[보안뉴스 호애진] 네트워크 트래픽 도청은 해킹 기법 중 하나로 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿듣는 것이다.

하나의 시스템이 공격당하게 되면 그 시스템을 이용하는 네트워크를 도청할 수 있고 다른 시스템의 ID와 패스워드를 알 수도 있다.

이에 DNS 서비스 업체인 OpenDNS는 보안을 강화하기 위해 고객과 OpenDNS 서버 간의 모든 트래픽에 대한 암호화를 제공하는 오픈 소스 도구를 개발했다.

DNS란 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 TCP/IP 네트워크 서비스다. 그러나 일반 텍스트 형태로 전달되기 때문에 보안 취약성을 내재하고 있다.

DNSCrypt는 공격자들이 일반 텍스트 DNS 트래픽에 대한 도청을 할 수 있게 해주는 다양한 공격에 대응하기 위해 고안됐다. 이는 고객 서버와 OpenDNS 시스템 간의 트래픽 암호화를 위해 타원 곡선 암호(elliptic-curve cryptography)를 사용한다.

OpenDNS의 CEO인 데이비드 울레비치(David Ulevitch)는 블로그를 통해 “모든 DNS 트래픽을 암호화한다는 것은 시스템 전반에 대한 근본적 변화이자 강력한 개선을 의미한다“면서 ”DNS 트래픽 암호화가 유일한 해결책이 될 수 없다. DNSSEC 등이 제공하는 도메인에 대한 검증 및 확인이라는 문제가 여전히 존재하기는 하지만 이는 보안 강화를 위한 의미 있는 첫걸음이 될 것“이라고 밝혔다.

DNSCrypt는 현재 Mac OS X에서만 이용 가능하다. OpenDNS는 DNSCrypt에 대해 이 도구가 DNSSEC를 대체하는 것이 아니라 이를 보조하기 위한 것이라고 강조했다.

DNSSEC은 도메인 네임 시스템(DNS)이 갖고 있는 보안 취약점을 극복하기 위한 DNS 확장 표준 프로토콜이다. 하지만 이는 사실상 DNS 레코드에 대한 암호화를 제공하지 않는다. DNSSEC에 의해 서명된 레코드 또한 마찬가지다. 따라서 DNS 트래픽 전체를 암호화해야 할 필요성이 존재하는 것이다.

OpenDNS 측은 “DNSSEC와 DNSCrypt는 서로 충돌하지 않기 때문에 완벽하게 협력 관계를 추구할 수 있다”며 “DNSCrypt는 DNS 레코드의 부분 집합에 대한 서명 및 확인 기능을 제공하는, DNS 트래픽과 DNSSEC를 둘러싼 래퍼(wrapper)로 보면 된다”고 설명했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>