2018.03.06

"또 다른 대규모 DDoS 인터넷 마비 사태가 닥칠 수 있다"…하버드대 보고서

J.M. Porup | CSO
하버드대학교(Harvard University)의 새로운 연구 보고서에 따르면, 2016년의 딘(Dyn) DNS 정지와 유사한 대규모 인터넷 마비 사태가 다시 쉽게 발생할 수 있는 것으로 나타났다.

딘에 대한 DDoS 공격으로 인해 트위터(Twitter), 페이팔(PayPal), 레딧(Reddit), 아마존(Amazon), 넷플릭스(Netflix) 등의 주요 웹사이트가 거의 하루 동안 다운되었다. 미라이(Mirai) 봇넷에 속한 수백만 개의 해킹된 IoT 장치가 딘의 DNS 서비스를 1.2TBps의 가짜 트래픽으로 폭주시키면서 고객들의 웹사이트를 위한 진짜 DNS 요청에 대응할 수 없게 되었다.

어쨌든 공격은 페이팔 또는 트위터 서버에 영향을 끼치지 않았지만 은행에 송금하거나 소셜 미디어에 잡다한 것을 게시할 때 IP 주소를 기억하지 않는 대부분의 사람들은 사이트에 접근할 수 없었다.

공격자들은 민족 국가 활동가들이 아니었지만 딴 속셈이 있는 범죄자들이었다. 브루스 슈나이어는 "침입자들은 브라이언 크렙스가 DDoS 청부 집단을 운영하던 2명의 이스라엘 해커를 식별하고 FBI가 체포하도록 도운 딘에 앙심을 품은 해커들이었을 가능성이 높다"고 당시 밝힌 바 있다.

처음부터 불안정하고 패치가 불가능한 경우도 많은 불안정한 IoT 장치가 증가하면서 도메인명 시스템에 대한 차기 DDoS 공격이 더욱 심각할 수 있다. DNS 제공자의 중앙 집중화가 문제인 것이다.

단일 고장점이 실패할 때
이 보고서의 저자는 "DNS가 분산되도록 설계되었지만 DNS의 중앙 집중화로 단일 고장점이 생겨났다"며, "공격자의 성공을 통해 도메인 관리자 측면에서 상대적으로 제공자 다양성이 거의 없는 집중된 DNS 공간 때문에 대기업들이 서비스 중단에 취약해질 수 있는 여러 방법이 있음을 알 수 있다"고 밝혔다.

예전에 기업들은 자체적으로 DNS를 관리했다. 이 때문에 새로운 것을 구축할 수 있는 인재들이 사무실에 앉아 컴퓨터를 관리해야 했다. 우버(Uber)와 마찬가지다. 오래되고 자리잡은 기업들은 여전히 자체 DNS를 관리할 가능성이 높지만 클라우드가 인프라로 등장하면서 새로운 기업들이 DNS를 포함한 모든 것을 클라우드로 아웃소싱하고 있다.

이 보고서 공동 저자인 존 바우어스는 "DNS 서비스가 소수로 집중되면서 (기업들이 대부분 자체 DNS 서버를 관리하던) 예전의 더욱 분산된 DNS 패러다임에서는 없었던 단일 고장점이 노출되었다"고 설명했다.

바우어스는 "딘 공격으로 위험의 집중이 여실히 드러났다. 단일 DDoS 공격 때문에 수십 개의 주요 웹사이트와 CDN(Content Delivery Network)이 사용하는 제공자를 대상으로 함으로써 인터넷에 상당 부분이 다운되었다"고 말했다.

이 보고서에서 충격적인 부분은 이런 집중으로 인한 명확한 위험에도 불구하고 보조 DNS를 이행하는 기업이 거의 없다는 점이다.

역사를 통해 배우지 못하면 비극은 반복된다
딘 공격은 본지를 포함해 여러 매체에서 다뤘다. 분석가들은 DNS의 다양화에 대한 필요성을 역설했지만 수치를 보면 이에 귀를 기울이는 사람이 없었다는 것을 알 수 있다. 해당 보고서는 "주로 직접적인 피해를 입은 사람들만 딘 공격의 교훈을 얻은 것 같다"고 밝혔다.

2016년의 공격 이전에는 연구한 도메인의 90% 이상이 단일 제공자의 네임 서버(Name Server)를 사용했었다. 공격 후 6개월 만인 2017년 5월, 그 비율은 92.2%에서 87.3%로 하락했다. 대부분은 인터넷 마비 사태를 겪은 딘의 고객들이었다.

