[데이터넷] DNS(Domain Name Services)가 데이터 유출의 주요 통로로 이용되면서 데이터 침해를 막기 위한 DNS 보호 필요성이 높아지고 있다. 그러나 DNS 데이터 유출은 일반 네트워크 트래픽과 흡사하기 때문에 탐지가 어렵다. 코닉오토메이션이 국내에 공급하는 이피션트IP의 DNS 보안 솔루션 ‘DNS 가디언(Guardian)’은 아키텍처 혁신을 통해 DNS 캐시를 리커시브 기능과 분리함으로써 서비스 전반의 보안을 강화하고, DNS가 공격을 받아도 각 기능은 자체 특성에 따라 개별 보호되기 때문에 부작용은 최소화하면서 서비스 가용성을 보장할 수 있다. <편집자>
DNS를 이용한 데이터 유출 공격 늘어나고 있다. DNS를 이용하면 고도의 보안을 갖춘 데이터센터 아키텍처 내에 위치한 장치도 공격자가 손쉽게 접근해 데이터를 탈취할 수 있다.
데이터 보안이 상당한 노력을 요하는 실질적인 도전 과제로 떠오른 데에는 두 가지 주요 요인이 있다. 많은 기업들이 클라우드 서비스, 커넥티드 디바이스, 차세대 데이터센터 등을 도입하면서 네트워크 보안이 보다 까다로워졌고, 사이버 공격 역시 날로 교묘해지고 있다는 점이다. 그만큼 공격 탐지와 예방에 어려움이 따른다.
IT 서비스의 원활한 운영, 온프레미스 및 클라우드 환경에서의 네트워크 라우팅 접근, 데이터 기밀성은 조직의 사활이 달린 중요한 문제다. 이러한 이유로 DNS가 사이버 범죄의 주 타깃이 되고 있다. 업종을 불문하고 DNS 공격이 만연해지자 기업들은 차세대 방화벽, 침입방지시스템(IPS), 데이터유출방지(DLP) 등과 같은 보안 시스템만으로는 DNS 보호가 불충분하다는 사실을 깨닫게 됐다.
DNS가 데이터 유출의 주요 통로로 이용되고 있으며, 공공 및 민간 부문 모두에서 많은 조직들이 데이터 침해를 막기 위한 DNS 보호 필요성을 인정하게 된 것이다. 이에 기업들이 전통적인 보안 시스템의 한계를 직시하고 DNS를 통한 데이터 유출 방지에 적합한 투자를 우선 고려하기 시작했다는 사실은 긍정적이다.
DNS 데이터 유출, 정상 쿼리로 위장
DNS 데이터 유출은 일반 네트워크 트래픽과 상당히 흡사하기 때문에 탐지가 어렵다. 따라서 데이터가 유출되고 나서야 사고가 발생했음을 인지하게 된다. 이런 점에서 DNS는 사이버 범죄자가 데이터를 유출하는 주요 수단 중 하나가 됐다.
DNS를 이용해 데이터가 유출되는 경로를 설명하면 다음과 같다. 먼저 사용자 쿼리를 통해 사이버 범죄자의 DNS 서버로 파일 트랜잭션을 수행하게 한다. DNS 쿼리의 목적은 도메인 이름을 IP 주소로 변환하는 것이다. IP 주소 회신을 위해 사용자의 쿼리는 루트 서버, TLD(Top Level Domain) 서버를 거쳐 최종적으로 권한 있는 서버(Authoritative Server)에 도달해 답변을 요청한다. 사이버 범죄자는 이러한 DNS 쿼리의 기본 개념을 악용해 수신된 모든 DNS 쿼리를 저장, 컴파일하고 응답은 제공하지 않는다.
대부분의 보안 솔루션은 DDoS 공격 방어, 블랙리스트 기반 멀웨어 탐지 등 피상적인 수준에서 DNS 보안을 제공한다. 그러나 도메인 이름을 새로 구매해 등록하기까지는 몇 분이 걸리지 않는다.
신규 도메인 이름에는 악성 트래픽이 포함돼 있지 않으므로 DNS 쿼리가 탐지를 피해 방화벽이나 보안 웹 게이트웨이 시스템 등을 자유롭게 드나들 수 있다. 단일 파일의 DNS 트랜잭션은 탐지를 피하기 위해 레이턴시가 작동하며 패킷 사이즈가 축소될 수 있다. 이러한 이유로 기존 보안 솔루션은 악의적인 활동 포착에 한계가 있다.
이들 솔루션은 서비스 연속성 보장과 데이터 유출 방지 측면에 특화된 것이 아니기 때문에 컨텍스트에 대한 개념 없이 DNS 트래픽에 대한 주변 가시성만 제공한다. 공격을 완화하는데 걸리는 평균 시간은 40% 증가해 7시간에 이르며, 막대한 시간과 노력이 낭비된다. 적절하고 효과적인 대응 방안이 이뤄지는 것도 아니다.
