2013.08.30

DNS 공격의 3가지 유형, 그리고 대응법

Steve Ragan | CSO

시리아 전자군대가 뉴욕 타임즈•트위터• 허핑턴포스트(Huffington Post)가 사용하는 DNS 레코드를 변경한 것으로 알려졌다. 이 변경은 한 사이트를 오프 라인으로 만들어 다른 사이트에 문제를 일으켰다. 이러한 공격이 어떻게 발생하고 어떻게 완화시킬 수 있는지 3가지 방법을 소개한다.

도메인 네임 서버(DNS)는 IP 주소를 도메인명으로 전환해 준다. 당신이 65.221.110.97 이라는 숫자를 외우지 않고도 CIO.com에 접속할 수 있는 것도 바로 이 DNS 때문이다.

이 DNS에 이상이 발생했을 때, 우리는 몇 가지 문제를 경험할 수 있다. 공격자들이 훼손된 DNS 서버를 이용하는 방식은 일반적으로 2가지가 있다. 첫 번째 방식은 서버로 유입되는 트래픽을 공격자들이 지정한 방향으로 전환하는 것이다. 이 방식을 통해 공격자들은 추가 공격의 발판을 마련할 수도 있고, 혹은 중요 정보를 포함하는 트래픽 로그들을 수집할 수도 있다.

공격자들이 애용하는 두 번째 방식은 모든 발신 이메일(in-bound email)을 포착하는 것이다. 이것이 위험한 이유는 공격자들이 빼돌린 수신 메일에 기업을 대신해, 기업의 도메인으로 이메일을 전송할 수 있기 때문이다.

이 경우 수신자는 해당 이메일을 진짜 기업이 보낸 것인지, 아니면 이메일을 빼돌린 범죄자들이 보낸 것인지 구별하기란 매우 어렵게 된다. 그리고 마지막으로 이야기할 최악의 상황은, 공격자들이 이 2가지 전략을 모두 활용하는 것이다.

라피드7(Rapid7)의 최고 연구 책임자(CRO) HD 무어는 <CSO>와의 이메일 인터뷰에서 “첫 번째 시나리오는 방문자들을 공격하는데 이용될 수 있는 것으로, 위협의 대상은 방문자의 로그인 인증서나 계정 정보다.

일반적인 해결책으로는 보안 소킷 계층(SSL, Security Socket Layer)을 실행하는 것이 가능하지만, 공격자가 (두 번째 방식을 이용해) 당신 명의의 신규 인증서를 등록한다면 방어 체계는 무력화될 수 있다. 공격자가 유효한 SSL 인증서와 당신의 DNS에 대한 통제권을 확보하게 된다면 당신의 서버에 접속하지 않고도 ‘당신이 될’ 수 있다”라고 설명했다.

트래픽 관리 및 DNS 전문 기관 딘(Dyn Inc.)의 CTO 코리 본 월른스타인(Cory von Wallenstein)은 블로그 포스트를 통해 이 3가지 유형의 DNS 공격에 대한 대응법을 소개했다.

캐시 중독 공격
첫 번째 유형의 DNS 공격은 캐시 중독 공격(cache poisoning attack)이라고 한다. 이는 공격자가 악성 DNS 데이터를 다수의 ISP에 의해 운영되는 순환적 DNS 서버(recursive DNS server)들에 침투 시키는데 성공했을 때 일어날 수 있는 공격이다. 본 윌른스타인은 이와 같은 유형의 DNS 서버는 네트워크 구성(network topology)의 관점에서 보자면 사용자들에게 가장 가까운 위협인 동시에 그 타격이 이들 서버와 연결된 특정 사용자들에게 한정된다는 특징을 지닌다고 설명했다.

그는 “위협을 피하는 방법으로는 감염된 영역을 고립 시키거나 DNS 보안성 확장(DNSSEC, DNS Security Extensions)과 같은 우수한 표준들로 추가적 보호막을 마련하는 전략 등이 가능할 것이다”라고 덧붙였다.

DNSSEC의 실행이 어렵거나 실행의 효과가 없을 경우 고려해볼 수 있는 이후의 대응책은 보호가 필요한 네임 서버에 순환을 제한하는 것이다. 순환은 어떤 서버가 그것이 캐시에 저장해 둔 정보만을 제출하는지, 혹은 그것이 최선의 결론을 도출하기 위해 인터넷을 통한 타 서버들과의 통신을 진행할 수 있는지를 확인 시켜준다.

딘의 보안 담당 이사인 크리스 브랜튼은 <CSO>의 이메일 인터뷰에서 “많은 캐시 중독 공격은 시스템 감염에 순환 기능을 이용한다. 따라서 순환의 범위를 내부 시스템으로만 한정하는 것 만으로도 노출 위협을 (모든 캐시 중독 공격 인자를 해결하기는 어렵겠지만) ‘상당 부분’ 해소할 수 있다”라고 설명했다.
 



