IoT / 네트워크 / 보안 / 프라이버시

"DNS 하이재킹, 앞으로 등장할 공격에 비해 ‘빙산의 일각’"…인터넷 개척자 폴 빅시 박사

Andrada Fiscutean | CSO 2019.06.20
인터넷의 개척자인 폴 빅시 박사는 사람들이 자신의 조언을 무시하지 말고 보안을 심각하게 받아들이기 시작하기 원한다. 빅시 박사는 "내가 너무 많은 것을 불평하는지 모르겠지만, 정말 부정적으로 말한다. 그러나 그게 사실이다"고 말했다.
 
ⓒ Jamie Rain / Lunch Break Headshots

DNS(Domain Name System)에 크게 기여한 빅시는 코펜하겐에서 열린 CARO 2019 컨퍼런스의 기조 연설에서 보안 공동체에 더 협력할 것을 모두에게 당부했다. 사물인터넷(IoT)의 성장은 DNS 보안 분야에 새로운 도전을 제기한다. 인터넷 백본을 표적으로 삼기 시작한 정부 후원의 해커들도 마찬가지다.

필자는 컨퍼런스 직후 빅시 박사에게 전화를 걸었다. 빅시는 며칠동안 휴가를 보내기 위해, 자신의 BMW R100 클래식 모터사이클을 가지러 덴마크 서쪽 끝으로 가는 기차에 타고 있었다. 그리고 단조로운 기차 여행은 그를 인터넷 초창기를 떠올리게 만들었다. 그는 DNS 보안을 향상시키기 위해 할 수 있었던 일, 과거 저질렀던 실수들을 회상했다.


반만 완성되고, 거의 작동하지 않는다

빅시는 경력의 절반을 인터넷을 더 쉽게 사용할 수 있도록 만드는 일에 투자했다. DNS와 관련된 많은 표준 문서, 웹사이트가 IP 주소 대신 사람이 읽을 수 있는 이름을 사용하도록 만드는 인터넷 전화번호부에 대한 문서를 작성했다. 그리고 나서 전술을 바꿨다.

빅시는 2014년 인터넷 명예의 전당(Internet Hall of Fame) 입성을 수락하는 연설에서 "나머지 절반 정도의 경력 동안에는 커뮤니케이션을 더 어렵게 만드는 일에 전력했다. 우리가 만들어낸 범죄자와 스패머들 때문이었다"고 말했다.

빅시는 파사이트 시큐리티(Farsight Security)라는 업체를 공동 창업해 커뮤니케이션을 더 안전하게 만드는 일에 매진하고 있다. 파사이트는 수동적으로 도메인 이름, IP 주소, 네임 서버 같은 인터넷 데이터를 수집, 보안 팀이 사이버 공격을 더 빨리 탐지할 수 있도록 조직의 온라인 상태에 대한 실시간, 역사적 인사이트를 제공하고 있다. 1983년에 가장 먼저 DNS 아키텍처 분야를 개척한 폴 모카페트리스도 파사이트의 이사회 이사다.

빅시는 인증을 강화하고, 누군가 다른 사람을 가장하지 못하도록 막는 DNS 확장 표준 프로토콜인 DNSSEC(Domain Name Systems Security Extensions)에 크게 기여한 인물로 더 잘 알려져 있다. 1996년에 등장한 솔루션이지만, 모든 이가 이를 도입해 배포한 것은 아니다. 빅시는 필자와 나눈 대화에서 "더 많은 일을 해야 하기 때문에 이를 활용하는 것을 주저하는 업계 사람들이 많다"고 말했다.

사실 그의 보안 분야 경력에 있어 근간이 되는 '주제'는 모든 사람들이 도입하지는 않지만, 큰 문제를 해결하는 기술을 개발하고, 여기에 자신의 노력을 쏟아 부었다는 것이다. 빅시는 "나 같은 사람의 조언은 문제가 내가 경고한 정도로 심각하다는 것을 믿지 못하는 사람들이 무시한다. 세상은 계속 돌아가는 것처럼 보이고, 스위치를 켜면 불이 들어온다. 또한 내가 설명하는 것처럼 나쁘지 않을 수도 있다"고 말했다.

