DNS는 도메인 이름을 IP로 변경하는 시스템으로, 위임 권한이 있는 DNS(Authoritative DNS)와 리커시브 DNS(Recursive DNS)로 구성된다. 다른 IT 인프라와 비교해 DNS는 단순한 기능만을 담당하고 있어 보안 투자 우선순위에서 밀려났다. 그러나 DNS가 공격을 당하면 웹사이트 접속 장애로 비즈니스 연속성에 영향을 받게 된다. DNS는 가장 공격을 많이 받는 프로토콜이며, 기업은 DNS 공격에 대처하는데 매년 평균 250만달러를 사용한다.
DNS를 이용한 데이터 유출 사고도 빈번하다. IT 관리자의 절반 가까운 사람들이 DNS로 데이터 유출 공격을 경험한 것으로 조사됐으며, DNS 터널링 공격도 그와 비슷한 응답을 받았다. DNS를 이용해 공격하는 멀웨어가 급증하고 있으며, 크라임웨어로 가장 많이 이용되는 수단으로도 DNS가 꼽힌다.
DNS 보안 위협이 이처럼 심각한 상황인데도 위협 인텔리전스가 적절하게 사용되지 않으며 정보가 부족해 DNS를 보호하는데 충분하지 않다.
신성균 인포블록스코리아 이사는 “DNS가 왜 보안 전략에 포함되어야 하는지 명확하다. DNS가 침해당하면 웹서비스가 중단되고, 중요정보가 유출되며, 멀웨어가 시스템 내부로 유포될 수 있다. 앞으로 DNS는 보안의 핵심 요소가 될 것”이라고 강조했다.
“DNS, 연결의 시작점”
신성균 이사는 ‘차세대 보안 비전 2019’에서 ‘Next Level DNS는 보안의 핵심요소’라는 주제의 세션에서 “DNS는 모든 연결의 시작점이다. 이메일을 확인할 때에도 이메일 서버를 열기 위해 DNS에 쿼리를 보낸다. IoT 센서 역시 DNS를 사용해 서버를 확인하고 연결 기능을 요청한다. 연결의 시작을 담당하는 DNS 구성에 있어서 보안이 전제되어야 한다”며 “또한 DNS는 디바이스의 행동을 가장 빠르게 탐지할 수 있으므로 효율적인 보안 솔루션으로 활용될 수 있다”고 말했다.
신성균 이사는 APT 사이버 킬체인에서 DNS를 이용한 공격 사례를 설명했다. 공격자는 타깃 시스템에 접근할 권한을 가진 사용자를 찾아 그의 이메일 주소를 획득하고 그에게 백도어를 숨긴 이메일을 전송한다. 사용자가 이메일의 악성링크를 클릭하거나 악성문서를 열면 DNS 침입, DNS 터널링, DNS 디도스 등의 공격이 진행될 수 있다.
공격자는 타깃 사용자의 시스템에서 악성코드 실행을 위한 취약점을 탐색하는데, 비정상적인 DNS 프로토콜이 발생하고 DNS 하이재킹, DNS 익스플로잇 등이 발생할 수 있다. 다음 단계로 공격자는 타깃 시스템에 멀웨어를 설치하고, C&C 통신으로 명령 채널을 확립한다. DNS 터널링과 콜백이 일어난다. 마지막 단계로 공격자는 원래 목적 달성을 위한 행동을 개시하며 DNS를 통한 데이터 유출과 내부 DNS 디도스를 감행한다.
서비스 영향 없이 DNS 공격 차단
인포블록스는 DNS 보안을 강화해 이러한 보안위협으로부터 내부 시스템을 보호한다. 인포블록스는 DNS 트래픽을 모니터링하고, 엔트로피, 렉시컬, 빈도, 쿼리 크기, N-Gram 등 5가지 요소를 기반으로 분석해 공격을 탐지한다.
인포블록스의 DNS 서버 보안 전용 솔루션 ‘ADP’는 위협 완화를 위한 전용 프로세서를 사용해 DNS 공격을 차단하고 성능을 보장한다. DNS 소프트웨어 서비스는 DNS 모니터링으로 공격 패킷을 차단하고, 공격 받는 중에도 정상적인 DNS 트래픽을 구분해 서비스에 영향을 주지 않으며, 신종·진화하는 위협에 대한 자동 업데이트를 진행한다.
인포블록스는 DNS 위협 인텔리전스 서비스인 ‘액티브 트러스트’와 ‘액티브 트러스트 클라우드’를 제공해 신·변종 위협에 대한 신속한 대응을 제공한다. 디바이스 접속 위치와 관계없이 보호할 수 있으며, 온프레미스·클라우드에서도 가시성을 향상시킨다. 자동화된 응답과 빠른 위협 조사로 침해사고 대응을 효율화한다.
머신러닝 기반 지능형 공격 차단
인포블록스 보안 기능은 평판분석, 시그니처 분석, 행위분석 기술을 적용하며 머신러닝 기술을 탑재해 지능적인 공격에 대해서도 자동화된 탐지와 대응을 제공한다. 멀웨어 이벤트 발생시 해당 악성 도메인 혹은 IP를 하나의 뷰에서 다양한 소스로부터 조사결과를 확인할 수 있도록 하며, 위협과 관련된 다양한 연관 정보에 접근이 가능해 대응해야 할 사고의 우선순위를 할당한다.
더불어 인포블록스는 개방된 에코시스템을 통해 다양한 써드파티 기술을 통합하고 위협에 민첩하게 대응하게 한다. 자동화와 오케스트레이션으로 위협 인텔리전스, 취약점 관리, SIEM, NAC, 차세대 엔드포인트 보안, 웹 게이트웨이, ITSM 등 다양한 파트너 기술을 연동하며, DNS를 통한 보안 경계의 해로운 활동을 제어할 수 있다.
신성균 이사는 “차세대 DNS는 IT 인프라에 대한 신뢰성과 가용성을 높이고, 사용자와 데이터를 보호하며, 보안 운영을 자동화 할 수 있도록 도와준다. 인포블록스는 이와 같은 요건을 모두 만족하는 DNS를 제공하며, DNS 공격에 대한 광범위한 탐지와 차단, 온프레미스·클라우드 지원, 위협 인테리전스 제공을 통한 빠른 대응으로 안전한 DNS 운영을 가능하게 한다. 특히 DDI(DNS, DHCP, IPAM) 시장 점유율 50% 이상을 유지하고 8000개 이상 고객을 보유한 글로벌 경쟁력을 기반으로 차세대 환경에 최적화된 DNS를 제공할 수 있다”고 말했다.