하지만 많은 조직이 현재까지도 올바른 공격 대응책을 마련하지 않고 있다. 다시 말해 DNS 보호에 사용되는 기술이 제대로 활용되지 못하는 것이다. 각 조직의 대응 실태를 감안할 때 올해 같은 경우 DNS 공격의 여파는 더욱 심각해진다.
캐시·리커시브 분리로 DNS 보안 강화
이피션트IP의 DNS 보안 솔루션 ‘DNS 가디언’은 아키텍처 혁신을 통해 DNS 캐시를 리커시브 기능과 분리함으로써 서비스 전반의 보안을 강화한다. DNS가 공격받는다 해도 각 기능은 자체 특성에 따라 개별 보호되기 때문에 부작용은 최소화하면서 서비스 가용성을 보장할 수 있다.
:: DTI 기술
DNS 가디언은 완전한 DTI(DNS Transactions Inspection) 기능을 제공하는 고유 솔루션이며, 실시간으로 가동되면서도 성능에 전혀 영향을 끼치지 않는다. 모든 DNS 트랜잭션에 대해 프로토콜 핵심부에서 조각화, 쿼리, 페이로드 및 관련 답, 트랜잭션 소요 기간 및 크기 등의 전체 쿼리 교환 시퀀스를 검사한다.
DNS 가디언은 혁신적인 트랜잭션 검사를 통해 클라이언트의 컨텍스트를 완전히 파악할 수 있으며, 주변 트래픽 가시성이 제한된 시그니처 기반 보안 시스템의 한계를 극복했다.
:: 행위 위협 탐지 위한 고급 DNS 분석
DNS 가디언은 DNS 트래픽에 대한 심층적 가시성을 제공하며, 시간의 흐름에 따른 DNS 트래픽을 정확하게 분석한다. 글로벌 및 개별 클라이언트 단위로 다음과 같은 최첨단 통계 자료를 실시간으로 수집하고 저장한다.
· 캐시 누락률/적중률, 변형된 요청, 조각화, 재귀적 시간, 반환 코드 분포, 레이턴시 등
· DNS 대역폭 소비
· 상위 목록: 클라이언트, 요청 도메인, 반환 코드(NX 도메인, SERVFAIL 등), 쿼리 유형
:: 적응형 보안 위한 스마트한 선택
DNS 가디언은 고급 분석 기능을 제공하며, DNS 위협에 대해 전례 없는 수준의 이해를 가능하게 하므로 특정 공격 유형에 맞는 대응책을 적시에 활성화할 수 있다. 이피션트IP의 독자적인 ‘적응형 보안’ 솔루션은 DNS 서비스 연속성과 데이터 기밀성 모두를 지키기 위한 현명한 대응책으로, 다음과 같은 내용이 포함돼 있다.
· 공격 소스 IP 차단, IP 소스별 DNS 트래픽 속도 제한
· 악성 트래픽 소스 IP 차단(자체 개발 및 특허)
· 액티브 레스큐(Active Rescue) 모드: 신원미상의 공격 중에도 서비스 연속성 보장
격리(Quarantine) 모드의 경우, IP 주소를 악성 트래픽으로부터 분리해 정상 트래픽이 캐시 데이터에 대해서만 접근이 자유롭도록 하면서 리커시브 요청은 차단한다. 그 결과 외부 공격으로부터 서버를 보호하고 정상 트래픽까지 차단하는 위험을 줄인다.
그러나 슬로우 드립, 고도분산형 공격과 같은 극단적인 상황에서는 공격의 원인이 밝혀지지 않을 수도 있다. 이때 DNS 가디언은 서버 용량의 소진 위험을 탐지해 레스큐 모드를 즉각 활성화한다.
이와 같은 종합적인 대응책을 통해 캐시 요청을 받은 DNS가 클라이언트에 100% 도달할 수 있게 한다. 나아가 데이터 유효성 업데이트가 불가능한 상황에서도 가장 중요한 비즈니스 애플리케이션 및 서비스는 100% 사용할 수 있다.
이피션트IP는 글로벌 트래픽 추이를 비롯해 클라이언트 행동, DNS 기능 수행 등을 고려하는 실시간 멀티팩터 트래픽 분석을 제공한다. 더불어 고유의 가시성을 통한 최첨단 DNS 보안 분석 역량을 바탕으로 월등한 수준의 행동 위협 탐지 성능을 제공한다.
알려진 공격 패턴을 넘어 가시성을 확장하며 오래된 블랙리스트 메커니즘을 신속히 개선함으로써 DNS 터널링, 팬텀, 슬로스 도메인 공격(Sloth Domain Attack) 등의 최신 지능형 공격을 파악할 수 있다.
