이하다. DNS 쿼리에 개인정보를 포함시켜 유출하는 사고도 종종 발생한다.

심재민 인포블록스코리아 이사는 “랜섬웨어의 예를 들어 보면, C&C 통신할 때 특정 도메인에 대한 쿼리가 늘어난다. DNS 쿼리를 모니터링하면서 변화를 감지하면 랜섬웨어와 APT 공격 탐지에 도움을 줄 수 있다”며 “DNS 보안 솔루션은 보안 가시성을 확보할 수 있으며, 보안 시스템을 우회하는 공격을 탐지하는데 도움을 받을 수 있다”고 말했다.

인포블록스는 DNS 전문기업으로, 보안이 강화된 DNS 서버 ‘ADP(Advanced DNS Protection)’를 대표 솔루션으로 소개한다. ADP는 위협 완화를 위한 전용 프로세서를 사용하며, DNS 공격을 차단하면서도 높은 성능의 DNS 서비스를 제공할 수 있다. DNS 공격 패턴에 최적화된 2700개의 룰을 제공하며, 내부/외부 DNS에 대한 광범위한 공격 탐지와 차단을 제공한다.

이외에도 인포블록스는 DNS를 이용하는 멀웨어를 탐지하고, DNS 데이터를 클라우드 분석하며, DNS 통신을 요청하는 클라이언트 환경을 인식해 위협을 방어하는 등 다양한 보안 솔루션을 제공하고 있다 또한 외부 보안 솔루션과 함께 위협 인텔리전스를 제작해 고도화하는 ‘TIDE’ 서비스도 출시, DNS를 이용하는 공격을 효과적으로 차단한다. 위협 인텔리전스 파트너십은 SIEM, 차세대 방화벽, 취약점 스캐너, NAC, 엔드포인트 보안, 이메일 필터링, 웹 프록시 등 여러 분야의 전문 기업들이 함께하고 있다.

이헌주 지사장은 “인포블록스는 DNS 전문 기업으로 DNS를 이용한 공격을 방어하는 업계 최고의 전문성을 갖고 있다. 인포블록스는 DNS 쿼리에 포함된 악성 패킷만을 제거해 DNS 통신은 정상적으로 유지할 수 있도록 도와주는 독보적인 기술을 갖고 있다”며 “최후의 보안 사각지대인 DNS를 보호하는데 인포블록스가 최선의 해답을 제시할 것”이라고 말했다.