그러나 빅시 박사는 우리가 만들고 있는 도구들은 그렇게 체계적이지 못하며, 또 잘 이해된 상태도 아니라고 말했다. 빅시는 "기술과 관련된 모든 것들이 절반만 완성되었고 겨우 작동한다. 그런데 지금 당장 작동하고 있는 부분이 어느 시점에서는 이례적인 것이 될 것이다. 크게 신경쓰지 않는 많은 것이 언젠가 용기있는 개인의 행동에 의해 대체될 수도 있다"고 예견했다. 

빅시 자신 또한 (자신의 표현을 빌리면) ’미드나잇 엔지니어링(midnight engineering)’이라는 용기있는 행동들을 다수 실천하고 있다. 그러나 그는 자신이 저지른 실수, 움켜쥐지 못한 기회에 대해서도 털어놨다. 그는 “아마도 가장 큰 실수는 메시지를 더 크게 만드는 방법으로 IP 단편화(IP fragmentation)를 사용한 것이다. 나쁜 생각이었다"고 고백했다. 


인터넷 보안에서 놓친 기회

폴 빅시는 거의 100%에 해당되는 서버에 자신의 DNS 소프트웨어가 구현되었던 1990년대 말, 인터넷을 더 안전하게 만들 기회가 있었다. 그러나 그와 지인들은 처음부터 다시 만들기에는 인터넷이 너무 크다고 생각했다. 빅시는 "우리가 틀렸다. 당시 30억 명의 사용자가 있었다. 이후 미래와 비교하면, 쉽게 변경할 수 있는 규모의 네트워크였다. 다시 말해, 근본부터 다시 디자인해야 할 시기였던 것이다"고 말했다.

일부 실수는 당시에도 명백했지만, 어느 누구도 도전이나 반박을 하지 않았다. 특히 인터넷이 급성장한 이후에 그랬다. 그는 친절하게 행동, 전체 세상에 이익과 도움이 되도록, 자신 주변에 협력 커뮤니티를 만들지 못한 것을 후회하고 있다.
빅시는 "당시 훨씬 더 공손하게 행동했어야 했다고 생각한다. 진심으로 그렇게 생각하고 있다"고 말했다.

그는 “현재 DNS 기술 커뮤니티에는 적대적인 무관용 문화가 '기준' 같이 자리를 잡았다. 내 초창기 행동이 '본보기’가 되면서 그렇게 된 측면이 많다. 더 나은 사람이어야 했다"고 후회했다.

폴 빅시는 클래식 모터사이클이 있는 웨스트 덴마크로 데려가고 있는 고속 열차가 아주 긴 터널로 들어갔다. 그 바람에 전화가 끊기고 말았다.


더 많은 능력을 갖추고, 더 정교해지고 있는 공격자들

지난 2년 간 도메인 하이재킹 사고가 증가하면서 DNS 보안 문제가 헤드라인을 장식했다. 정부가 배후에 있는 해커, 사이버 범죄자 모두 핵심 인프라에 대한 공격 방어를 촉구한 UN의 사이버전쟁 규범에도 불구하고, 다양한 방식으로 인터넷 백본을 표적으로 삼았다.

익시아(Ixia) 보안 연구원인 스테판 타나세는 “DNS가 인터넷 전화번호부라고 가정하면 DNS 하이재킹은 실제 결과를 초래하는 가짜 장난, 사기 전화나 다름없다”고 설명했다. 

필자는 루마니아 부쿠레슈티에 소재한 익시아 앞 카페에서 타나세를 만났다. 그는 백팩에서 두꺼운 종이 한 뭉치를 꺼냈다. 모두 DNS 보안에 대한 내용이었다. 타나세가 활동하는 동안 계속 중시한 분야 중 하나다. 타나세는 DNS를 표적으로 삼는 해커들의 능력이 점점 더 커지고, 정교해지고 있다고 말했다.

