네트워크

“DNS 공격은 긴급한 위협” ICANN, 도메인 업계의 DNSSEC 전면 도입 촉구

Michael Cooney | Network World 2019.02.27
DNS에 대한 공격이 계속되면서 ICANN은 DNSSEC 서비스로 기업 데이터를 훼손할 수 있는 공격을 차단할 수 있도록 기업이 서비스 업체를 압박해 줄 것을 촉구했다.

ⓒ GettyImagesBank

강력한 악성 공격이 인터넷과 DNS 보안 인프라의 핵심에 근본적인 위험 요소가 되고 있다. 그리고 날로 높아지는 위험에 ICANN(Internet Corporation for Assigned Names and Numbers)이 더 강력한 DNS 보안 기술을 설치할 수 있도록 관련 업계의 좀더 적극적인 노력을 호소했다.

특히 ICANN은 DNSSEC(Domain Name System Security Extensions)를 모든 안전하지 않은 도메인 이름에 전면적으로 배치할 것으로 촉구하고 있다. 인터넷의 전화부라 불리는 DNS는 전세계 인터넷 인프라의 한 부분으로, 일반적인 언어의 도메인 이름과 IP 주소 간의 변역 기능으로 컴퓨터가 웹 사이트에 접속하고 이메일을 전송할 수 있도록 해 준다. DNSSEC는 여기에 보안 계층을 추가한 기술이다.

사실 DNSSEC는 2010년경에 등장한 기술이지만, 폭넓게 배치되지는 않았다. 아태지역 담당 IP 주소 등록기관인 APNIC에 따르면, 도메인 관리 대행 기관인 도메인 레지스트라 중 20%만이 DNSSEC를 배치했다.

이처럼 DNSSEC 도입이 지지부진한 이유는 선택사항이자 보안과 기능성 중에 하나를 타협해야 하는 문제로 보이기 때문이다. DNS 업체인 NS1의 CEO 크리스 비버스는 DNSSEC가 DNS 기록의 암호화 사인으로 진짜임을 인증하는 방법으로 DNS 쿼리 응답의 무결성을 해칠 수 있는 공격을 막을 수 있다고 설명했다.

비버스는 “하지만 구현된 DNSSEC 대부분은 여분의 DNS 구성이나 DNS 기반 트래픽 관리 기능을 이용한 동적 응답 등 현대적인 DNS의 요구사항과 호환되지 않는다”라며, “레거시 DNSSEC 구현 기능은 지역 라우팅과 같은 기본적인 기능만을 갖추고 있으며, 여러 솔루션 업체에 걸쳐 적용하기도 어려워 성능이 열악하고 최종 사용자의 가용성도 떨어진다”고 지적했다.

전격적인 DNSSEC 배치는 최종 사용자가 특정 도메인 이름에 상응하는 실제 웹 사이트나 서비스에 연결할 수 있도록 보장한다. ICANN은 “모든 인터넷 보안 문제를 해결할 수는 없지만, 핵심적인 요소인 디렉토리 참조를 보호해 SSL과 같은 다른 기술을 보완한다”고 설명했다.

DNSSEC 기술 사용 확대를 촉구하는 발표문에서 ICANN은 최근의 한 공개 보고서에서 서로 다른 방법을 사용하는 다면적 공격 패턴이 부상하고 있음을 언급했다. ICANN은 “DNS를 대상으로 한 일부 공격은 도메인 이름이 만들어지는 정식 구조를 승인없이 변경해 의도한 서버의 주소를 공격자가 통제하는 시스템의 주소로 바꿔치기한다. DNS을 노리는 이런 특정 공격 유형은 DNSSEC가 사용되지 않을 때만 동작한다”고 강조했다.

비버스는 “잠재적 공격 대상인 기업, 특히 애플리케이션을 통해 사용자와 기업 데이터를 캡처하거나 노출하는 기업은 ICANN의 경고에 귀를 기울이고 반드시 DNS 및 레지스트라 업체에 DNSSEC 및 기타 도메인 보안 베스트 프랙티스를 쉽게 구현하고 표준화할 수 있도록 압력을 행사해야만 한다. 이들 업체는 오늘날 시장에 나와 있는 기술로 DNSSEC를 쉽게 구현할 수 있다”고 강조했다. 또 최소한 이들 업체와 공조해 보안팀이 ICANN의 점검 목록 각각을 감사할 수 있도록 해야 한다고 덧붙였다.

ICANN은 보통 장기적인 관점을 견지하는 기관이다. 그런데 ‘경보’나 ‘현재 진행 중인 현저한 위협” 같은 긴급한 표현을 사용한다는 것은 ICAAN이 이 문제를 도메인 구조의 생태계와 산업계, 소비자 모두에 치명적인 위협이라고 생각하는 것이다.

ICANN은 도메인 업계 구성원인 등록기관, 관리대행기관, 재판매업체 등이 자사 시스템은 물론, 고객의 시스템과 DNS를통해 접근할 수 있는 정보를 보호하기 위해 수행해야 하는 권장 보안 예방조치를 위한 점검 목록을 제시했다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.