[데이터넷] 많은 조직이 보안을 설계할 때 제로 트러스트를 기본 원칙으로 참고하고 있다. 기업과 정부 기관이 디지털 혁신과 네트워크 경계의 변화에 대응하면서 민감한 데이터를 보호할 수 있는 보안 설계 전략으로 인정받고 있다.

제로 트러스트는 더 이상 자원들의 보안 상태 판단을 위해 해당 자원이 속한 네트워크의 위치를 주요 조건으로 고려하지 않기 때문에 네트워크 세그먼트가 아닌 자원(자산, 서비스, 워크플로우, 네트워크 계정 등) 및 데이터를 보호하는 데 중점을 둔다.

인포블록스는 제로 트러스트 아키텍처의 기반이 되는 DDI(DNS, DHCP, IPAM) 서비스 및 DNS 보안 솔루션을 제공한다. 특히 조직의 전사적 보안 수준 향상과 전체 자산의 통합 가시성 확보를 효과적으로 지원한다.

DNS 보안 역할과 최근 동향

전통적으로 적용해왔던 보안은 심층 보안(Defense-in- Depth) 모델로 네트워크의 계층 및 서비스별로 특화된 보안 솔루션들을 겹겹이 설치해 방어를 강화하는 모델이다. 그러나 여전히 침해 공격이 이뤄지고, 이미 침해를 당한 사실도 인지하지 못하는 조직이 많다는 것은 부정할 수 없는 현실이다. 단적인 예로 상당히 빈번하게 발생하는 데이터 유출 공격으로 연속적인 DNS 쿼리를 이용해 내부 데이터를 외부로 유출하거나 외부로부터 악성코드를 유입시키는 공격이 있는데 대부분의 조직이 관행적으로 DNS 서비스는 검사하지 않고 대체로 허용하고 있는 현실만 봐도 심층 보안의 허점이 드러난다.

제로 트러스트 원칙에 따르면 필연적으로 모든 디바이스들 이 IP 통신을 시작할 때 반드시 요청하는 DDI를 포함한 이들의 기반 서비스를 검토해야 한다. 나아가 DDI는 제로 트러스트 원칙에 따라 모든 컴퓨팅 리소스에 대한 중앙 집중적 가시 성과 통제력을 확보할 수 있는 이상적인 기회를 제공한다. 특히 DNS는 원격 감시의 유용한 수단으로 변칙적인 행위를 탐지하고 동서(East-West) 트래픽 분석에 도움이 된다.

DNS에 간단한 보안 설정으로 각종 유해 사이트, 피싱 사이트에 접속하는 행위도 즉각 탐지 및 차단할 수 있을 뿐 아니라 이미 내부에 잠입한 공격자도 본격적인 침해 공격을 위해 대부분 DNS 쿼리를 시도한다. 특히 은밀하게 C&C에 연결하려고 할 때 DNS 쿼리를 주로 이용한다.

따라서 DNS 패킷을 상시 감시하고 통제함으로써 이미 잠입한 공격자를 식별하고 침해 확산도 예방할 수 있게 된다. 이처럼 DNS는 네트워크 기본 서비스를 위한 단순 프로토콜이 아니라 기업이 사용하는 모든 클라우드와 온프레미스 데이터센터에 대해 중앙에서 가시성을 확보하고 효과적으로 위험을 통제할 수 있는 지점이다.

가트너는 조직 인프라 전체의 보안 수준을 높이는데 DNS 단계의 행위를 적극 모니터링하고 보안을 적용해야 한다고 강조했고, 미국 국가안보국(NSA)도 DNS 쿼리를 통제함으로써 멀웨어 공격의 92%를 줄일 수 있다는 조사 결과를 발표 한 바 있다. 모든 인터넷 접속을 위한 첫 관문인 DNS는 이미 최근 수년간 DNS 보안의 확대는 미국 정부와 민간 기업을 중심으로 진행돼 왔고 유럽에서도 공공기관과 기업의 채택이 이어지고 있다. 아시아 주요 국가들 역시 DNS 보안 구축이 점점 증가하고 있다.

DNS 위협 인텔리전스 효과

랜섬웨어 등 대부분의 지능형 공격에 의한 침해는 사용자가 악성 도메인, C&C, APT 그룹, 다크웹, 새롭게 등록된 도메인, 피싱, 유사 도메인 등에 자신도 모르게 DNS 쿼리를 수행하면서 멀웨어에 감염되거나 데이터 유출 피해가 발생 한다.

