아키텍처 혁신으로 DNS 가용성·보안 강화
상태바
아키텍처 혁신으로 DNS 가용성·보안 강화
  • 데이터넷
  • 승인 2018.12.28 16:08
  • 댓글 0
이 기사를 공유합니다

‘DNS 가디언’, 캐시·리커시브 기능 분리해 가용성 강화 … 행위분석 기술로 DNS 위협 차단
▲ 제이슨 이오 이피션트IP 아태지역 솔루션 아키텍트 jason.yio@efficientip.com

최근 공격자들은 보안 시스템을 우회해 DNS를 통해 데이터를 유출하고 있다. 그러나 대부분의 DNS 보안 솔루션은 디도스 차단·블랙리스트 기반 멀웨어 탐지 등 피상적인 보안 기능만을 제공한다. 지능적으로 보안 솔루션을 우회하는 DNS 악용 공격에 대응할 수 있는 기술이 시급히 요구된다. 이피션트IP의 ‘DNS 가디언’은 상황인지·행위분석 기술로 DNS 공격을 차단하며, 캐시·리커시브 기능을 분리해 DNS 가용성을 보장할 수 있다.<편집자>

DNS(Domain Name Services)를 이용한 데이터 유출 공격이 늘어나고 있다. DNS를 이용하면 고도의 보안을 갖춘 데이터센터 아키텍처 내에 위치한 장치라고 해도 공격자가 손쉽게 접근해 데이터를 훔칠 수 있다.

데이터 보안이 상당한 노력을 요하는 실질적인 도전과제로 떠오른 데에는 두 가지 주요 요인이 있다. 많은 기업들이 클라우드 서비스, 커넥티드 디바이스, 차세대 데이터센터 등을 도입하면서 네트워크 보안이 좀 더 까다로워졌다는 점을 들 수 있다. 이에 더해 사이버 공격 역시 날로 교묘해지고 있다. 그만큼 공격 탐지와 예방에 어려움이 따른다.

IT 서비스의 원활한 운영, 온프레미스·클라우드 환경에서의 네트워크 라우팅 접근, 데이터 기밀성은 조직의 사활이 달린 중요한 문제다. 이러한 이유로 DNS가 사이버 범죄의 주 타깃이 되고 있다. 업종을 불문하고 DNS 공격이 만연해지자 기업은 차세대 방화벽, IPS, 데이터 유출 방지(DLP) 같은 전통적 보안 시스템만으로는 DNS를 보호하기에 불충분하다는 사실을 깨닫게 됐다.

DNS가 데이터 유출의 주요 통로로 이용되고 있으며, 공공부문과 민간부문 모두에서 많은 조직들이 데이터 침해를 막기 위한 DNS 보호 필요성을 인정하고 있다. 이런 점에서 볼 때 기업들이 전통적 보안 시스템의 불충분함을 직시하면서 DNS를 통한 데이터 유출을 방지하는 데 알맞은 투자를 우선적으로 고려한다는 사실은 고무적이다.

▲ DNS 이용한 데이터 유출 방법

DNS 데이터 유출, 정상 쿼리로 위장
DNS 데이터 유출은 흔히 일반 네트워크 트래픽과 상당히 흡사하기 때문에 탐지가 어렵다. 따라서 데이터가 유출되고 나서야 상당 규모의 데이터 손실 사고가 발생했음을 인지한다. 이런 점에서 DNS는 사이버 범죄자가 데이터를 유출하는 수단 중 하나가 됐다.

DNS를 이용해 데이터가 유출되는 경로를 설명하면, 먼저 사용자 쿼리를 통해 사이버 범죄자의 DNS 서버로 파일 트랜잭션을 수행하게 한다. DNS 쿼리의 목적은 도메인 이름을 IP 주소로 변환하는 것이다. IP 주소 회신을 위해 사용자의 쿼리는 루트 서버, TLD(Top Level Domain) 서버를 거쳐 최종적으로 권한 있는 서버(Authoritative Server)에 도달해 답변을 요청한다. 사이버 범죄자는 이와 같은 DNS 쿼리의 기본 개념을 악용해 수신된 모든 DNS 쿼리를 저장·컴파일하고 응답은 제공하지 않는다.