타나세는 "몇 년 전만 하더라도 기회주의적 공격이 많았다. 2013년에 뉴욕 타임스 웹사이트를 탈취했다고 주장한 SEA(Syrian Electronic Army) 같은 핵티비스트 공격을 예로 들 수 있다"고 말했다.

그러나 지금은 "표적화" 된 공격이 점점 더 증가하는 추세다. 타나세의 팀은 최근 페이팔, 지메일, 넷플릭스, 우버, 일부 브라질 은행, 호스팅 서비스로 가는 트래픽을 악성 웹사이트로 유도하는 공격 작전을 발견했다. 해커들은 패치가 적용되지 않은 경우가 많은 홈 라우터를 표적으로 삼았다. 알려진 펌웨어 취약점을 악용, DNS 서버 설정을 변경했다.

타나세는 “라우터에 탑재되는 메모리(RAM)와 연산력이 커지고, 저장 공간이 커지면서 사이버 범죄자들에게 더 매력적인 공격 매개체가 되고 있다"고 지적했다. 피해자는 자신이 공격을 당한 것조차 모르는 때가 많다. 타나세는 "컴퓨터에 바이러스 백신 프로그램을 설치한 후 자신은 안전하다고 안심한다. 그러나 라우터, ISP의 라우터, TLD의 DNS가 해킹 당할 수 있다"고 말했다.

타나세에 따르면, 해커들은 아주 많은 기법을 사용한다. 일부는 IoT 성장을 자신에게 유리하게 이용하는 기법들이다. 악성 웹 페이지가 방문자의 시스템에서 스크립트를 실행시켜 네트워크의 다른 머신을 표적으로 삼는 IoT 네트워크를 대상으로 한 DNS 리바인딩(DNS rebinding) 공격을 예로 들 수 있다. 또 DNS 증폭 DDoS 공격들도 있다. 이는 DNS 서버의 취약점을 익스플로잇 공격, 작은 쿼리를 더 큰 패킷으로 만들어 피해자의 서버에 많이 전송하는 종류의 공격이다.

또 보안 연구원들은 C&C(Command & Control) 서버와의 통신에 DSN 쿼리를 이용한 해커들도 발견했다. 타나세는 "이렇게 할 수 있는 이유가 무엇일까. sysadmin이 DNS 요청을 로그로 기록하지 못하는 경우가 많기 때문이다. 사이버 범죄자는 도메인 하나를 구입해서 DNS 서버를 구성한다. 그리고 그 도메인의 하위 도메인에 대한 요청을 받아들인다. 이후 암호화된 명령을 사용, 하위도메인이 C&C 서버와 통신하도록 만든다"고 설명했다.

타나세는 커피를 마신 후, 자신이 추적한 가장 활동이 활발한 DNS 사이버범죄 조직은 이런 범죄에 대한 법령 체계가 뒤쳐진 남미에 위치해 있다고 덧붙였다.


국가를 배후에 둔 공격자, DNS 서버를 표적으로 삼는다 

사이버 범죄자만 수상한 목적을 달성하기 위해 DNS를 침해하는 것이 아니다. 시스코 탈로스(Cisco Talos)는 최근 2개 이상의 국가 배후 공격 주체들을 분석했다. 이 업체의 홍보 담당 책임자 크레이그 윌리엄스는 화상 통화를 통해 이에 대한 내용을 알려줬다. 윌리엄스의 팀이 가장 처음 모니터링한 캠페인은 UAE와 레바논 정부 기관에서 로그인 크리덴셜을 훔친 "DNS피오나지(DNSpionage)"다. 표적으로 삼은 기관의 DNS 서버를 하이재킹, 트래픽을 자신들이 통제하는 인터넷 주소로 ‘리디렉션’시켰다. 이 캠페인에는 구인 공고가 실린 2개 악성 웹사이트가 사용되었으며, 피해자들은 매크로가 심어진 마이크로소프트 오피스 문서들을 다운로드 받았다.

