• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전 세계 거의 모든 기업들, DNS 리바인딩 공격에 노출되어 있다 2018.07.24

약 5억대에 이르는 기업용 사물인터넷 장비들, DNS 리바인딩에 취약해
먼저 기업이 취약점 찾아내고 펌웨어 업데이트와 불필요한 서비스 삭제시켜야

[보안뉴스 문가용 기자] 5억 개에 가까운 기업 내 장비들이 DNS 리바인딩(DNS rebinding)에 의한 사이버 공격에 노출되어 있다는 연구 결과가 발표됐다. IoT 보안 전문 회사인 아르미스(Armis)가 연구와 발표를 맡았다.

[이미지 = iclickart]


DNS 리바인딩 공격이란, 이미 10년 정도 전부터 알려진 기법으로, 원격의 해커가 표적이 된 단체의 네트워크 방화벽을 우회해서 웹 브라우저를 남용함으로써 해당 단체의 로컬 네트워크에 연결된 장비와 직접 통신해 취약점을 익스플로잇하는 것이다. 표적이 된 누군가가 악성 페이지에 접속하게 만들거나 악성 광고를 한 번 클릭하기만 해도 공격이 성립되며, 이를 통해 공격자는 필요한 정보를 가져가거나 취약한 장비를 완전 통제할 수 있게 된다.

몇 개월 전 구글 프로젝트 제로의 타비스 오르만디(Tavis Ormandy)는 이 DNS 리바인딩 공격이 비트토렌트의 유토렌트 애플리케이션과 트랜스미션(Transmission) 비트토렌트 클라이언트의 치명적인 오류들을 익스플로잇 하는 데 사용될 수 있다고 발표하기도 했다. 그 보다 조금 후에는 또 다른 보안 전문가 브래논 도르시(Brannon Dorsey)가 구글 홈(Google Home)과 크롬캐스트(Chromecast) 장비를 비롯해 로쿠 TV(Roku TV), 소노스(Sonos) 와이파이 스피커, 라우터, 스마트 온도계 등에서도 DNS 리바인딩 공격이 가능하다고 발표했다.

이러한 보고가 계속해서 발표되자 아르미스는 자체적으로 DNS 리바인딩에 대해 연구하기 시작했다. 아르미스는 이전에 블루투스 오류인 블루본(BlueBorne)을 발견해낸 곳이기도 하다.

연구 결과 아르미스는 전 세계적으로 약 4억 9천 6백만 대의 기업 내 장비들이 DNS 리바인딩 공격에 취약하다는 예상 수치를 얻어낼 수 있었다. 프린터가 1억 6천 5백만 대, IP 카메라가 1억 6천만 대, IP 전화기가 1억 2천 4백만 대, 스마트 TV가 2천 8백만 대, 스위치와 라우터가 1천 4백만 대, 미디어 플레이어 류 장비가 5백만 대라고 한다.

아르미스는 “결국 DNS 리바인딩 공격에 당할 가능성이 있는 건 전 세계 거의 모든 회사라고 볼 수 있다”고 정리한다. 그러면서 이번 달에 패치된 시스코 IP 전화기를 예로 들었다. “또한 최근에는 액시스(Axis)와 포스캠(Foscam) 카메라들에서도 심각한 보안 구멍이 발견되기도 했었지요. 이런 장비들을 쓰는 회사가 한두 군데일까요? DNS 리바인딩에 모든 조직들이 노출되어 있다고 봐도 결코 과장이 아닙니다.”

그러면서 아르미스는 프린터가 정말 심각한 문제라고 지적했다. “환경설정이나 관리에 있어서 현대 사회에서 가장 적은 관심을 받고 있는 기계가 바로 프린터입니다. 솔직히 프린터 사서 네트워크에 연결시킬 때 환경설정을 일부러 바꾸는 경우를 거의 보지 못했습니다. 그저 사온 그대로, 박스에서 나온 그대로 플러그만 꼽을 뿐이죠. DNS 리바인딩 공격자들에게는 더 없이 좋은 공격 통로입니다.”

아르미스가 묘사하는 공격 시나리오는 다음과 같다.
1) 공격자가 사용자 한 명을 표적으로 삼는다.
2) 웹사이트를 하나 만든 후, 자바스크립트 코드를 호스팅한다.
3) 표적이 이 웹사이트를 방문하면, 자바스크립트가 브라우저를 통해 실행된다.
4) 자바스크립트 코드는 브라우저를 통해 로컬 IP 주소를 스캔해 취약한 기기를 찾는다.
5) 취약한 장비가 나오면 공격자는 DNS 리바인딩을 통해 임의의 명령을 전송한다.
6) 당연히 이 명령은 해당 장비로 직접 전송된다.
7) 명령을 전송하지 않는 경우, C&C 서버로 연결시키는 것도 가능하다.
8) 공격자와 장비 사이의 트래픽은 보안 장비에 탐지되지 않을 때가 많다.

DNS 리바인딩 공격은, DNS와 웹 브라우저의 작동 원리 때문에 실현되는 것이다. 그러므로 아르미스는 1) 모든 장비들의 모니터링을 실시하고 2) 특히 사물인터넷 장비들의 경우 리스크 분석을 실시해야 한다고 제안한다. 그래서 취약한 장비를 기업이 먼저 찾아내야 한다는 것이다. 그런 후에는 취약점에 따른 보안 조치를 취하면 되는데, 1) 최신 소프트웨어 및 펌웨어 업데이트를 적용하고 2) 불필요한 서비스는 비활성화 시키는 것을 포함한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>