인포블록스 ADP, 광범위한 DNS 기반 공격 철통방어
상태바
인포블록스 ADP, 광범위한 DNS 기반 공격 철통방어
  • 데이터넷
  • 승인 2020.11.20 11:05
  • 댓글 0
이 기사를 공유합니다

DNS 공격 지능적으로 감지하고 완화 … 진화하는 위협 방어 기능 자동 업데이트

[데이터넷] DNS는 애플리케이션 계층 DDoS 공격의 주요 표적이지만 교묘해지고 있는 DNS 위협 방어는 기존의 방화벽으로는 역부족이다. 특히 증폭/반사 등의 기법으로 이뤄지는 DNS 기반의 DDoS 공격을 방어할 수 없다. 그러나 인포블록스 ADP(Advanced DNS Protection)는 DNS DDoS, 익스플로잇, NXDOMAIN, DNS 데이터 유출 및 DNS 하이재킹 공격과 같은 광범위한 DNS 기반 공격을 효율적으로 방어한다. ADP는 인프라스트럭처 오버프로비저닝이나 간단한 응답 속도 제한에 의존하는 것이 아니라 정상적인 쿼리에만 응답하면서 DNS 공격을 지능적으로 감지하고 완화한다.

지난 추석 연휴기간 국내 대기업과 은행 여러 곳을 대상으로 ‘랜섬DDoS’ 공격이 기승을 부린 것으로 확인됐다. 랜섬DDoS는 인질을 뜻하는 ‘랜섬(Ransom)’과 과부하로 서비스를 다운시키는 ‘분산 서비스 거부(DDoS)’ 공격의 합성어로 지난 6월 신조어로 국어사전에도 등재됐다.

국제 해킹조직에서는 지금까지의 공격은 맛보기에 불과하고 비트코인을 입금하지 않으면 10월 7일 대규모 공격을 하겠다고 예고했지만 실제 공격은 감행하지 않은 것으로 파악됐다. 금융권을 대상으로 한 DDoS 공격은 일단 공격을 시도하고 협박 이메일을 보낸 뒤 입금이 이뤄지지 않으면 추가 공격에 나선다는 패턴을 보인다. 금융사들이 실제 대규모 공격을 받는다면 인터넷뱅킹이나 스마트뱅킹, 현금자동입출금기(ATM) 등의 서비스가 마비되거나 지연되는 대혼란이 빚어질 수 있다.

기존 보안만으로는 역부족
점점 교묘해지고 있는 DNS 위협을 막아내기에는 기존의 방화벽으로는 역부족이다. 방화벽은 DNS 쿼리에 전용시켜 53 포트를 열어 두지만 들어오는 쿼리를 검사하는 부분에서는 큰 역할을 하지 못하기 때문이다.

따라서 증폭/반사 등의 기법으로 이뤄지는 DNS 기반의 DDoS 공격을 방어할 수 없다. DNS 공격을 차단하려면 정확한 감지를 위해 고성능의 컴퓨팅과 심층적인 검사가 요구되지만 기존 솔루션은 이를 제공하지 못한다.

진화 거듭하는 위협
DNS 기반 DDoS 공격은 찾아내기가 어려울 뿐만 아니라 움직이는 표적과 같아 계속해서 모습을 바꿔가며 내외부 DNS 서버에 영향을 미칠 수 있다. 공격자는 증폭/반사, 서비스 장애 공격 및 단순한 NXDOMAIN(Non-Existent Domain) 등의 기본적 방법부터 봇넷, 연쇄 반응 및 오작동 도메인 등의 보다 정교한 공격까지 광범위한 기법을 이용한다.

이러한 위협은 내외부에서 유입될 수 있다. DNS 보안이 무시되는 경우가 많다는 점을 공격자들이 잘 알고 있기 때문에 DNS 기반 공격은 점점 증가하고 있다. 넷스카우트 아버에서 최근 출간한 ‘전 세계 인프라 보안 보고서’에 따르면 DNS는 반사/증폭 공격에 가장 많이 이용되는 프로토콜이며, http와 함께 애플리케이션 계층 DDoS 공격에서 가장 많이 표적이 되는 서비스인 것으로 나타났다.

따라서 DNS 특정 보안을 심층 방어 보안 전략에서 하나의 보안 계층으로 빨리 도입할수록 조직이 감수해야 하는 위험이 줄어들 수 있다. 첫 단계는 DNS 기반 공격이 네트워크와 비즈니스에 영향을 미칠 수 있는 방식을 이해하는 것이다.

애플리케이션 계층 DDoS 공격 주표적 ‘DNS’
DNS는 핵심 인터넷 서비스라는 점을 감안할 때 유혹적인 공격 대상이다. 공격자는 DNS 구현의 버그를 악용하기 위해 잘못된 형식의 DNS 쿼리 또는 DNS 응답을 대상 서버에 보낼 수 있다. 다른 변종에는 코드 삽입, 버퍼 오버플로우, 메모리 손상, NULL 포인터 역 참조 및 특정 취약성 악용이 포함된다.