윌리엄스는 “국가가 배후인 공격 주체들에게는 놀랍도록 흔한 공격이었다. 많은 사람이 국가가 배후인 공격에 대해 이야기를 듣고 말한다. 그리고 제로데이나 다른 탐지가 불가능한 공격을 떠올린다. 그러나 잘못된 생각이다. 일반적으로 국가가 배후인 공격은 아주 단순한, 아주 확실한 그런 종류의 공격들이다"고 설명했다.

윌리엄스는 "연구에 대한 흥미를 유발한 캠페인이었다. DNS피오나지는 DNS 위로 터널링되는 완전한 C&C 시스템을 갖고 있었다. 그런데 꽤 독창적인 부분이었다. 그러나 렛츠인크립트(Let's Encrypt)라는 출처의 자기 서명 인증서를 사용한 부분은 아주 일반적이었다"고 말했다.

DNS피오나지를 발견하고 얼마 지나지 않아 시스코 탈로스는 두 번째 국가 배후 캠페인을 탐지했다. 더 심각한 위협을 초래할 수 있는 씨터틀(Sea Turtle)이라는 캠페인이다. 배후의 공격 주체들은 중동과 북아프리카를 중심으로 13개 국가의 40여 조직을 표적으로 공격을 감행했다. 여러 피해자가 발생했다. 외무부 장관, 군사 조직, 에너지 조직, 정보기관 등도 있었고, DNS 등록기관, 통신업체, 인터넷 서비스 공급업체도 있었다. 시스코 탈로스에 따르면, 이 캠페인은 사이버 첩보 작전의 일환으로 도메인 등록 조직이 침해를 당한 첫 번째 알려진 사례에 해당된다.

윌리엄스는 "씨터틀의 공격 주체는 아주 뻔뻔했다. 발각된 후에도 공격 작전을 멈추지 않았다. 정부가 배후에 있는 공격자들에게 흔하지 않은 일이다. 심지어 이에 대한 보고서가 발표된 후에도 계속 공격했다. 어쩌면 지금 이 순간에도 공격을 하고 있을 수 있다"고 말했다.

윌리엄스는 이런 작전이 성공하면서 정부가 배후에 있는 공격자들이 DNS를 더 광범위하게 표적으로 삼는 것을 걱정하고 있다. 이는 모든 사람에게 재앙적인 결과를 가져올 것이다. 기업이나 상업적 실체를 공격하는 경우, 이는 사람들이 DNS에 갖고 있는 기본적인 신뢰를 해친다. 윌리엄스는 "전자상거래와 인터넷을 유지시키는 역할을 하는 신뢰다"고 강조했다.

윌리엄스는 정부가 서로를 해킹하는 것과 관련, 불법과 비도덕적인 행위에 대한 국제적 합의가 형성되어야 한다고 생각한다. 그는 이런 조약이 체결되지 않아 DNS를 표적으로 하는 공격이 급증하는 것을 우려하고 있다.

그는 "우리는 인터넷의 ‘서부 시대’에 살고 있다. 모든 사람이 일어나는 일을 개의치 않고 누구든지 공격하는 그런 시대다. 모두 인터넷 사용자로 하나가 되어 협력할 필요가 있다. 넘지 말아야 할 선을 정해 합의할 필요가 있다. 이런 합의가 없다면, 이런 종류의 공격이 계속 증가할 것이다. 어느 지점에 멈출지 대답을 할 수 없을 정도로 증가할 것이다"고 말했다.

또한 "A라는 정부가 B라는 정부를 공격하는 것은 상관하지 않겠다. 서로 해킹을 해도 상관없다. 그러나 그 과정에 DNS를 망가뜨려서는 안 된다"고 덧붙였다.