대부분의 보안 솔루션은 디도스 공격 방어, 블랙리스트 기반 멀웨어 탐지 등 피상적인 수준에서 DNS 보안을 제공한다. 그러나 도메인 이름을 새로 구매해 등록하기까지는 몇 분이 채 걸리지 않다.
신규 도메인 이름에는 악성 트래픽이 포함돼 있지 않으므로, DNS 쿼리가 탐지를 피해 방화벽이나 보안 웹 게이트웨이 시스템 솔루션 등을 자유롭게 드나들 수 있다. 단일 파일의 DNS 트랜잭션은 탐지를 피하기 위해 레이턴시가 작동하며 패킷 사이즈로 축소될 수 있다. 이러한 이유로 기존 보안 솔루션은 악의적인 활동을 포착하는 데 부적합하다.

이러한 솔루션은 서비스 연속성 보장과 데이터 유출 방지 측면에 특화된 것이 아니기 때문에 컨텍스트에 대한 개념 없이 DNS 트래픽에 대한 주변 가시성만 제공한다. 공격을 완화하는 데 걸리는 평균 시간은 40% 증가해 7시간에 이르며, 막대한 시간과 노력이 낭비된다. 적절하고 효과적인 대응 방안이 이뤄지는 것도 아니다.

하지만 많은 조직이 현재까지도 올바른 공격 대응책을 마련하지 않고 있다. 다시 말해 DNS 보호에 사용되는 기술이 제대로 활용되지 못하는 것이다. 각 조직의 대응 실태를 감안할 때 올해 같은 경우 DNS 공격의 여파는 더욱 심각해진다.

캐시-리커시브 분리해 DNS 보안 강화
코닉오토메이션이 국내에 공급하는 이피션트IP의 DNS 보안 솔루션 ‘DNS 가디언(DNS Guardian)’은 아키텍처 혁신을 통해 DNS 캐시를 리커시브 기능과 분리함으로써 서비스 전반의 보안을 강화한다. DNS가 공격 받는다 해도 각 기능은 자체 특성에 따라 개별 보호되기 때문에 부작용은 최소화하면서 서비스 가용성을 보장할 수 있다.

● DTI 기술
DNS 가디언은 DNS 트랜잭션 인스펙션(DTI) 기능을 제공하며, 실시간으로 가동되면서 성능에 영향을 끼치지 않는다. 모든 DNS 트랜잭션에 대해 프로토콜 핵심부에서 다음과 같이 전체 쿼리 교환 시퀀스를 검사한다.
- 조각화, 쿼리, 페이로드·관련 답
- 트랜잭션 소요 기간·크기

DNS 가디언은 트랜잭션 검사를 통해 클라이언트 컨텍스트를 파악할 수 있으며, 주변 트래픽 가시성이 제한된 시그니처 기반 보안 시스템의 한계를 극복했다. 이는 진정한 의미의 DNS 분석과 행위 위협 탐지 기능을 제공하는 데 있어 핵심적인 역할을 한다.

● 행위 위협 탐지 위한 고급 DNS 분석
DNS 가디언은 DNS 트래픽에 대한 심층적 가시성을 제공하며, 시간의 흐름에 따른 DNS 트래픽을 정확하게 분석한다. 글로벌·개별 클라이언트 단위로 다음과 같은 최첨단 통계 자료를 실시간으로 수집하고 저장한다.
- 캐시 누락률/적중률, 변형된 요청, 조각화, 재귀적 시간, 반환 코드 분포, 레이턴시 등
- DNS 대역폭 소비
- 상위 목록 : 클라이언트, 요청 도메인, 반환 코드(NX 도메인, SERVFAIL 등), 쿼리 유형

● 적응형 보안 위한 스마트한 선택
DNS 가디언은 고급 분석 기능을 제공하며, 특정 공격 유형에 맞는 대응책을 적시에 활성화할 수 있다. 이피션트IP의 적응형 보안(Adaptive Security) 솔루션은 DNS 서비스 연속성과 데이터 기밀성 모두를 지킬 수 있다.
- 공격 소스 IP 차단
- IP 소스별 DNS 트래픽 속도 제한
- 악성 트래픽의 소스 IP 격리(자체 개발·특허)
- 액티브 레스큐(Active Rescue) 모드 : 신원미상의 공격 중에도 서비스 연속성을 보장

격리(Quarantine) 모드의 경우, IP 주소를 악성 트래픽으로부터 분리해 정상 트래픽이 캐시 데이터에 대해서만 접근이 자유롭도록 하면서 리커시브 요청은 차단한다. 그 결과 외부 공격으로부터 서버를 보호하고 정상 트래픽까지 차단하는 위험을 줄인다.

