연결의 시작 DNS, 공격도 시작…DNS 인텔리전스·위협 헌팅으로 보안 선제 차단
[데이터넷] “사이버 공격의 92%는 어떤 프로토콜이 사용될까?”
김현규 인포블록스 코리아 차장은 ‘제 5회 클라우드 보안 & SECaaS 인사이트 2023’의 두번째 세션을 시작하면서 이 질문을 던졌다. 그 답은 DNS다. 모든 연결의 시작은 DNS이며, 공격도 DNS를 이용한다.
김현규 차장은 ‘멀티 클라우드 환경에서 전사 가시성 확보와 위협 방어 방안’이라는 주제로 진행한 세션에서 “DNS는 네트워크의 모든 것을 연결할 때 필요한 인프라이며, 웹사이트에 접속하거나 이메일을 보내고, 애플리케이션에 접속하는 등의 작업을 수행하기 전에 최종 호스트에서 가장 먼저 거쳐야 하는 홉이기 때문에 특정 시점에 어떤 사용자와 장치가 어떤 리소스에 액세스하고 있는지에 대한 정보가 저장돼 있다. DNS의 정보를 사용하면 디바이스와 인프라에 대한 위협 인텔리전스를 한층 더 정교화 할 수 있다”고 설명했다.
그는 미국 NSA 조사에서 프로텍티브 DNS(PDNS)를 사용해 사이버 공격의 92%를 줄일 수 있었다는 조사 결과를 인용하면서 일반 DNS를 PDNS로 진화시켜야 한다고 강조했다. PDNS는 DNS 위협 인텔리전스, AI/ML 기반 분석과 정책 엔진을 사용해 표준 DNS 서버를 보안 제어로 전환하는 것을 말한다.
쉽게 예를 들어 설명하면 사용자가 악성 사이트나 피싱 사이트에 연결을 시도할 때 DNS 블랙리스트와 위협 인텔리전스를 통해 인지하고 연결을 차단해 NGFW·SWG보다 먼저 사용자를 보호한다. 위협 식별을 앞단계로 이동시켜(Shift-Left) 제로 트러스트 관점의 보안 제어가 가능하도록 한 것이 PDNS다.
김현규 차장은 “미국, 영국, 호주, EU 등 주요국 정부와 버라이즌, 보다폰 등 글로벌 통신사들이 위협대응 전략으로 PDNS 표준화를 진행하고 있다. APJ 국가들도 PDNS를 검토하고 있으며, 인포블록스는 PDNS 전환을 돕고 있다”고 설명했다.
선제적인 위협 차단 가능한 PDNS
클라우드 환경에서 DNS는 단순히 사용자와 웹사이트를 연결시켜주는 내비게이터의 역할만을 수행하지 않는다. DNS에는 가장 많은 위협 정보가 기록되기 때문에 DNS 위협 헌팅과 인텔리전스를 이용해 위협에 대한 라이프사이클 초기 단계에서 의심스러운 활동을 파악하고 대응할 수 있게 한다. 디코이독, 피싱, 스피어피싱, 브랜드 사칭, 혹은 이러한 활동과 연관된 것으로 의심되는 도메인에 대한 통제와 추적이 가능하다.
인포블록스를 이용한 사고대응 사례를 설명하면, 보안 이벤트에 소스 IP가 식별됐을 때 조사분석 조직에서 이 주소를 인포블록스 DDI에서 찾으며, 인포블록스 DNS 보안 솔루션 ‘블록스원 쓰렛 디펜스(B1TD)’에서 관련 정보를 찾아 통제하고 치료할 수 있다.
DDI로 제로 트러스트 보안 이행
인포블록스의 DNS, DHCP, IPAM(DDI)는 네트워크와 보안을 통합해 멀티 클라우드 사각지대를 해결한다. 멀티 클라우드를 운영할 때 네트워크, 클라우드, 시스템 조직에서 관리하는 범위가 체계적이지 않아 사각지대가 발생하거나 정책이 충돌하고 조직간 커뮤니케이션 혼란으로 인한 문제가 발생한다. DDI는 멀티 클라우드의 모든 인프라를 탐색하고 다양한 엔드포인트를 식별하며, 리소스 전체에 대한 가시성을 제공해 잘못된 설정과 구성오류 등을 확인해 수정할 수 있게 한다.
인포블록스 DNS는 멀티 클라우드의 분산된 DNS를 일관된 데이터로 관리해 하이브리드 환경 전체의 DNS 운영을 자동화하며, 에러를 줄이고 트러블 슈팅을 간소화한다. 자동화된 IPAM으로 멀티 클라우드 전체 IP 공간을 하나의 통합 툴로 관리할 수 있으며, 넷옵스(NetOps), 섹옵스(SecOps) 사일로 해제와 생산성을 향상시킬 수 있다. 또한 다양한 보안 툴과 연동해 악성 위협 차단과 후속 대응을 자동화하며, 엔터프라이즈 모든 사용자와 IT 장치에 같은 수준의 보안을 적용할 수 있게 한다.
김현규 차장은 “인포블록스 DDI 솔루션은 프라이빗·퍼블릭 클라우드와 쉽게 통합돼 클라우드 네트워크 내 엔터프라이즈급 DDI를 배포하고 클라우드 전반의 DDI 관리를 중앙집중화한다. 이를 통해 고객이 가장 적합한 클라우드 플랫폼을 선택할 수 있는 폭넓은 유연성을 확보할 수 있게 돕는다”고 설명했다.