'좋은 사람들'에게 '무기(경쟁력)'를

폴 빅시가 탄 열차가 터널을 빠져나오면서 그와 조금 더 오래 대화를 할 수 있었다. 필자는 빅시가 강연한 한 컨퍼런스에서 한 말 중 하나를 기억한다. 그는 당시 보안 커뮤니티 종사자들에게 도움을 주고 싶은 세상에 대해 더 깊이 생각해 행동하고, 반영하라고 촉구한 바 있다. 구체적으로 빅시는 지난해 룩셈부르크에서 열린 Hack.lu에서 청중들에게 “많은 사람이 우리가 만든 것들이 사회에 미칠 영향은 이해하지 않고, 1과 0에만 초점을 맞췄다”고 말했다.

그는 당시 SIE(Social Innovation Europe)라는 이니셔티브도 소개했다. 기업과 기관이 수동적 DNS 데이터를 공유, 조사를 지원하고, 동시에 피싱, 랜섬웨어 같은 공격의 위험을 줄일 수 있는 이니셔티브이다. 빅시는 BFK CEO 크리스토프 피셔, CSIS 그룹을 공동 설립한 피터 크루세와 함께 SIE를 만들었다.

빅시는 정보 공유와 규제를 통해 전세계가 지금 직면하고 있는 보안 문제 가운데 일부를 해결할 수 있다고 믿는다. 그는 필자에게 "나는 GDPR(EU의 일반 개인정보보호법)을 환영한다. 내 지인 중 일부는 현재 워싱턴 DC에 이러한 책임의 틀을 만들자고 청원하고 있다"고 말했다.

빅시는 DNS 하이재킹과 관련, 구글닷컴이나 아마존닷컴과 같이 가치가 높은 도메인은 크게 걱정하지 않는다고 말했다. 최소한 레지스트라(registrar) 시스템을 통해, 이런 종류의 공격으로부터 스스로를 잘 방어하고 있기 때문이다. 그러나 보안 투자가 많지 않은 작은 웹사이트들은 계속 공격받을 것이라고 지적했다.

그는 또 하이재킹은 ‘빙산의 일각’에 불과하다고 말했다. “DNS 분야에서 수십 년을 종사한 기술자 입장에서 보안 문제를 판단했을 때, 가장 크게 걱정되는 것은 하이재킹이 아닌 다른 사람의 콘텐츠를 스푸핑 할 수 있을 때의 프로토콜 오용이다”고 설명했다. 이에 대한 해결책은 그가 개발에 도움을 줬던 DNSSEC라는 확장 표준 프로토콜이다. 그러나 모든 사람이 사용해야 하는 확장 표준이지만 그렇지 못한 상태다.

빅시는 복잡하고 힘든 일을 할 의지, 우리를 계속 위험에 노출시키는 큰 그림을 볼 의지가 없는 것이 문제라고 말했다. 그는 “세상이 더 나아지지 않는 이유를 알고 싶은가. 계속해서 정부에 부정부패, 금융 기관에 불법 부정행위가 발생하는 이유가 알고 싶은가. 사람들이 신경쓰고 싶지 않을 정도로 문제가 너무 많기 때문이다. 또 사람들은 그냥 자신의 삶을 살고 싶어하기 때문이다"고 말했다.
 
ⓒ Jamie Rain/ Lunch Break Headshots
빅시는 앞으로도 인터넷을 더 안전하게 만드는 일에 매진할 계획이다. 그는 “내게 남은 시간이 아주 많지는 않다. 나는 그 시간을 인류 역사에 도움과 발전이 되지 않는 일에는 쓰지 않을 계획이다”고 말했다.

인터넷을 보호하기 위해 싸우는 것이 헛되고 힘든 때가 많다. 때때로 휴식을 취하는 것은 여기에 도움을 준다. 서부 덴마크를 통과하는 기차가 서서히 느려지고 있다. 얼마 지나지 않아, 빅시가 탄 열차는 그가 모터사이클을 찾을 수 있는 도착지에 도착할 것이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.