광범위한 인텔리전스·에코 시스템으로 공격 가시화·정교한 탐지 지원
[데이터넷] DNS는 모든 커뮤니케이션이 시작이다. DNS는 인터넷에 연결되는 모든 기기와 웹의 상태정보, 위협 정보가 저장돼 있다. DNS는 가장 먼저 보호되어야 하며, DNS에 쌓인 위협 정보를 인텔리전스에 접목시켜 더 정확하게 위협에 대응해야 한다.
김현규 인포블록스 코리아 차장은 “DNS는 모든 연결의 시작으로, 많은 공격에 노출되어 있다. DNS 서버를 공격해 인터넷 서비스를 마비시키거나 멀웨어 침투, 감염, 데이터 유출에 사용하는 공격이 크게 늘고 있다. 그래서 공격에 이용되는 취약점도 크게 늘고 있는 상황”이라며 “DNS 보안이 그 어느 때 보다 중요한 시점”이라고 말했다.
멀웨어 95%, DNS 악용
김현규 차장은 ‘차세대 보안 비전 2022’에서 ‘2022 DNS 위협 트렌드와 전략적 대응 방안’을 주제로 발표하며 DNS 보안의 시급성을 강조했다. 멀웨어의 95%가 DNS를 악용하고 있는데, IoT의 급격한 증가로 DNS 의존도가 높아지면서 DNS 위협은 더 심각해지고 있다.
클라우드 확산으로 네트워크 경계가 클라우드로 올라갔으며, SD-WAN 기술을 이용해 지사는 원격지에서 중앙 데이터센터를 거치지 않고 인터넷에 바로 연결돼 본사 보안 통제를 받지 않는다. 스마트 오피스, 자율주행차, CCTV, 스마트 홈 기기 등으로 공격자가 침투하고 지점·지사, 재택근무자, 클라우드로 접근해 주요 업무와 데이터까지 접근할 수 있게 된다.
이 과정에서 인터넷 연결은 반드시 DNS를 거치게 되는데, DNS 디도스 공격으로 인터넷 서비스를 완전히 중단시킬 수 있다. DNS 취약점, DNS 터널링, DNS 하이재킹, DNS 익스플로잇 등의 공격을 사이버 킬 체인 단계에서 적용해 인터넷 서비스를 무력화하는 것도 가능하다.
DNS를 이용한 파일리스 멀웨어, DGA, 패스트플럭스 등 정교한 공격 기법도 자주 사용되며, 이를 이용해 DLP 정책을 우회해 정보를 유출한다. DNS 쿼리를 사용해 감염된 컴퓨터에서 악성 파워셸 명령을 수행하는 RAT인 ‘DNS 메신저’도 등장했다. DoT/DoH가 외부 DNS를 이용하도록 설정했을 때 DNS 보안을 거치지 않고 공격자가 내부로 침투할 수 있게 한다.
김현규 차장은 “매일 평균 15만개의 새 도메인이 생성되고 있는데, 91% 이상 멀웨어·랜섬웨어 유포에 DNS가 사용되며, 수백만개 IoT가 DNS 취약점을 안고 있다. 그럼에도 불구하고 68%의 기업이 DNS를 모니터링 하지 않고 있다”고 지적했다.
김 차장은 “미국 국가안보국 사이버 안보국장인 앤 뉴버거(Anne Neuberger)는 ‘DNS를 보호하면 멀웨어 공격의 C&C 제어나 멀웨어 배포를 92%까지 줄일 수 있다고 말했다. 정교해지는 DNS 위협 대응을 위한 보안 기술이 반드시 필요하다”고 말했다.
AI 이용 정교한 DNS 위협 대응
DNS 보안을 위해 인포블록스는 AI·머신러닝 기반 행위 분석과 정교한 IoC가 필요하다고 강조한다. DNS를 이용한 멀웨어 유포, 데이터 유출을 탐지하는 것은 단순한 시그니처·패턴 방식에 의존해서는 안된다.
인포블록스는 특허받은 5가지 분석모델을 이용해 DNS에서 일어나는 의심스러운 행위를 탐지한다. 시그니처 기반 보안 솔루션에서 검출하기 어려움 DGA, 패스트 플럭스 등의 변칙적인 공격이나 파일리스 멀웨어, 제로데이 등의 최신 위협을 차단한다.
또한 인포블록스는 리버스 엔지니어링을 통해 위협을 분석하고 광범위한 IoC 수집을 시행해 최상의 대응 방안을 제공한다. 오랜 노하우의 자체 알고리즘으로 오탐을 최소화하며, 비즈니스 지속성을 위해 최신의 위협으로부터 보호한다.
인포블록스는 위협 이벤트 포렌식 솔루션 ‘도시어(Dossier)’를 활용해 여러 데이터 소스에서 수집한 위협 정보를 제공해 빠르게 위협에 대응할 수 있게 한다. 도시어는 보안 담당자가 15분~20분가량 소요되는 업무를 수 초 안에 제공할 수 있다.
인포블록스의 ‘블록스원 쓰렛 디펜스(B1TD)’는 DNS 레벨에서 선제적 보안을 구현하는 솔루션으로, DNS 쿼리 단계에서 최신 멀웨어와 C&C, 위협 도메인을 선제적으로 차단한다. 지능화된 데이터 유출 공격 차단을 제공하며 위협 인텔리전스를 내부 보안 솔루션과 연동해 위협 대응 효과를 한층 높인다. 클라우드, 온프레미스, 재택근무자 등 모든 업무 환경을 통합 보호하며, 에코시스템을 통한 탐지·대응 자동화를 지원해 SOC 효율을 극대화한다.
B1TD 클라우드는 클라우드 네이티브 플랫폼을 통해 제공되는 전사 보안 서비스로, 분산·재택근무 환경에서 발생할 수 있는 DNS 관련 위협에 빠르게 조치할 수 있다.
김현규 차장은 “B1TD는 공격 사이클의 여러 단계에서 보안을 제공해 위협을 조기에 발견할 수 있게 한다. 대형 설비 제조사, 대형 병원, 자동차 기업 등 국내외 유수의 기업이 B1TD를 이용해 선제적인 감염 예방과 데이터 유출 방지 효과를 누리고 있다”며 “가장 쉽게, 많은 영역을 보호할 수 있는 DNS 보안으로 디지털 트랜스포메이션 과정의 복잡한 보안 문제를 해결하기 바란다”고 말했다.