그러나 슬로우 드립, 고도분산형 공격과 같은 극단적인 상황에서는 공격의 원인이 밝혀지지 않을 수도 있다. DNS 가디언은 서버 용량 소진 위험을 탐지해 레스큐 모드를 즉각 활성화한다.

이와 같은 종합적인 대응책을 통해 캐시 요청을 받은 DNS가 클라이언트에 100% 도달할 수 있게 한다. 나아가 데이터 유효성 업데이트가 불가능한 상황에서도 가장 중요한 비즈니스 애플리케이션·서비스는 100% 사용할 수 있다.

이피션트IP는 글로벌 트래픽 추이와 클라이언트 행동과 DNS 기능 수행 등을 고려하는 실시간 멀티팩터 트래픽 분석을 제공한다. 더불어 고유의 가시성을 통해 최첨단 DNS 보안 분석 역량을 바탕으로 월등한 수준의 행동 위협 탐지 성능을 제공한다.

알려진 공격 패턴을 넘어 가시성을 확장하며 오래된 블랙리스트 메커니즘을 신속히 개선함으로써 DNS 터널링, 팬텀, 슬로스 도메인 공격(Sloth Domain Attack) 등의 첨단 지능형 공격을 파악할 수 있다.

▲ DNS 가디언 혁신 보안 프레임워크

DNS 보호, 네트워크 보안 필수 요소
기업 네트워크 전반에서 민감한 데이터를 보호하고 서비스 가용성을 보장하기 위해 이피션트IP는 다음과 같은 5단계 방안을 제안한다.

● 도메인 신뢰도에 대한 위협 인텔리전스 성능 향상: 글로벌 트래픽 분석에서 도출한 인사이트를 제공하는 데이터 피드를 사용한다. 멀웨어를 차단하고 데이터 유출 시도를 완화해 내·외부 공격으로부터 사용자를 보호한다.
● 위협 가시성 증강: 행동 위협 탐지를 위해 실시간 컨텍스트 인식 DNS 트랜잭션 분석을 사용한다. 모든 유형의 위협을 탐지하고, 데이터 유출을 방지하며, GDPR이나 미국 클라우드 법 등 규제 준수 요건을 만족시킬 수 있다.
● 적응형 대응책 적용: 점증적 보안 대책을 운용한다. 공격 소스를 식별할 수 없을 때에도 비즈니스 연속성을 보장하고 정상 트래픽을 차단하는 위험을 완화할 수 있다.
● 클라우드·차세대 데이터센터 보안 강화: 보안 목적에 특화된 DNS 보안 솔루션을 적용해 클라우드 제공업체가 제시하는 솔루션 제약을 극복한다. 클라우드 서비스·앱에 대한 액세스를 지속할 수 있고, 클라우드에 저장된 데이터가 유출되는 것을 방지한다.
● 글로벌 네트워크 보안 솔루션에 DNS 통합: 악성 또는 특이한 활동을 탐지하고 보안 에코시스템 전반에 정보를 공유한다. 포괄적 네트워크 보안을 통해 점증하는 네트워크 위험에 대처하고 위협의 내부 이동을 막을 수 있다.

기존 보안 솔루션이 실패하는 5가지 이유

- 마이그레이션이 의심되는 기기 차단이 제한적이다. 정상 트래픽까지 차단되는 경우가 잦다.
- 성능이 초당 백만 쿼리 미만으로 제한돼 대규모 공격을 처리하지 못한다.
- 새로운 지능형 위협 대응에 취약하며, 제로데이 취약점에 속수무책이다.
- 악성 DNS 트래픽 탐지 능력이 미비하고, 데이터 도난에 대한 보안책이 제한적이다.
- 식별되지 않은 소스의 공격을 차단할 수 없으며, 간헐적이고 지속적이거나 잠행성인 공격을 막는 데 효과적이지 못하다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.