범죄의 새싹부터 자르겠다는 ‘아버지’다운 발상을 구현해

[보안뉴스 문가용] 폴 빅시(Paul Vixie)는 DNS의 아버지라고 불리는 인물로 BIND DNS 서버 소프트웨어를 작성했으며 DNS 표준 여러 개를 창안하기도 했다. 또한 지난 20여년 동안 비영리 단체인 인터넷 시스템 컨소시엄(Internet Systems Consortium)의 창립자이자 의장을 역임했다. 그런 그가 파사이트 시큐리티(Farsight Security)라는 보안전문 업체를 세운 후 기승을 부리는 사이버범죄와의 싸움을 자처했다.

파사이트 시큐리트는 창립과 함께 독특한 감시 체제인 NOD(Newly Observed Domains : 새롭게 관찰된 도메인)도 발표했다. 이 NOD는 새롭게 생성된 도메인에 대한 정보를 실시간으로 제공하는 것으로 여기에는 악성코드의 침투 감지, 화이트리스트, 블랙리스트 등을 포함하고 있다. “아직 시장에 이런 기능을 가진 툴이 없는 것으로 알고 있습니다.” NOD가 이렇게 새로운 도메인을 검사하는 건 ‘멀리 본다’는 회사 이름 그대로 공격이 구체화되기 훨씬 이전 단계에서부터 감지 활동을 시작하겠다는 회사의 전략을 반영하고 있다.

매일 수만 개에 달하는 도메인이 새롭게 태어난다. 그리고 이중 상당수가 스패밍이나 사이버범죄를 위한 것이다. 파사이트의 조사에 의하면 전체 스팸의 10%가 만들어진지 10분도 되지 않는 도메인을 사용하며, 스팸을 발송하는 이들은 주기적으로 새로운 도메인 이름을 등록해 범죄행위가 잠시라도 멈추지 않도록 할뿐 아니라 법의 테두리도 벗어난다. “스팸 발송자의 60%가 만들어진지 하루도 지나지 않은 도메인을 사용합니다.”

빅시는 설명을 계속 이어갔다. “위협정보에 대한 피드를 구할 수 있는 곳은 정말 많습니다만 사실 제대로 작동하는 건 몇 없습니다. 저희는 그 부분을 살짝 틀었습니다. 사용자들에게 스팸이나 사이버공격이 강하게 의심되는 ‘상황’이나 ‘정황’을 팔아서 사용자들이 알아서 후속조치를 취할 수 있도록 하는 것이죠. 그래서 아예 도메인 생성부터 지켜보는 것입니다.”

빅시는 설명을 이어갔다. “저는 80년대와 90년대 대부분을 인터넷에 투자했습니다. 더 크고 사용하기 쉬운 인터넷을 만들고자 했던 것이죠. 하지만 그것에 대한 이득을 가장 크게 본 건 어쩐지 범죄자들인 듯 합니다. 그런 걸 두고 볼 수가 없었습니다. 저희의 최종 목표는 범죄 인프라를 빠르게 무너뜨리는 것입니다. 범죄자들이 애써 구축한 인프라를 재빠르게 없앨 수 있다면 당장의 공격뿐 아니라 범죄에 드는 비용과 노력도 높일 수 있어 예방 차원에도 도움이 될 것으로 예상하고 있습니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>