세계에서 손꼽히는 2000개 기업, 조사했더니 도메인 관리 실태 엉망
소비자용 도메인 서비스 사용하니...대기업 공장을 가정용 기기로 돌리는 꼴

[보안뉴스 문가용 기자] 포브스가 선정한 세계 2000대 기업들이 운영하는 웹 도메인들의 상당수가 도메인 하이재킹, DNS 침해 공격 등 흔한 사이버 공격에 노출되어 있다는 사실이 발표됐다. 도메인 보호 전문 업체인 CSC가 조사한 내용이 오늘 공개되면서 이와 같은 현황이 드러났다.


CSC가 조사한 바에 따르면 83%의 조직들이 후이즈의 등록 정보나 DNS 정보를 전혀 보호하지 않고 있다고 한다. 즉 아무나 해당 정보들을 수정할 수 있는 것이다. 또한 73%는 레지스트리 잠금 서비스를 사용하고 있지 않아 DNS 정보를 아무나 변경할 수 있고, 따라서 웹사이트를 마비시키거나 엉뚱한 곳으로 우회시킬 수 있는 상태라고 한다. 이메일 보호 프로토콜인 디마키(DMARC)를 사용하고 있는 조직은 39%에 그쳤으며, DNS 보안(DNSSEC) 서비스를 활용하는 조직은 3%에 불과했다.

“이번 조사를 통해 확실해진 건 세계에서 가장 크다 하는 기업들도 도메인 이름과 DNS 하이재킹, 도메인 셰도잉, 서브도메인 하이재킹 공격에 당할 수밖에 없는 상태라는 것입니다.” CSC의 부회장인 마크 칼란드라(Mark Calandra)의 설명이다. 게다가 은행들 역시 도메인 보안 장치를 제대로 마련하고 있지 않다는 사실도 꽤나 심각한 사실이라고 칼란드라는 지적했다. “레지스트리 잠금 서비스를 가장 활용하지 않는 것이 바로 은행들이었습니다.”

왜 가장 많은 공격을 받는 은행들이, 레지스트리 잠금 서비스 같은 기본 보안 도구들을 사용하지 않는 걸까? 칼란드라는 “국제적인 규모로 손꼽히는 주요 은행들의 절반 이상이 아시아에 있다는 것도 주요 요소일 것”이라고 설명한다. “아시아 지역에서는 도메인 보안이라는 개념이 널리 정착하지 않았거든요.”

사이버 공격자들은 최근 들어 보안이 취약한 도메인과 DNS 서비스들을 점점 더 많이 공략하기 시작했다. 올해 초 이메일 스팸 활동을 추적하는 비영리 단체 스팸하우스 프로젝트(Spamhaus Project)는 도메인 이름 하이재킹 공격이 사이버 범죄자들 사이에서 꽤나 크게 유행하고 있다는 내용의 보고서를 발표한 바 있다. 보고서에 의하면 범죄자들은 피싱, 소셜 엔지니어링, 취약점 익스플로잇을 통해 정상 도메인에 접근하고 있다고 한다.

그렇게 접근에 성공한 이후 사이버 범죄자들은 “새로운 호스트 이름을 만들고(이것이 도메인 셰도잉이다), 다른 IP 주소와 연결되도록 한다. 이 때 이 IP 주소는 루트 도메인과 관련이 없다.” 스팸하우스가 보고서를 통해 밝힌 내용이다. “그렇게 해서 공격자들은 도메인의 이름 서버가 새로운 곳으로 연결되도록 꾸밉니다.”

DNS를 변경한 뒤 공격자들은 피해자의 브랜드 이미지나 명성을 활용해 스팸 메일을 광범위하게 살포한다. 혹은 멀웨어를 호스팅하거나 사업 운영을 중단하도록 만들기도 한다. “포춘 2000대 기업의 도메인으로부터 스팸 메일이 날아온다고 생각해보세요. 이 기업들의 대부분 소비자들 사이에서 평판이 좋고 신뢰도도 높습니다. 따라서 가짜 메일을 열어볼 확률이 높죠.” 칼란드라의 설명이다.

CSC의 보고서에 의하면 포춘 2000대 기업들 사이에서 나타나는 도메인 보안 문제 대부분 도메인 이름 등록서 및 도메인 이름 등록 서비스 업체와 관련이 있다고 한다. “실제 조사를 해보니 53%가 일반 소비자들용 도메인 이름 등록 서비스를 사용하고 있더군요. 이런 서비스 업체들은 일반 소비자를 대상으로 서비스를 제공하기 때문에 기업 수준의 보안 기능을 가지고 있지 않습니다. 대기업 공장이 가정용 장비로 운영되는 것과 마찬가지입니다.”

칼란드라는 기업이 필요로 하는 수준의 보안 기능을 갖추지 못한 등록 서비스를 대기업들이 사용하고 있다는 사실을 사이버 범죄자들이 어느 순간 알아차린 것 같다고 의심한다. “이 기묘한 간극이 범죄자들의 천국을 만들어 주었습니다. 실제로 범죄자들은 이를 적극 활용하고 있고요.”

DNS를 제대로 관리하려면 도메인과 DNS 관리 시스템에 대한 접근 권한부터 안전하게 보호해야 한다. IP 확인은 물론 이중 인증 등의 보안 장치들을 갖춰야 한다는 것이다. “DNS를 보호하는 기능들에는 DNS보안(DNSSEC), CAA 기록, 레지스트리 잠금 서비스, 디마키 등이 있습니다. 디마키는 이메일 보안 프로토콜이지만 DNS 보안에도 도움이 되는 기능을 가지고 있습니다.”

현재 도메인 이름과 관련된 보안 장치의 도입 현황은 산업별로 큰 차이를 보이고 있다고 한다. IT와 미디어 산업, 엔터테인먼트 기업들은 도메인 이름 보안 장치를 가장 잘 도입하고 있었다. 특히 레지스트리 잠금과 디마키의 활용 비율이 높았다. 이 산업의 기업들은 기업용 보안 기능을 갖춘 도메인 등록소를 활용하고 있기도 했다. 은행, 부동산, 원료 산업은 모든 면에서 가장 낮은 점수를 기록했다.

3줄 요약
1. 포춘이 선정한 2000대 기업, 도메인 보안 형편 없음.
2. 지금 레지스트리 등록 정보와 DNS 정보를 아무나 수정할 수 있는 상태이기 때문.
3. 기업이 레지스트리를 등록할 땐 기업용 보안 장치를 마련한 곳에서 해야함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>