[데이터넷] 클라우드는 공격표면이 넓기 때문에 어디서나 공격할 수 있다. 그 중에서도 사용자 접근성이 높은 웹은 언제나 공격의 중심이 된다. 그래서 웹 보안, 디도스 방어, API 보안, 봇 방어 솔루션의 진화가 필요하며, 이를 통합한 플랫폼의 수요도 요구된다. 더불어 DNS 보안과 SSL 인증서 관리도 웹 보안의 필수 요소다.<편집자>

초당 7100만 요청 공격하는 VM 봇넷

비즈니스가 클라우드로 이관되면서 디도스 공격 위협도 한층 높아졌다. 대규모 클라우드 인프라를 디도스 공격을 이용해 마비시키는 것은 어려운 일이라는 전제는 이미 오래 전 깨졌다. 공격자는 쉽게 동원할 수 있는 대규모 봇넷을 이용해 테라급 공격을 진행한다. 애플리케이션 기반 공격은 적은 트래픽으로도 서비스를 지연시켜 공격자의 목표를 달성할 수 있다.

돈을 줄 때까지 공격하는 랜섬디도스는 초보적인 공격 방식이지만, 공격자에게 상당한 수익을 안겨주고 있다. 클라우드플레어 조사에서는 분기당 164건의 랜섬디도스가 발생하는 것으로 나타났다.

정교한 HTTP 디도스도 심각한 문제로 떠오르고 있다. 웹사이트와 API 게이트웨이 등 HTTP 인터넷 속성을 대상으로 지속적인 트래픽을 발생시켜 서비스에 장애를 일으키는 이 공격이 지난 몇 달 동안 무작로 증가하고 있다. 공격자가 브라우저의 동작을 정확하게 모방해 방어 시스템을 무력화하는데, 초당 공격 속도를 상대적으로 낮게 유지해 탐지를 피하고 합법적인 트래픽으로 위장하고 있어 방어가 매우 어렵다.

클라우드로 인해 외부에 노출되는 시스템과 가상머신(VM)으로 대규모 봇넷을 만들기가 더 쉬워져 초대형 볼륨 공격도 가능해졌다. VM봇넷은 가상머신의 리소스와 기능을 사용할 수 있어 IoT 봇넷보다 5000배 강력하다. 실제로 발생한 VM봇넷은 초당 7100만 요청의 공격을 단행했다.

급증하는 DNS 타깃 공격

가성비를 중시하는 공격자는 적은 트래픽으로 서비스에 큰 피해를 입힐 수 있는 방법을 늘 고민하고 있으며, 효과적으로 목표를 달성할 수 있는 공격 타깃으로 DNS를 꼽고 있다. DNS는 인터넷 연결을 위한 관문이며, DNS가 중단되면 사용자가 웹사이트에 연결되지 못한다.

그런데 DNS 서버를 보호해야 한다는 인식이 여전히 낮은 편이어서 DNS 타깃 디도스 공격이 빈번하게 발생한다. DNS 트래픽에 중요정보를 숨겨 유출하거나 DNS를 통해 C&C 통신을 해 방화벽을 우회하기도 한다. 클라우드플레어의 ‘2023년 2분기 디도스 공격 동향’ 보고서에서는 이 기간 동안 전체 디도스 공격의 32%가 DNS 프로토콜을 통해 이 공격이 이뤄진 것으로 집계됐다.

평판이 좋은 재귀 DNS 리졸버를 통해 악성 트래픽을 세탁하는 ‘DNS 세탁 디도스’도 유행하고 있다. 공격자는 피해자의 DNS 서버에서 관리하는 도메인의 하위 도메인에 쿼리를 보내는데, 하위 도메인을 정의하는 헤더를 무작위로 지정해 재귀 DNS 서버가 캐시된 응답을 갖지 못한 채 권한있는 DNS 서버로 전달한다. 권한 있는 DNS 서버는 재귀 DNS 서버가 보낸 쿼리를 처리하지 못하는데, 그렇다고 해서 정상적인 재귀 DNS 서버의 모든 쿼리를 차단할 수 없기 때문에 공격에 속수무책이다.

DNS를 이용하는 공격이 크게 늘어나면서 보안 대책 마련이 시급하다는 경고가 잇따르고 있다. 미국 국가안보국(NSA)에서도 DNS 쿼리의 통제로 멀웨어 공격의 92%를 줄일 수 있다는 조사 결과를 발표한 바 있으며, 가트너는 조직이 전체 보안 수준을 높이는데 DNS 단계에서 보안을 적용하도록 권고했다.

DNS 인텔리전스로 위협 대응 역량 높여

인포블록스는 ‘DNS가 연결의 시작’이라는 점을 강조하면서 DNS 인텔리전스로 사이버 위협 대응 역량을 한층 더 높일 수 있다고 강조한다. DNS에는 사용자의 단말 정보, 사용자가 방문한 웹사이트와 URL 정보와 DNS 통신 정보가 있는데, 이 정보에서 피싱·위조 사이트를 찾아내거나 C&C 통신을 통한 악성코드 다운로드 혹은 민감정보 유출을 찾아낼 수 있다.

인포블록스는 DNS 서버에서 알려진 악성 도메인/IP주소, C&C, 봇넷, 다크웹과 유사 도메인 등의 피싱 사이트, 새로 등록된 의심스러운 도메인을 요청하는 쿼리를 차단해 DNS 단계에서 위협 연결 시도를 차단한다. 대부분의 보안 솔루션이 탐지 못하는 DNS 터널링 기법으로 내부 데이터를 유출하는 등, DNS를 이용한 다양한 지능형 공격을 탐지하고 차단한다.