심지어 현재 오라클이 소유한 딘 자체도 보조 DNS 서비스를 제공하고 있으며 고객들에게 사용을 종용하고 있다. 간략한 성명에서 딘 아키텍처 이사 앤드류 설리반은 "웹사이트 운영자는 스택 전반에 걸쳐 다양성이 필요하며 다양성을 지원하는 DNS 서비스, 웹 방화벽, DDoS 보호 등의 구성 요소를 선택해야 한다"고 밝혔다.

외부 DNS 제공자 다양화의 어려움은 외부 DNS가 CDN 및 DDoS 보호 등의 다른 서비스와 번들로 제공되는 경우가 많다는 점이다. 이 보고서는 도메인 DNS 제공업체인 클라우드플레어(CloudFlare)는 이 시장의 15% 이상을 점유하고 있지만 해당 기업의 DDoS 보호 서비스는 "도메인이 다른 제공자가 관리하는 DNS 네임 서버를 등록할 수 없다"고 밝혔다.

DNS 서비스 스위트 가운데 하나로 제공되는 것이 클라우드 기반 플랫폼을 사용할 새로운 도메인들의 트렌드라고 밝혔다. 이 보고서는 "아마존 AWS는 어떤 DDoS 공격도 견딜 수 있다고 생각할 수도 있지만 아마존 직원의 오타때문에 S3가 다운되었던 때를 기억하기 바란다. 사고와 적 모두 단일 고장점을 위협한다"고 전했다.

DNS의 예비 경로 확보 방법
예비 경로 없이 교량을 구축하지 않으면서 예비 경로(redundant) 없이 DNS 인프라를 구축하는 이유는 무엇일까.

우선은 (모르는 경우) 현재의 구성이 무엇인지 파악해야 한다. 네임 서버부터 확인하자.

dig +ns ourdomain.com

CDN 제공업체 아카마이(Akamai) CSO 앤디 엘리스는 "반환되는 이름이 자체 도메인에 있다면 스스로 하고 있는 것이다"고 밝혔다. 엘리스는 "바른 결정인지 고려해야 하지만 대부분의 기업들이 그렇지 않다. 이미 CDN 제공업체가 있다면 기존 계약을 통하거나 부가기능으로써 DNS 서비스를 사용할 수 있는 확률이 높다. 이것이 제공업체를 추가하거나 전환할 수 있는 신속한 방법이다"고 말했다.

일반적으로 트래픽이 낮은 사이트는 2개의 네임 서버만 나열하지만 DNS는 최대 8개를 허용한다. 엘리스는 6:2 구성으로 모두 사용하라고 조언했다. 추가적인 예비 경로를 원하는 조직은 스스로 5:2:1 구성으로 관리할 수 있다.

충격적인 사실은 이것이 전혀 새로운 것이 아니라는 점이다. 이 보고서에서 "RFC 2182는 1997년에 보조 DNS 우수 사례에 대한 법률을 마련했다"고 밝혔다. RFC 2182는 "각 구역에 여러 서버를 확보하는 주된 이유는 하나의 서버를 사용할 수 없거나 도달할 수 없더라도 해당 구역의 정보가 인터넷 전반, 즉 전 세계의 클라이언트(Client)에 널리 그리고 신뢰할 수 있는 방법으로 제공될 수 있도록 하기 위함이다"고 전했다.

RFC의 제안 사항 가운데 일부(보조 구역을 다른 조직과 교환하는 것은 좀 구식인 것 같다)는 이미 구식이지만 중앙의 고장점 회피와 예비 경로 확보에 대한 근본적인 원칙은 바뀌지 않았다. 엘리스는 "제공업체 예비 경로는 규모를 제공하면서 한 제공업체의 문제로 사업 자체에 문제가 발생하지 않도록 한다"고 말했다.

다양화, 다양화, 다양화
인터넷에서 중앙의 고장점은 반드시 피해야 하며, 봇넷을 임대하는 사이버범죄자가 주요 웹사이트를 다운시킬 수 있을 때는 더욱 그렇다. 요즈음에는 DNS를 다양화함으로써 이런 위험을 완화하는 것이 상당한 주의처럼 보인다.

