DNS 보안 기능 및 DNS 이용한 보안 플랫폼 필수
[데이터넷] 클라우드는 ‘연결성’이 매우 중요하다. 시간, 장소의 제약 없이 연결될 수 있어 코로나19로 촉발된 원격근무 이슈에 가장 잘 대응할 수 있는 IT 환경이다. 클라우드의 연결성을 도와주는 기본 인프라가 DNS이다. DNS는 모든 인터넷 연결에 반드시 필요하다. 웹사이트 접속 뿐 아니라 IoT도 서버와의 통신을 위해 DNS를 사용하며 이메일 역시 발신자 서버를 찾기 위해 DNS를 이용한다.
연결의 시작인 DNS는 심각한 취약점도 많다. 미라이 봇넷은 DNS 서비스 기업 DYN을 공격해 미국 주요 정부기관과 인터넷 사업자를 마비시켰다. 한국인터넷진흥원에서 발표하는 보안 취약점 권고 조치 중 DNS와 관련된 것이 매년 1~2건 발생한다.
윈도우에서 발견된 가장 높은 수준의 위험도를 가진 취약점 ‘시그레드(SigRed)’도 DNS에 있는 것이다. 이를 처음 발견한 체크포인트는 “해커가 윈도우 DNS 서버로 악성 DNS 쿼리를 유발해 임의의 코드를 실행함으로써 전체 인프라 침해가 발생할 수 있도록 허용하는 보안 결함이 발견됐다”고 경고했다.
DNS가 공격을 당하면 웹사이트 접속이 어려워진다. 클라우드 기반 CDN 서비스 사용이 활발해지면서 이 서비스를 노리는 공격도 상당히 늘어나고 있다. 클라우드와 SD-WAN 도입 확산, IoT의 증가로 인해 DNS 요청은 더욱 폭발적으로 늘어나고 있으며, 그만큼 위협 수준도 높아지고 있다. 일단 네트워크에 침입하면 침입자가 혹은 멀웨어가 네트워크를 통해 측면으로 쉽게 이동할 수 있으며, DNS를 통한 침입 시도는 더욱 늘어날 것으로 보인다.
보안 DNS로 웹사이트 안전하게 운영
DNS를 타깃으로 하는 공격은 매우 다양하다. 가장 자주 발생하는 것이 DNS 서버에 디도스 공격을 단행해 DNS와 연결된 서비스를 중단시키는 것이다. 네트워크 보안 솔루션의 멀웨어 탐지·차단 기능을 우회하기 위해 DNS를 사용하기도 하며, DNS 쿼리 헤더에 중요 정보를 조금씩 삽입해 장기간 대량의 개인정보·중요정보를 유출하는 시도도 있다.
이러한 문제를 해결하기 위한 DNS 보안 솔루션이 등장하고 있다. 아카마이의 ‘엣지 DNS’는 엣지 플랫폼을 통해 DNS 서비스를 제공하기 때문에 고가용성을 유지하면서 운영할 수 있다. 아카마이이 보안 기술과 글로벌 위협 인텔리전스를 활용해 DNS를 이용하는 공격을 막는다.
토종 솔루션 기업 코아맥스테크놀로지의 ‘크로첵 SDNS’는 보안 OS를 이용해 DNS 공격에 대응한다. 이 솔루션은 인터넷 사용 환경에서 도메인에 관련된 보안을 강화하기 위한 DNS 패킷 분석기능을 탑재했다. 자체 방화벽을 이용한 엄격한 ACL 정책 및 보안이 강화된 전용OS를 이용해 각종 공격기법에 대한 방어를 하고, 디도스 차단 기능으로 DNS 쿼리를 이용한 과부하 공격에도 대처할 수 있다.
DNS로 지능형 공격 방어
DNS를 이용해 보안을 강화할 수 있는 방법도 있다. DNS에는 연결을 시도한 모든 단말의 정보가 있다. 단말의 맥 주소, OS 종류, 호스트 네임, 방문한 웹사이트 정보, 위치 정보 등이 축적돼 있으며, 이를 위협 인텔리전스로 활용할 수 있다.
만일 사용자가 감염된 사이트로 접속을 시도하면 DNS 인텔리전스를 통해 파악하고 차단 정책을 내릴 수 있다. 단말의 행위를 SIEM·SOAR 등 보안관제 솔루션으로 보내 단말의 이상행위 여부도 파악할 수 있도록 한다. NSA에서는 90%의 위협을 DNS를 통해 완화시킬 수 있다고 분석한 바 있다.
DDI 솔루션 전문기업 인포블록스는 DNS 시장 점유율 1위 기업이라는 점을 강조하며 DNS에 축적된 방대한 인텔리전스를 통해 IT를 더 안전하게 운영할 수 있다고 주장한다. DNS 인텔리전스 ‘인포블록스 피드’는 SIEM, SOAR 및 기타 보안솔루션과 긴밀하게 연동해 보안관제 역량을 한층 높일 수 있다.
또한 DNS 보안 솔루션 ‘DNS 방화벽’은 DNS 타깃 공격 방어, 정보유출 방어 등의 기능을 하며, 인포블록스 피드 서버에서 주기적으로 업데이트 되는 멀웨어 정보를 이용해 지능적인 공격을 방어한다 .
인포블록스는 DDI 인프라를 SASE의 엣지 서버로 사용할 수 있다고 주장하며 SASE 시장 공략에도 적극 나선다. 네이티브 NOS 기업 스냅라우트를 인수하고 SASE 시장에 뛰어든 인포블록스는 엣지 장비로 사용되는 DDI에 라우팅 등 엣지에 필요한 기능을 포함시켜 SASE 아키텍처를 완성한다.
클라우드 연결 플랫폼, DNS
DNS를 광범위한 클라우드 연결의 플랫폼으로 상승시킨 시도는 시스코가 앞서있다. 시스코는 오픈DNS를 인수하고 클라우드 기반 DNS 서비스 ‘엄브렐라’를 출시했다. 엄브렐라는 보안 연결을 위한 인터넷 게이트웨이(SIG) 역할을 하며 다중인증 솔루션 듀오, 웹 프록시, 웹 보안 어플라이언스, DLP, CASB, 나아가 SASE 인프라로도 사용할 수 있게 한다.
엄브렐라는 사용자 기기의 무결성을 확인하고 유해사이트 접속 차단, C&C 서버 통신 차단, 중요정보 유출 차단 등 DNS 보안 기능을 기본으로 제공한다. 또한 시스코의 위협 인텔리전스 조직 탈로스를 통해 축적한 사이버 위협 인텔리전스를 연동해 더욱 진화하는 위협을 막는다. 엄브렐라에 C&C 서버 정보를 업데이트하면 해당 서버로의 통신을 자동으로 차단한다.