기존 방어 체계는 도메인이나 IP에 무심코 접속해 유입되는 악성 트래픽을 해당 프로토콜이나 서비스 보안을 담당하는 여러 솔루션들이 각자의 경계에서 탐지하고 방어하는 구조로, 공격이 더욱 정교해지고 시시각각 변종 멀웨어가 유입 되는 상황에서 보안 시스템들이 완벽하게 방어한다는 확신을 제공하지는 못할 것이다.

보안 운영 조직 역시 제한된 인력 자원으로 인해 매일 유입되는 수많은 보안 이벤트를 식별, 분석, 대응하는데 적지 않은 어려움을 겪고 있다.

뿐만 아니라 여전히 많은 조직이 DNS 패킷을 검사하거나 통제하지 않고 있다. 도메인 쿼리 패킷에 내부 데이터를 실어 탈취하는 DNS 터널링 공격을 비롯해 공격 탐지에 혼선을 주기 위해 도메인 주소를 변경하면서 공격지를 연결하는 DGA 기법을 이용하거나 파일리스 멀웨어, DNS 메신저 등 정교한 기법을 이용한 제로데이 공격은 다른 보안 솔루션이 탐지하기 어렵다. 이는 평판 정보나 시그니처로 탐지하는 영역이 아닌 특화된 모델로 설계한 ML/AI 기반으로 탐지해야 한다.

개인의 프라이버시 보호를 위해 일부 DNS 서비스 사업자들은 DNS 서버와 사용자 사이의 DNS 통신을 암호화하는 DoT(DNS over TLS), DoH(DNS over HTTPS) 기술을 제공하지만 일반 기업은 조직 내부에서 이를 무분별하게 사용 하도록 허용할 수 없는 실정이다. 이에 DoT, DoH 서비스를 적절히 통제하고 전문적으로 대응하는 조직은 많지 않다.

이러한 DNS 관련 보안 위협 중 DNS 서비스를 지능적으로 악용해 데이터를 유출하는 위협에 대한 대책을 반드시 마련해야 한다. DNS 터널링 등을 이용한 데이터 유출 공격은 단순한 시그니처 기술로는 탐지에 한계가 있으며 DGA, DNS 메신저 기법과 같은 지능화된 제로데이 공격은 특화된 ML/ AI 기술로 대응해야 한다. 또한 허용하지 않는 DoT, DoH 서비스를 내부 사용자들의 무분별한 이용도 점검하고 통제해야 한다.

특히 제로 트러스트 보안 전략으로 DNS 서버를 전사적 보안 강화 위한 컨트롤 포인트로 활용하는 게 필요하다. DNS 서버에서 동작하는 악성 도메인에 대한 신뢰할 수 있는 위협 인텔리전스는 서비스나 프로토콜에 관계없이 공격자가 사용자를 유인하고 멀웨어를 배포하는 근거지에 대한 정보를 포함한다. DNS 서버는 이러한 악성 도메인에 대한 쿼리를 차단하기 때문이다.

이를 통해 쿼리가 허용됐을 때 방화벽, IPS, SWG, 이메일 보안, EDR, ATP 솔루션 등으로 분산돼 탐지하게 될 위협 트 래픽 또는 기존 솔루션들을 우회할 수 있는 신종 피싱, 변종 멀웨어, 제로데이 취약점 공격 등의 위협 트래픽을 미리 제거하는 효과를 얻게 된다. 결국 전사적 보안 수준을 효과적으로 높이고 내부 다른 보안 솔루션의 탐지 부담을 줄임으로써 보안 운영팀이 감당하던 수많은 이벤트 처리 업무를 크게 완화할 수 있다.

인포블록스 DNS 보안 솔루션 ‘B1TD’

인포블록스는 20년 넘게 글로벌 DDI 시장을 선도하며 DNS에서 최고 수준의 기술을 보유한 기업으로, 10년 이상 DNS 영역의 위협 정보를 축적한 기술과 노하우로 엔터프라이즈 인프라 전체를 높은 수준으로 보호하면서도 보안을 간소화하는 DNS 기반 보안 솔루션 ‘B1TD(BloxOne Threat Defense)’를 공급하고 있다. 인포블록스 DNS 보안 솔루션의 장점은 다음과 같다.