하버드경영대학원의 교수 쉐인 그린슈타인은 "그렇게 어렵지 않으며 비용도 높지 않은 좋은 방법이다"며, "물론, 대기업에는 번거로운 일이지만 변명의 여지는 없다. 사이버보안은 번거로운 일이며 다른 예방 조치와 비교하면 꽤 사소한 편이다"고 말했다. editor@itworld.co.kr 


2018.03.06

"또 다른 대규모 DDoS 인터넷 마비 사태가 닥칠 수 있다"…하버드대 보고서

J.M. Porup | CSO
하버드대학교(Harvard University)의 새로운 연구 보고서에 따르면, 2016년의 딘(Dyn) DNS 정지와 유사한 대규모 인터넷 마비 사태가 다시 쉽게 발생할 수 있는 것으로 나타났다.

딘에 대한 DDoS 공격으로 인해 트위터(Twitter), 페이팔(PayPal), 레딧(Reddit), 아마존(Amazon), 넷플릭스(Netflix) 등의 주요 웹사이트가 거의 하루 동안 다운되었다. 미라이(Mirai) 봇넷에 속한 수백만 개의 해킹된 IoT 장치가 딘의 DNS 서비스를 1.2TBps의 가짜 트래픽으로 폭주시키면서 고객들의 웹사이트를 위한 진짜 DNS 요청에 대응할 수 없게 되었다.

어쨌든 공격은 페이팔 또는 트위터 서버에 영향을 끼치지 않았지만 은행에 송금하거나 소셜 미디어에 잡다한 것을 게시할 때 IP 주소를 기억하지 않는 대부분의 사람들은 사이트에 접근할 수 없었다.

공격자들은 민족 국가 활동가들이 아니었지만 딴 속셈이 있는 범죄자들이었다. 브루스 슈나이어는 "침입자들은 브라이언 크렙스가 DDoS 청부 집단을 운영하던 2명의 이스라엘 해커를 식별하고 FBI가 체포하도록 도운 딘에 앙심을 품은 해커들이었을 가능성이 높다"고 당시 밝힌 바 있다.

처음부터 불안정하고 패치가 불가능한 경우도 많은 불안정한 IoT 장치가 증가하면서 도메인명 시스템에 대한 차기 DDoS 공격이 더욱 심각할 수 있다. DNS 제공자의 중앙 집중화가 문제인 것이다.

단일 고장점이 실패할 때
이 보고서의 저자는 "DNS가 분산되도록 설계되었지만 DNS의 중앙 집중화로 단일 고장점이 생겨났다"며, "공격자의 성공을 통해 도메인 관리자 측면에서 상대적으로 제공자 다양성이 거의 없는 집중된 DNS 공간 때문에 대기업들이 서비스 중단에 취약해질 수 있는 여러 방법이 있음을 알 수 있다"고 밝혔다.

예전에 기업들은 자체적으로 DNS를 관리했다. 이 때문에 새로운 것을 구축할 수 있는 인재들이 사무실에 앉아 컴퓨터를 관리해야 했다. 우버(Uber)와 마찬가지다. 오래되고 자리잡은 기업들은 여전히 자체 DNS를 관리할 가능성이 높지만 클라우드가 인프라로 등장하면서 새로운 기업들이 DNS를 포함한 모든 것을 클라우드로 아웃소싱하고 있다.

이 보고서 공동 저자인 존 바우어스는 "DNS 서비스가 소수로 집중되면서 (기업들이 대부분 자체 DNS 서버를 관리하던) 예전의 더욱 분산된 DNS 패러다임에서는 없었던 단일 고장점이 노출되었다"고 설명했다.

바우어스는 "딘 공격으로 위험의 집중이 여실히 드러났다. 단일 DDoS 공격 때문에 수십 개의 주요 웹사이트와 CDN(Content Delivery Network)이 사용하는 제공자를 대상으로 함으로써 인터넷에 상당 부분이 다운되었다"고 말했다.

이 보고서에서 충격적인 부분은 이런 집중으로 인한 명확한 위험에도 불구하고 보조 DNS를 이행하는 기업이 거의 없다는 점이다.

역사를 통해 배우지 못하면 비극은 반복된다
딘 공격은 본지를 포함해 여러 매체에서 다뤘다. 분석가들은 DNS의 다양화에 대한 필요성을 역설했지만 수치를 보면 이에 귀를 기울이는 사람이 없었다는 것을 알 수 있다. 해당 보고서는 "주로 직접적인 피해를 입은 사람들만 딘 공격의 교훈을 얻은 것 같다"고 밝혔다.

2016년의 공격 이전에는 연구한 도메인의 90% 이상이 단일 제공자의 네임 서버(Name Server)를 사용했었다. 공격 후 6개월 만인 2017년 5월, 그 비율은 92.2%에서 87.3%로 하락했다. 대부분은 인터넷 마비 사태를 겪은 딘의 고객들이었다.

