[디지털데일리 왕진화 기자] “도메인네임서버(DNS)는 인터넷 시작점이자 클라이언트의 첫 번째 보안 경계입니다. DNS 터널링 공격은 DNS 프로토콜에서 발생하기에 근본적으로 DNS에서 막아야 한다는 점을 잊지 말아야 합니다.”
엑스퍼넷 고귀한 프로는 지난 19일 서울 양재동 엘타워에서 열린 ‘사라진 경계, ‘한국형 제로 트러스트’ 중심의 보안 혁신전략’을 주제로 한 차세대 기업보안 세미나 [NES 2023]에서 이같이 강조하며 DNS 사이버위협 대응 방안을 공유했다.
이날 고귀한 프로는 DNS 터널링을 설명하기 전 DNS에 대한 주요 특징을 소개했다. DNS란 도메인 네임 시스템으로, 흔히 사용되는 건 KT나 구글 등을 꼽을 수 있다. 물론, 자체적으로 기업들이 고객 환경에 DNS를 각자 운영할 수도 있다.
클라우드 환경이나 인터넷을 통해 접속할 때 일반적으로 사람들은 인터넷 프로토콜(ip)를 외우고 ip로 접속하지 않는다. 도메인으로 접속하고, 그로 인해 인터넷이 시작되며 어떤 사이트에 접속할 수 있게 되는 식이다. 즉, DNS는 어디에나 있으며 모든 연결의 시작점이자 네트워크 서비스 핵심이다.
고 프로는 “오늘날 거의 모든 온라인 커뮤니케이션과 활동은 DNS 조회로 시작된다”며 “사물인터넷(IoT) 급격한 증가로 DNS에 대한 의존도가 향상되고 있고, 또 이로 인해 DNS는 멀웨어 활동에도 악용될 수 있다”고 말했다.
DNS는 운영 담당자가 주로 관리하지만, 여러 보안 알람 등 많은 이벤트가 발생하기 때문에 생각보다 이를 모니터링하기란 쉽지 않은 일이다. 해커들은 운영 담당자가 DNS에 대한 모니터링을 잘 하지 않는다는 부분을 노리고 공격을 시작하게 된다.
해커들은 이용자가 멀웨어 등 악성 커맨드&컨트롤(C&C)에 접근하도록 하기 위해, 오픈돼 있는 DNS 프로토콜을 사용하는 방식으로 공격을 펼친다. 즉, DNS 터널링은 데이터 유출을 위해 널리 사용되는 공격 기법으로, DNS 프로토콜에서 일어나는 해커의 치밀하고 계획적인 공격에서 일어나게 된다.
고 프로는 “DNS 리퀘스트 부분에 암호화된 데이터를 도메인과 함께 덧붙여서 위로 실어보내면, 퍼블릭 DNS에서 조회를 거쳐 해커 DNS까지 도달하게 된다”며 “기업들이 방화벽 안까지 보안 정책을 심어놓을 수는 있지만, 퍼블릭 DNS나 해커 DNS까지 보안 스펙을 챙겨놓을 수는 없기에 이 부분을 해커들이 악용한다”고 설명했다.
산스 데이터 프로젝션 서베이(SANS Data Protection survey)에 따르면, 실제 침해 사례 중 랜섬웨어나 몰웨어에 감염이 돼 데이터 유출이 되는 경우가 가장 높았다. 이어 ▲모바일 디바이스나 랩탑 분실 ▲이메일 수신 ▲DNS 터널링 등을 통한 데이터 유출이 이뤄졌다. 특히 모든 사례 중 DNS 터널링을 통한 데이터 유출은 30%에 육박했다.
이로 인해 금융보안원에서는 매년 1회 금융 분야를 중심으로 정보 보호 관리 체계나 서버, 데이터베이스, 네트워크, 인프라 장비, 서버 앱 등 취약점 분석 및 점검을 펼치고 있다. 또, 금융보안원은 지난해 12월27일 급변하는 정보기술(IT) 환경에 탄력적으로 대응할 수 있도록 금융 보안 규제 선진화를 추진하겠다고 발표한 바 있다.
고 프로는 금융권에 DNS 구축, 설계한 경험을 바탕으로 여러 가지 사항들을 요약했다. 고 프로는 “기업들은 DNS를 한두 대로만 운영하지 말고, 내외부 또는 다양한 망을 활용하는 DNS들을 각각 설치해 자신들이 원하는 서비스를 실행해야 한다”고 강조했다.
이어 “DNS는 취약점이 매년 많이 발생하는 만큼, 금융권이나 기업에서 빠른 패치나 조치를 취하는 방안을 고려해야 된다”며 “또, 금융보안원은 DNS 터널링에 대한 감시를 통해 (DNS 터널링으로 인한) 데이터 유출 차단을 권고하고 있다”고 덧붙였다.
고 프로는 DNS 보안에 특화된 인포블록스(Infoblox) 특징도 밝혔다. 인포블록스는 DNS 클라우드에 있는 인텔리전스 위협 지표를 실시간으로 동결하거나 인공지능(AI) 및 머신러닝으로 DNS 터널링을 감지 및 차단할 수 있다.
엑스퍼넷은 현재 인포블록스 국내 총판을 수행하며 다양한 솔루션과 서비스를 제공하고 있다. 인포블록스는 DNS, 동적 호스트 구성 프로토콜(DHCP), IP 주소관리(IPAM), 총칭해 DDI라 불리는 코어 네트워크 서비스를 제공하는 글로벌 기업으로, DDI 분야 전 세계 시장 점유율 50% 이상을 기록 중이다.
또, 인포블록스는 DNS 보안을 위해 IP 주소의 위협 인텔리전스를 제공한다. 악성 피싱 이메일 링크부터 ▲C&C 트래픽 ▲랜섬웨어 공격지 ▲멀웨어 다운로드 ▲침해된 사물인터넷/운영기술 공격지 ▲신규 등록된 도메인 및 유사 도메인 등 정보를 광범위하게 수집하고 차단하도록 지원한다.
마지막으로 고 프로는 “오늘 발표를 통해 DNS 터널링이 어떤 공격이며 그것을 대처하는 방법은 무엇인지, 또 제로 트러스트라는 환경에서 어떻게 DNS가 운영되고 있는지, 모두의 환경에서 실제 모니터링이 잘 되고 있는지 등을 생각하는 시간이 됐길 바란다”고 말했다.