주요 대형 ISP 타깃...수백만명이 피해 입어

[보안뉴스 호애진] 지난 며칠간 브라질에서 대규모 도메인 네임 시스템(DNS) 캐시 포이즌 공격이 발생한 것으로 알려졌다. DNS 캐시 포이즌 공격이란 DNS 프로토콜 자체의 취약성으로 캐시 DNS에 저장된 쿼리 정보를 위·변조하는 기법을 말한다.

이 공격 기법을 이용해 헤커가 브라질의 주요 대형 인터넷서비스사업자(ISP)를 공격했다고 외신은 보도하고 이로 인해 수백만명이 피해를 입은 것으로 추정되며 현재 용의자 1명이 경찰에 붙잡혔다고 밝혔다.

이 공격은 이미 상당 시간 동안 진행돼 왔고 공격의 성격상 엄청난 파장을 일으킬 수 있다는 것이 전문가들의 의견이다. 이들은 이번 공격이 시작에 불과하며 추후 이런 유형의 공격은 더욱 많아질 것이라고 전망했다.

해커는 주요 대형 ISP를 타깃으로 했다. 그리고 사용자가 해당 ISP를 통해 구글 등의 사이트로 연결을 시도하면 작은 자바 애플릿을 설치하도록 요구하는 사이트로 리다이렉트시키는 것이다. 물론 이 애플릿은 악성코드다. 대부분의 경우 트로이 목마(banker Trojan)로 브라질 해커들이 선호하는 무기다.

브라질 카스퍼스키랩의 파비오 아솔리니(Fabio Assolini)는 이번 공격을 분석한 보고서를 통해 “이른바 ‘Google Defense’ 소프트웨어를 구글 검색 엔진을 이용하는데 필요하다면서 다운로드해 설치하라고 하지만 이 파일은 트로이목마다”라며 “이 IP를 조사했더니 여러 악성 파일과 익스플로잇을 호스팅하고 있었다”고 전했다.

한 보안 전문가는 “이러한 유형의 공격은 세계 어느 곳에서나 일어날 수 있는 것이며 기본적으로 ISP측의 취약점 때문에 발생한다”며 “이번 사태에서 ISP가 유일하게 취할 수 있는 조치는 모든 DNS 서버가 안전하게 보호되고 있는지 확인하는 것”이라고 조언했다.

사용자들이 이러한 공격으로부터 자신을 보호하는 가장 좋은 방법은 구글 등의 전문적 웹사이트들이 제공하는 대체 DNS 서버(alternative DNS Servers)를 이용하는 것이다. 하지만 대체 DNS 서버를 이용할 때에는 가정의 라우터에서 이를 정의하는 게 아니라 각 컴퓨터에서 개별적으로 설정해주는 것이 좋다. 네트워크 장비의 취약점을 악용해 지정된 DNS 서버를 해커가 제어하는 다른 서버로 교체하는 공격도 있기 때문이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>