● 지능형 데이터 유출 탐지 차단

변칙적으로 진화하는 DNS 기반 공격을 조기에 식별할 수 있는 ML/AI 엔진을 설계에 적용했다. DNS 터널링, DGA, 파일리스 멀웨어, 제로데이 등의 최신 공격 기법을 특허 기술이 반영된 5가지 ML 분석 모델을 통해 정확하게 탐지 및 차 단해 DNS 관련 신종 위협을 방어한다.

● 정확도 높은 고급 위협 인텔리전스

인포블록스 TI 그룹은 악성 도메인 식별 정확도를 높이기 위해 위협 인텔리전스를 생성하는 데 수십 가지 알고리즘을 적용한다. 의심스러운 도메인과 IP를 다각도로 심층 분석하고 ML 기반으로 연속적이고 복합적인 변칙 행위를 조합해 정확도 높은 위협지표를 생성한다.

위협 인텔리전스의 중요한 특성은 도메인 관련 위협지표가 기타 다른 보안 솔루션의 위협지표와 중복되는 부분이 매우 적다는 것인데, 정보를 제공하는 각 벤더마다 위협 헌팅, 조사 및 분석 방법, 규모, 해당 분야 전문성이 다르기 때문이다. 따라서 위협 인텔리전스는 고급 위협 피드를 제작하는 분야별 전문 기관 정보들의 통합 적용이 최선이다.

특히 인포블록스의 위협 인텔리전스가 강력한 이유는 다른 보안 솔루션의 위협 인텔리전스보다 직접적인 위협 헌팅 활동으로 공격자, 공격 그룹의 침해 활동 거점 또는 근거지가 되는 도메인, IP 정보를 조사, 분석, 검증한 결과기 때문이다.

● 온프레미스·클라우드·원격·모바일·IoT 기기 보호

인포블록스의 DNS 보안 솔루션은 IoT 장치, 모바일 단말, 기타 모든 엔터프라이즈 단말의 접속 행위를 기록, 추적할 수 있다. 특히 최근 급증하고 있는 IoT 장치를 겨냥한 봇넷 공격 등의 위협에 대비해 위치에 관계없고, 에이전트 설치도 없이 전사적 IoT 장치를 보호한다.

재택 근무자 및 원격 사용자의 단말에 한해 매우 작은 에이전트를 설치해 인포블록스의 보안 DNS로 리졸버를 고정해 동일하게 인터넷 위협을 보호한다.

● 선제 방어와 SOAR 기능으로 보안 운영 인력 부담 경감

인포블록스 DNS 보안이 작동하면 내부로 유입될 수 있는 수많은 보안 경고들이 미리 제거돼 기존 보안 시스템의 가용 성이 높아지고 조사 분석할 방화벽 노이즈나 다른 경고 이벤트가 크게 줄어 보안 운영의 효율성이 대폭 높아진다.

뿐만 아니라 악성 사이트의 DNS 쿼리가 발생했을 때 인포블록스 DNS가 차단 후 주변 방화벽이나 EDR, NAC, ITSM, SIEM에 자동으로 아웃바운드 API 콜을 보내 해당 단말이 다른 통신을 하지 못하도록 통제하는 정책을 자동으로 생성해 적용한다. 이처럼 상황에 맞는 인텔리전스 데이터를 주변 보안 에코시스템과 공유하고 대응 조치를 자동화해 위협 대응 시간과 운영 비용을 절감할 수 있다.

제로 트러스트와 관련해 인포블록스 DDI 시스템은 보안 조직에 가장 높은 형태의 가시성을 부여하는 근본적인 역할을 한다. 인포블록스가 보유한 DNS 쿼리 기록, DHCP IP 할당 기록, 해당 장치 정보 및 로그인 사용자 기록을 통해 하나의 화면으로 네트워크 활동을 개별 장치와 직접 연관시켜 명 쾌한 분석을 제공하기 때문이다.

이를 통해 조직은 위협이 발생하는 위치를 정확히 파악할 수 있는데 인프라와 보안 조직이 하나의 플랫폼으로 전체 자산의 가시성 공유를 통해 민첩한 섹옵스(SecOps) 활동을 가능하게 한다. 또한 위협의 90% 이상이 DDI의 첫 번째 DNS 쿼리를 통해 네트워크에 들어가거나 나감에 따라 DNS 단계에서 보안은 엔터프라이즈 전체의 위협 추적을 단순화하고 가속화하는 핵심 역할을 수행한다