감시 소홀한 DNS 트래픽에 숨어있는 수상한 것들

[보안뉴스 문가용] 해커들은 기회가 날 때마다 망이나 프로토콜을 가리지 않고 두드려본다. 그렇기 때문에 보안담당자들은 끊임없이 감시장비, 호스트, 네트워크를 감시해 수상한 활동이 있는가 파악해야 한다.

잘 해봐야 어디 가서 티도 못 내는 일이면서 단 한번의 잘못은 대단히 크게 부각되는 불공평한 직업이다. 호스트 침입을 감시하고 엔드포인트를 보호하는 건 이런 보안담당자들에게 필수 작업이다. 하지만 DNS(Domain Name System) 트래픽까지 감시할 여력이 있는 사람은 얼마 없을 것이다.

왜 하필 DNS인가?

말했다시피 해커들은 기회가 날 때마다 망이나 프로토콜을 가리지 않고 두드린다. 그리고 여기엔 DNS도 당연히 포함된다. 해커들은 나중에 처리가 가능한 도메인 이름을 등록해서 스팸을 뿌리고 봇넷을 관리한다. 그리고 훔친 도메인을 가지고는 피싱이나 멀웨어 다운로드 페이지를 호스팅한다. 악성 쿼리를 주입시켜 네임 서버에 침투하거나 이름 분석을 방해한다. 엉뚱한 리스폰스를 주입시켜 리졸버 캐시를 감염시키거나 DoS 공격을 심화시킨다. 심지어 데이터 유출이나 멀웨어 업데이트를 위해 DNS를 은닉 채널로 활용하기까지 한다.

그렇기 때문에 DNS를 감시하는 것도 방어에 도움이 되는 것이다. 물론 DNS에 대한 이런 수상한 활동을 일일이 적발하기는 힘들 것이다. 하지만 방화벽이나 네트워크 IDS, 이름 분석기 등을 활용해 어느 정도는 DNS를 감시하는 게 가능하다.

어디에 초점을 맞춰야 하나?

DNS 쿼리 구성이나 트래픽 패턴을 보면 수상한 활동 같이 보이는 것들을 발견할 수 있다. 예를 들어 스푸핑된 주소나 사용 허가를 내주지 않은 주소를 발견했는데 때마침 DNS 쿼리나 TCP(UDP가 아니라)를 사용하는 DNS가 비정상적으로 많을 때는 DDoS를 의심해봄직하다.

DNS 쿼리는 네임 서버나 이름 분석기가 가지고 있는 취약점이 공격당하고 있는 것이 수신 IP 주소에서 감지될 때 이상한 모양으로 나타난다. 혹은 네트워크 상의 기기가 오작동하고 있는 것일 수도 있다. 이런 문제가 나타나는 이유는 보통 멀웨어가 활동하고 있거나 멀웨어 제거가 신통치 않았기 때문이다.

이미 알려진 악성 도메인의 이름 분석을 요청하거나 범죄와 연루된 봇넷 관련 DGA(도메인 생성 알고리즘)에서 흔한 문자열이 들어있는 DNS 쿼리, 혹은 사용을 허가한 적이 없는 리졸버에 대한 쿼리가 발생한다는 건 네트워크의 호스트가 감염됐다는 뜻일 확률이 대단히 높다.

DNS 리스폰스(Response)의 길이 및 구성 문자열을 가지고 수상한 행위를 적발하는 등 DNS 리스폰스를 관찰하는 것으로도 수상하거나 악성 데이터가 호스트로 전달되고 있는 신호를 잡아낼 수 있다. 리스폰스 메시지가 비정상적으로 크면 증폭 공격을, 리스폰스 메시지가 Answer나 Additional Sections 등 수상하면 캐시 오염이나 은닉 채널을 의심해봐야 한다.

권한 내에서 퍼블리싱한 IP 주소와는 다른 주소에서 오는 도메인, 호스팅을 허가한 적이 없는 네임 서버에서 오는 리스폰스, 네임 오류가 떠야 정상인데 리스폰스에서 정상으로 허가될 때는 도메인 이름이나 등록 계정이 가로채기 당했거나 DNS 리스폰스에 누군가 개입하고 있다는 가능성을 시사한다.

방송용으로 확보됐기 때문에 사용이 불가능한 IP 주소에서 오는 DNS 리스폰스, 비표준 포트에서 나타나는 DNS 트래픽, ‘이름 오류’를 포함한 리스폰스가 비정상적으로 많을 때는 봇넷 현상, 말웨어에 오염된 호스트를 의심해봐야 한다. 이밖에도 DNS를 감시함으로써 많은 공격들을 감지하는 것이 가능하다. 그것도 실시간으로 말이다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>