[데이터넷] 인포블록스 ‘ADP(Advanced DNS Protection)’는 DNS DDoS, 익스플로잇, NXDOMAIN, 데이터 유출, DNS 하이재킹 등 광범위한 DNS 공격을 방어한다. 특히 인프라스트럭처 오버프로비저닝이나 간단한 응답 속도 제한에 의존하는 접근 방식과 달리 정상적인 쿼리에만 응답하면서 DNS 공격을 지능적으로 감지하고 완화한다. 이처럼 업계 최고 수준의 인포블록스 ADP는 네트워크 안정성을 한 차원 높인다.
DDoS 공격은 여전히 활발하게 일어나고, 피해가 큰 공격 방식 중 하나다. 지난 2월에는 국내 호스팅 기업의 DNS에 DDoS 공격이 감행되며 약 3시간 동안 그룹웨어 서비스 장애는 물론 DNS를 사용하는 고객들의 사이트조차 접속이 어려웠다. 국내 대학의 DNS도 DDoS 공격을 받으며 9시간 동안 네트워크 장애가 발생하기도 했다.
이런 사례는 기업이나 금융권 등 전 산업에 걸쳐 꾸준히 발생하고 있다. 보안에 취약한 사물인터넷(IoT)을 이용해 손쉽게 공격이 가능해 조직 규모와 상관없이 공격 대상으로 지목되며 ISP마저도 종종 장애가 발생하기도 한다. 해외에서도 DNS 서비스를 제공하는 기업들이 공격받으며 서비스 이용 고객에게 동시다발적으로 영향을 끼친 사건은 매우 많다. 최근에는 랜섬 DDoS, 서비스형 DDoS 등을 활용한 공격들이 더욱 활개치고 있다.
DDoS 공격 주표적 ‘DNS’
여러 조사기관의 보고서에 따르면 DNS 공격은 DDoS 공격 벡터에서 항상 상위권에 머물고 있다. 문제는 매년 DNS 트래픽이 증가하고 있고, DNS 공격 역시 나날이 늘고 있다는 사실이다. 여기에 더해 기술 변화와 사용 목적 다양화로 인한 TCP 트래픽이 증가하며 DNS 서버 부하로 이어지고 있고, 이를 이용한 공격이 과부하를 가져오는 악순환이 계속되고 있다.
DNS는 비즈니스 운영에 필요한 미션 크리티컬 네트워크 연결을 제공하기 때문에 모든 인프라의 기초다. 특히 DNS는 공개돼 있다는 특성과 함께 핵심 인터넷 서비스라는 점을 감안하면 매력적인 공격 대상이다.
외부 DNS 서버가 다운되면 전체 네트워크가 인터넷에서 차단되고, DNS 중단은 이메일, 웹사이트, VoIP, SaaS 등과 같은 중요한 애플리케이션의 서비스의 장애로 이어진다. 결국 DNS는 비즈니스를 온라인 상태로 유지하는 데 필요한 핵심 인프라이기 때문에 DDoS 공격을 위한 최고의 표적이다. 공격에 성공한다면 기업은 고객과의 신뢰 관계 상실은 물론 천문학적인 손실도 입힐 수 있다.
진화 거듭하는 위협
DNS 기반 DDoS 공격은 찾아내기 어려울 뿐만 아니라 움직이는 표적과 같아 계속해서 모습을 바꿔가며 내외부 DNS 서버에 영향을 미친다. 공격자는 증폭/반사, 서비스 장애 공격을 비롯해 단순한 NXDOMAIN(Non-Existent Domain) 등의 기본적 방법부터 봇넷, 연쇄 반응, 오작동 도메인 등의 보다 정교한 공격까지 광범위한 기법을 이용한다.
이러한 위협은 내외부에서 유입될 수 있다. DNS 보안에는 아직 소홀한 경우가 많다는 점을 공격자들이 잘 알고 있기 때문에 DNS 기반 공격은 점점 증가 추세에 있다. DNS는 반사/증폭 공격에 가장 많이 이용되는 프로토콜이며, http와 함께 애플리케이션 계층 DDoS 공격에서 가장 많은 표적이 되는 서비스인 만큼 특정 보안 방어 전략이 아닌 하나의 보안 계층으로 빨리 도입해야만 감수해야 하는 위험을 줄일 수 있다.
안정적인 운영 지침
DDoS 방어 솔루션이 있어도 DNS에 특화된 솔루션 도입도 필요하다. 볼륨메트릭 방어만이 아닌 DNS 프로토콜이나 서버에 가해지는 전반적인 공격에 대응 가능한 보안이 탑재된 DNS 솔루션인지 확인해야 한다.
핵심적으로 살펴야 할 사항은 단순한 트래픽 조정으로 DDoS 공격을 방어하는 솔루션은 전체적인 비율을 줄이는 효과만 가져오므로 정상 요청 또한 동일한 비율로 삭감된다. 따라서 트래픽 분석을 통해 비정상적인 트래픽 차단과 정상적인 요청에 대한 응답이 가능한 솔루션인지 검토가 필요하다.
DDoS 공격은 하루가 멀리 진화하고 있어 공격 패턴에 대응하는 지속적인 룰 업데이트가 중요하다. 또한 매년 나오는 DNS 서버 취약점과 관련해 빠른 업데이트를 제공하는 벤더를 우선 고려해야 하고, 공격이 들어온다면 정교한 모니터링과 알림으로 즉각 현황을 파악할 수 있는 안정적인 운영이 가능한 솔루션을 선택해야 한다.
기존의 다양한 사례들을 참고하면 단일 외부 DNS 공급자에 의존하는 것은 서비스 안정성이 떨어진다. 대신 외부 권한 네임 서버 역할을 할 수 있는 온프레미스 어플라이언스를 구축하고 외부 DNS 공급자를 도입하는 것이 바람직하다. 이는 인터넷 연결을 이중화한 것과 비슷해 DNS 세트 중 하나가 다운되거나 공격을 받아도 DNS 서비스를 이어갈 수 있다.
진보된 DNS 보안 솔루션
인포블록스는 중요한 DNS 서비스 보호를 위해 진보된 기능을 제공해 DNS에 대한 공격이 발생해도 비즈니스가 상시 가동되고 운영되도록 고가용성을 보장한다. DDI(DNS, DHCP, IPAM) 기반의 네트워크 컨텍스트 정보를 통해 누가 네트워크를 사용하고 있는지, 어떤 장치에 있는지, 공격에 관한 세부 정보에 대한 중앙 집중식 가시성을 제공해 신속한 대응을 가능하게 된다.
인포블록스 ADP는 DNS DDoS, 익스플로잇, NXDOMAIN, 데이터 유출, DNS 하이재킹 공격 등과 같은 광범위한 DNS 공격을 방어한다. 인프라스트럭처 오버프로비저닝이나 간단한 응답 속도 제한에 의존하는 접근 방식과 달리 ADP는 정상적인 쿼리에만 응답하면서 DNS 공격을 지능적으로 감지하고 완화한다. 또한 보안 패치를 배포할 필요 없이 지속적으로 업데이트되는 위협 인텔리전스를 사용해 적법한 쿼리에만 응답하면서 지능적으로 DNS 공격을 탐지하고 완화한다.
업계 최고 수준의 인포블록스 ADP는 네트워크 안정성을 한 차원 높여 중요한 인프라와 비즈니스가 항상 작동하도록 보장한다.
