• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인터넷 구조 전체의 아킬레스 건 DNS, 공격도 쉽다 2017.06.02

DNS 한 번만 공격 성공하면 수천 개 웹사이트 마비 가능
DNS도 소프트웨어...버그와 취약점 존재

[보안뉴스 문가용 기자] 도메인 이름 서비스(DNS)는 인터넷이라는 거대한 시스템에서 대단히 중요한 역할을 맡고 있다. 사실상 지금에 와서 DNS 없는 인터넷이란 불가능하다고 해도 과언이 아니다. 그런데 이 중요한 DNS를 방어한다는 게 결코 쉽지 않아, 현대 사회의 ‘아킬레스의 건’과 같이 되어버렸다.

[이미지 = iclickart]


이렇게 약한 부분인 DNS를 공격해 기록을 변경할 수 있게 된다면 어떤 일이 벌어질까? 사용자들이 주소창에 어떤 주소를 입력하든 특정한 곳으로 우회해서 도착하게 된다. DNS가 클라이언트와 서버 사이에서 자기 자리를 굳건히 지키고 있기 때문에 우리는 내가 입력하고 있는 주소가 바른 곳으로 안내할 것이라고 믿을 수 있는 것이다. 이렇게나 중요한 DNS는 어떤 공격에 노출되어 있을까?

DoS 공격
물론 DoS 공격의 위협에 노출되어 있는 것이 DNS만은 아니다. 그런데 DoS 공격으로 기능이 마비된다고 했을 때, DNS만큼 큰 영향을 주는 것도 없다. DNS 하나만 무력화시키면 수천 개의 웹사이트가 다 마비되기 때문이다. 공격자 입장에서 수천 번 공격해야 누릴 수 있는 효과를 단 한 번 공격으로 누리게 되는 것이다. 작년에 발생한 딘(Dyn)의 디도스 공격에서도 이 점이 증명되었던 바 있다. 당시 딘의 DNS 서비스에 40 기가바이트 노이즈가 들어가자 아마존, 레딧, 비자, CNN 등이 일시에 마비되거나 굉장히 느려졌다.

또한 DNS 증폭/반사(Amplification/Reflection)를 활용하면 DNS가 디도스 공격 무기로 뒤바뀌기도 한다. 요청된 것보다 보통은 더 많은 데이터를 돌려주는 DNS의 특성 때문이다. DNS가 UDP 상에서 작동하기 때문에 공격자들이 가짜 패킷을 만드는 게 그리 어렵지 않다. 즉, 피해자의 IP 주소로부터 들어오는 쿼리를 스푸핑할 수 있다는 것이다.

DNS 하이재킹
어떤 도메인 이름을 누가 소유하고 있는지, 또 어떤 DNS 서버가 할당되어 있는지, 이런 걸 관리하는 건 도메인 등록 기관(Domain Registrar)들이다. 기관이라고는 하지만 상업적인 목적으로 서비스를 제공하는 곳으로 고대디(GoDaddy), 이놈(eNom), 네트워크 솔루션즈(Network Solutions) 등이 있다. 이 기관들에는 DNS 서버의 포인터들을 통제하는 계정들이 등록되어 있다는 것이다. 공격자들이 이 계정들을 해킹한다면 특정 도메인을 특정 DNS 서버로 우회시킬 수 있게 되고, 실제로 브라질 인터넷 뱅킹 사이트에서 벌어진 해킹 사건이 이 원리를 바탕으로 하고 있다.

DNS 서버 취약점
DNS 서비스는 소프트웨어다. 그렇기 때문에 버그가 있고 제로데이 취약점도 있다. 사이버 공격자들이 건드려볼 만한 것들이 있다는 것이다. 다행히 DNS라는 게 무척 오래되어 버그나 취약점들을 대부분 고쳐왔다. 그리고 그 버그라는 것도 매우 단순해 찾기가 어려운 것도 아니었다. 그런데 2015년 오픈소스 DNS 서버인 BIND에서 중요한 보안 구멍이 발견되었다. CVE-2015-5477로, 공격자가 이를 악용하면 DNS 서버를 단 한 개의 조작된 쿼리를 가지고 마비시킬 수 있게 된다.

비허가 DNS 변경
서버를 보유하고 있다면 서버 관리자가 반드시 필요하다. 이는 즉 물리적이든 논리적이든 서버에 접근할 사람들을 잘 선별하고 지켜봐야 한다는 뜻이다. 강력한 인증 장치를 마련해야 할 수도 있고, 접근 권한을 취득한 사람들이 계속해서 신뢰할만한 행동을 하고 있는지도 살펴야 한다. DNS 기록의 특성상 DNS 상 일어난 변경 사항들은 쿼리 클라이언트에 의해 캐시되며, 잘못 입력된 값들을 되돌리려면 수 시간은 물론 수일이 걸리기도 한다.

DNS 데이터 유출
승인되지 않은 인터넷 데이터베이스에 중요한 정보를 꽉꽉 채워놓고 아무런 일이 일어나지 않을 거라고 생각하는 건 있을 수 없는 일이다. 공격자들은 DNS 서버에 쿼리를 전송해 아직 널리 알려지지 않았지만 흥미로운 인터넷 서비스가 있는지 검색하기 마련이다. 이미 알려진 서버 이름을 사용하면 피싱 공격도 할 수 있게 되는데, 이는 DNS 기록의 도움을 받은 것이나 다름없다.

대부분 기업들은 DNS를 네트워크 내부에서 운영한다. 네트워크 내부의 사정을 널리 전파하는 것과 동일하다. 그래서 DNS 서버의 환경설정이 매우 중요해진다. 이 설정 하나 실수로 사업의 명운을 좌지우지 하는 정보가 유출될 수 있다.

DNS 중간자 공격
DNS가 사용하고 있는 UDP는 스푸핑이 매우 쉬운 프로토콜이다. 피해자와 DNS 서버 사이에 공격자가 들어가게 된다면, DNS 쿼리를 가로채고 따라할 수 있게 된다. 실행도 매우 쉽고 보안 전문 업체에서도 종종 찾아내곤 하는 취약점이다. 얼마 전 F5에서는 마이크로소프트 아웃룩 크리덴셜을 훔쳐내는 방법을 발견해내기도 했다. 절대 간과할 수 없는 공격이다.

글 : 레이몬드 폼폰(Raymond Pompon)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>