심지어 현재 오라클이 소유한 딘 자체도 보조 DNS 서비스를 제공하고 있으며 고객들에게 사용을 종용하고 있다. 간략한 성명에서 딘 아키텍처 이사 앤드류 설리반은 "웹사이트 운영자는 스택 전반에 걸쳐 다양성이 필요하며 다양성을 지원하는 DNS 서비스, 웹 방화벽, DDoS 보호 등의 구성 요소를 선택해야 한다"고 밝혔다.

외부 DNS 제공자 다양화의 어려움은 외부 DNS가 CDN 및 DDoS 보호 등의 다른 서비스와 번들로 제공되는 경우가 많다는 점이다. 이 보고서는 도메인 DNS 제공업체인 클라우드플레어(CloudFlare)는 이 시장의 15% 이상을 점유하고 있지만 해당 기업의 DDoS 보호 서비스는 "도메인이 다른 제공자가 관리하는 DNS 네임 서버를 등록할 수 없다"고 밝혔다.

DNS 서비스 스위트 가운데 하나로 제공되는 것이 클라우드 기반 플랫폼을 사용할 새로운 도메인들의 트렌드라고 밝혔다. 이 보고서는 "아마존 AWS는 어떤 DDoS 공격도 견딜 수 있다고 생각할 수도 있지만 아마존 직원의 오타때문에 S3가 다운되었던 때를 기억하기 바란다. 사고와 적 모두 단일 고장점을 위협한다"고 전했다.

DNS의 예비 경로 확보 방법
예비 경로 없이 교량을 구축하지 않으면서 예비 경로(redundant) 없이 DNS 인프라를 구축하는 이유는 무엇일까.

우선은 (모르는 경우) 현재의 구성이 무엇인지 파악해야 한다. 네임 서버부터 확인하자.

dig +ns ourdomain.com

CDN 제공업체 아카마이(Akamai) CSO 앤디 엘리스는 "반환되는 이름이 자체 도메인에 있다면 스스로 하고 있는 것이다"고 밝혔다. 엘리스는 "바른 결정인지 고려해야 하지만 대부분의 기업들이 그렇지 않다. 이미 CDN 제공업체가 있다면 기존 계약을 통하거나 부가기능으로써 DNS 서비스를 사용할 수 있는 확률이 높다. 이것이 제공업체를 추가하거나 전환할 수 있는 신속한 방법이다"고 말했다.

일반적으로 트래픽이 낮은 사이트는 2개의 네임 서버만 나열하지만 DNS는 최대 8개를 허용한다. 엘리스는 6:2 구성으로 모두 사용하라고 조언했다. 추가적인 예비 경로를 원하는 조직은 스스로 5:2:1 구성으로 관리할 수 있다.

충격적인 사실은 이것이 전혀 새로운 것이 아니라는 점이다. 이 보고서에서 "RFC 2182는 1997년에 보조 DNS 우수 사례에 대한 법률을 마련했다"고 밝혔다. RFC 2182는 "각 구역에 여러 서버를 확보하는 주된 이유는 하나의 서버를 사용할 수 없거나 도달할 수 없더라도 해당 구역의 정보가 인터넷 전반, 즉 전 세계의 클라이언트(Client)에 널리 그리고 신뢰할 수 있는 방법으로 제공될 수 있도록 하기 위함이다"고 전했다.

RFC의 제안 사항 가운데 일부(보조 구역을 다른 조직과 교환하는 것은 좀 구식인 것 같다)는 이미 구식이지만 중앙의 고장점 회피와 예비 경로 확보에 대한 근본적인 원칙은 바뀌지 않았다. 엘리스는 "제공업체 예비 경로는 규모를 제공하면서 한 제공업체의 문제로 사업 자체에 문제가 발생하지 않도록 한다"고 말했다.

다양화, 다양화, 다양화
인터넷에서 중앙의 고장점은 반드시 피해야 하며, 봇넷을 임대하는 사이버범죄자가 주요 웹사이트를 다운시킬 수 있을 때는 더욱 그렇다. 요즈음에는 DNS를 다양화함으로써 이런 위험을 완화하는 것이 상당한 주의처럼 보인다.

하버드경영대학원의 교수 쉐인 그린슈타인은 "그렇게 어렵지 않으며 비용도 높지 않은 좋은 방법이다"며, "물론, 대기업에는 번거로운 일이지만 변명의 여지는 없다. 사이버보안은 번거로운 일이며 다른 예방 조치와 비교하면 꽤 사소한 편이다"고 말했다. editor@itworld.co.kr 


X