DNS 공격은 특정 패턴을 따르는 경향이 있지만 최근 많은 공격들이 규모가 너무 커서 속도 제한 기술만으로는 처리하기 어려울 수 있다. DNS 위협 보호는 네트워크 인프라 및 인터넷 서비스에 대한 내외부 공격을 모두 처리하기 위해 위협 보호 규칙 업데이트를 통해 시간이 지남에 따라 확장되도록 설계됐다. DNS 기반 위협과 이들의 작동 방식에 대해 살펴보자.

분산 반사 DoS 공격
분산 반사 DoS(DrDoS) 공격은 인터넷에 있는 타사의 공개 리졸버를 이용해 표적에 대한 공격에 자신도 모르게 참여시킨다. 이러한 형태의 공격은 반사/증폭 기법을 이용해 그들의 ID를 스푸핑하고 공격의 규모와 효과를 높이게 된다. 이 공격에 권한(Authoritative) 네임 서버가 사용될 수도 있다.

공격자는 스푸핑된 쿼리를 다수의 공개 재귀 서버로 보내는데, 한 번에 수천 개의 서버로 보낼 때도 있다. 각 쿼리는 많은 응답을 유도하도록 고안돼 피해 IP 주소로 엄청난 양의 데이터를 보낸다. 피해 시스템이 DDoS 공격을 받으면 성능이 저하되거나 사이트 운영이 중단돼 주요 비즈니스 프로세스가 멈춰버릴 수 있다.

DNS 캐시 포이즈닝
DNS 캐시 포이즈닝(Cache Poisoning)은 악성 주소 같은 위조 데이터로 DNS 서버의 캐시를 손상시켜 데이터 도난 및 기타 위협에 문을 열어 준다.

① 공격자는 재귀 네임 서버에 존재하지 않는 도메인(예: test.com)을 쿼리한다.
② 재귀 서버는 IP 주소를 가지고 있지 않고 test.com 네임 서버를 쿼리한다.
③ test.com 네임 서버가 NXDOMAIN 응답을 보내기 전에 공격자는 정상적인 test.com 서버에서 들어오는 것처럼 보이는 대량의 스푸핑된 응답을 보낸다. 스푸핑된 응답은 test.com을 공격자가 제어하는 서버의 IP 주소에 매핑하고, 재귀 네임 서버는 스푸핑된 응답을 수용하고 레코드를 캐싱한다.
④ 사용자는 재귀 네임 서버에 test.com의 IP 주소를 쿼리한다.
⑤ 재귀 네임 서버가 캐싱된 악성 IP 주소로 사용자에게 응답한다.
⑥ 사용자는 외관적으로 실제 test.com 웹사이트와 동일할 수 있지만 공격자가 제어하는 사이트에 연결된다. 

인포블록스 ADP로 DNS 공격 완화
인포블록스 ADP(Advanced DNS Protection)는 DNS DDoS, 익스플로잇, NXDOMAIN, DNS 데이터 유출(알려진 터널을 통함) 및 DNS 하이재킹 공격과 같은 광범위한 DNS 기반 공격을 방어한다. 인프라스트럭처 오버프로비저닝이나 간단한 응답 속도 제한에 의존하는 접근 방식과 달리 ADP는 정상적인 쿼리에만 응답하면서 DNS 공격을 지능적으로 감지하고 완화한다. 또한 인포블록스 쓰렛 어댑트(Threat Adapt) 기술을 사용해 실행 가능한 네트워크 인텔리전스를 제공하면서 새로운 형태로 진화하는 위협에 대한 방어 기능을 자동으로 업데이트한다.
인포블록스 ADP의 특징은 다음과 같다.

:: DNS 서비스 중단 방지
ADP는 정상적인 쿼리에 응답하면서 플러드, NXDOMAIN 등의 볼륨메트릭 공격 및 익스플로잇, 변형 프로토콜 등의 비볼륨메트릭 공격 등 다양한 유형의 DNS 공격을 지속적으로 모니터링, 탐지 및 제거한다. 또한 DNS 하이재킹 공격으로 손상될 수 있는 DNS 서비스의 무결성을 유지한다.

:: 진화하는 위협 대응
ADP는 인포블록스 쓰렛 어댑트 기술을 사용해 새로운 형태로 진화하는 위협에 대한 보호 기능을 자동으로 업데이트하고 실행 가능한 네트워크 인텔리전스를 제공한다. 쓰렛 어댑트는 고객 네트워크에서 발견된 공격을 포함해 진화하는 공격 기술에 대한 독립적인 분석 및 연구를 통해 보호 기능을 업데이트하고, DNS 구성 변경을 반영해 자동으로 보호 기능을 변경한다.

:: 위협 관리 위해 데이터 활용
ADP는 포괄적인 보고서 및 경고 시스템을 통해 네트워크 및 공격 소스 전반에 걸친 공격 포인트에 대해 중앙 집중적이고 상세한 보기를 제공하며, 조치를 위한 인텔리전스를 제공한다. 보고서는 인포블록스 리포팅 및 어낼리틱스 솔루션과 연동을 통해 확인할 수 있다.

:: 유연한 배포 옵션
인포블록스의 가상 및 물리적 트린직(Trinzic) 어플라이언스 또는 전문화된 최신 어플라이언스에 추가할 수 있는 구독 라이선스 제공으로 유연한 배포 옵션을 지원한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.