다른 보안 솔루션과 연동해 위협 발생 후 후속 대응을 자동화함으로써 수동 작업에서의 오류를 줄이고 부족한 운영 리소스를 크게 절감해준다. 이로서 제로 트러스트가 목표하는 전체 인프라의 가시성 확보, 위협 차단 및 모니터링, 보안 자동화를 구현하고 있다.

국내 대기업 A는 DNS 터널링 위협 방어를 위해 인포블록스 보안 솔루션을 도입했는데, 그 후 DNS 터널링 공격이 발생했을 때 데이터 유출 정황을 빠르게 식별, 차단한 후 관리자에게 알려 데이터 유출 사고를 막을 수 있었다.

이외에도 수많은 악성도메인, 피싱 진원지, 새로 생성된 유해사이트 등의 도메인을 자신도 모르게 요청하는 사용자 트래픽을 미리 차단한 결과 내부 다른 보안 솔루션에서 발견되는 악성 이벤트가 이전에 비해 크게 줄어든 것을 확인했다.

인포블록스는 전 세계 DDI 솔루션 시장 점유율 50% 이상 차지하고 있으며, 국내에서는 이보다 높은 점유율을 기록하고 있다. 수많은 고객의 다양한 환경에서 디바이스, 사용자 행위의 가시성을 확보하고 전사적 DNS, DHCP 서비스의 가용성을 보장할 수 있는 SaaS 기반 DDI 서비스도 제공한다. 온프레미스 데이터센터, 멀티 클라우드, 원격지사, 재택근무자를 위한 전사적 DDI 인프라를 클라우드 기반에서 배포하고 하나의 콘솔로 전체 자산을 통합 관리할 수 있게 한다.

인포블록스는 강력한 도메인 위협 인텔리전스 기반의 DNS 보안 솔루션으로 주변 보안 솔루션, SIEM, SOAR 등에 아웃바운드 API를 전달해 보안 침해 시 대응을 자동화할 수 있게 도와준다. 이를 위해 40여 글로벌 보안 솔루션과 파트너십을 맺고 확대하고 있다.

단축되는 SSL 인증서 유효기간 … 자동 관리 필요

공격에 가장 많이 사용되는 피싱은 위조된 웹사이트를 통해 사용자의 계정정보와 개인정보를 탈취한다. 피싱은 신뢰할 수 있는 이메일로 위장하며, 정상 사이트와 구분할 수 없을 만큼 정교하게 제작된 피싱 사이트로 피해자를 유도한다. 최근 피싱 사이트는 AI를 이용해 정상 사이트와 메인 페이지는 물론이고 하위 카테고리까지 동일하게 만든다. 쉽고 빠르고 피싱 사이트를 제작할 수 있는 키트를 지하시장에서 저렴하게 판매하고 있어 피싱 공격이 그 어느 때 보다 활발하게 전개되고 있다.

피싱 피해를 막기 위해 ‘사용자가 주의해야 한다’는 주장만 되풀이해서는 안된다. 최근 피싱 사이트는 보안 전문가도 속을 만큼 구분하기 어렵다. 피싱 사이트에도 SSL 인증서가 적용돼 있어 인증서 유무만으로 피싱 사이트인지 아닌지 분별하기도 쉽지 않다.

피싱 사이트는 빠르게 제작되며, 오랫동안 활동하지 않기 때문에 사업장 소재지와 비즈니스를 세부적으로 확인하는 OV 인증서나 EV 인증서를 발급받지 못하고, 대체로 무료 혹은 저가로 발급받을 수 있는 DV 인증서를 사용한다. 신뢰할 수 있는 사이트지만 민감정보 입력을 요청한다면 사이트에 적용된 인증서를 확인하고, DV 인증서일때는 해당 사이트가 실제로 신뢰할 수 있는 것인지 다시 확인하고 이용하는 것이 좋다.

웹사이트에 적용되는 SSL/TLS 인증서는 사용자와 도메인 간 데이터를 암호화해 전송구간의 데이터를 보호한다. 소유권과 URL을 소유한 기업과 개인의 신원을 검증해 신뢰수준을 알려주는 역할을 한다. SSL 인증서는 한 번 발급받았다고 해서 영원히 효력을 갖는 것이 아니다. 2020년부터 SSL 인증서 유효기간은 1년으로 제한됐으며, 구글은 이를 90일로 줄이자고 주장하고 있어 조만간 유효기간이 다시 변경될 것으로 보인다.

SSL 인증서 유효기간이 짧아지면 인증서 관리 문제가 심화될 수밖에 없다. 인증서가 만료되면 사이트 접속이 중단되기 때문에 서비스 연속성을 위해 인증서 관리를 체계적으로 해야 한다. 그런데 대부분의 기업이 인증서 관리 프로그램을 갖고 있지 않으며, 관리한다 해도 엑셀파일을 이용한 체크리스트로 사용할 뿐이다. 인증서 관리 전담인력도 없어서 갱신 시 어떤 프로세스를 거쳐야 하는지 매번 혼란을 겪게 된다.

디지서트는 인증서 관리 플랫폼 ‘트러스트 라이프사이클 매니저’를 통해 인증서 관리를 자동화하고 인증서로 인한 비즈니스 중단이나 침해를 사전에 제거한다. 글로벌 2000대 기업 80%, 세계 최대 은행 97%에 공급한 디지서트 ‘서트센트럴(CertCentral)’ 인증서를 자동으로 관리할 수 있는 트러스트 라이프사이클 매니저는 마이크로소프트 CA, AWS 프라이빗 CA 등 여러 CA에 대한 수명주기 관리도 지원한다. 서비스나우와도 통합돼 기존 IT 서비스의 워크플로우를 지원한다.