2013.08.30

DNS 공격의 3가지 유형, 그리고 대응법

Steve Ragan | CSO

시리아 전자군대가 뉴욕 타임즈•트위터• 허핑턴포스트(Huffington Post)가 사용하는 DNS 레코드를 변경한 것으로 알려졌다. 이 변경은 한 사이트를 오프 라인으로 만들어 다른 사이트에 문제를 일으켰다. 이러한 공격이 어떻게 발생하고 어떻게 완화시킬 수 있는지 3가지 방법을 소개한다.

도메인 네임 서버(DNS)는 IP 주소를 도메인명으로 전환해 준다. 당신이 65.221.110.97 이라는 숫자를 외우지 않고도 CIO.com에 접속할 수 있는 것도 바로 이 DNS 때문이다.

이 DNS에 이상이 발생했을 때, 우리는 몇 가지 문제를 경험할 수 있다. 공격자들이 훼손된 DNS 서버를 이용하는 방식은 일반적으로 2가지가 있다. 첫 번째 방식은 서버로 유입되는 트래픽을 공격자들이 지정한 방향으로 전환하는 것이다. 이 방식을 통해 공격자들은 추가 공격의 발판을 마련할 수도 있고, 혹은 중요 정보를 포함하는 트래픽 로그들을 수집할 수도 있다.

공격자들이 애용하는 두 번째 방식은 모든 발신 이메일(in-bound email)을 포착하는 것이다. 이것이 위험한 이유는 공격자들이 빼돌린 수신 메일에 기업을 대신해, 기업의 도메인으로 이메일을 전송할 수 있기 때문이다.

이 경우 수신자는 해당 이메일을 진짜 기업이 보낸 것인지, 아니면 이메일을 빼돌린 범죄자들이 보낸 것인지 구별하기란 매우 어렵게 된다. 그리고 마지막으로 이야기할 최악의 상황은, 공격자들이 이 2가지 전략을 모두 활용하는 것이다.

라피드7(Rapid7)의 최고 연구 책임자(CRO) HD 무어는 <CSO>와의 이메일 인터뷰에서 “첫 번째 시나리오는 방문자들을 공격하는데 이용될 수 있는 것으로, 위협의 대상은 방문자의 로그인 인증서나 계정 정보다.

일반적인 해결책으로는 보안 소킷 계층(SSL, Security Socket Layer)을 실행하는 것이 가능하지만, 공격자가 (두 번째 방식을 이용해) 당신 명의의 신규 인증서를 등록한다면 방어 체계는 무력화될 수 있다. 공격자가 유효한 SSL 인증서와 당신의 DNS에 대한 통제권을 확보하게 된다면 당신의 서버에 접속하지 않고도 ‘당신이 될’ 수 있다”라고 설명했다.

트래픽 관리 및 DNS 전문 기관 딘(Dyn Inc.)의 CTO 코리 본 월른스타인(Cory von Wallenstein)은 블로그 포스트를 통해 이 3가지 유형의 DNS 공격에 대한 대응법을 소개했다.

캐시 중독 공격
첫 번째 유형의 DNS 공격은 캐시 중독 공격(cache poisoning attack)이라고 한다. 이는 공격자가 악성 DNS 데이터를 다수의 ISP에 의해 운영되는 순환적 DNS 서버(recursive DNS server)들에 침투 시키는데 성공했을 때 일어날 수 있는 공격이다. 본 윌른스타인은 이와 같은 유형의 DNS 서버는 네트워크 구성(network topology)의 관점에서 보자면 사용자들에게 가장 가까운 위협인 동시에 그 타격이 이들 서버와 연결된 특정 사용자들에게 한정된다는 특징을 지닌다고 설명했다.

그는 “위협을 피하는 방법으로는 감염된 영역을 고립 시키거나 DNS 보안성 확장(DNSSEC, DNS Security Extensions)과 같은 우수한 표준들로 추가적 보호막을 마련하는 전략 등이 가능할 것이다”라고 덧붙였다.

DNSSEC의 실행이 어렵거나 실행의 효과가 없을 경우 고려해볼 수 있는 이후의 대응책은 보호가 필요한 네임 서버에 순환을 제한하는 것이다. 순환은 어떤 서버가 그것이 캐시에 저장해 둔 정보만을 제출하는지, 혹은 그것이 최선의 결론을 도출하기 위해 인터넷을 통한 타 서버들과의 통신을 진행할 수 있는지를 확인 시켜준다.

딘의 보안 담당 이사인 크리스 브랜튼은 <CSO>의 이메일 인터뷰에서 “많은 캐시 중독 공격은 시스템 감염에 순환 기능을 이용한다. 따라서 순환의 범위를 내부 시스템으로만 한정하는 것 만으로도 노출 위협을 (모든 캐시 중독 공격 인자를 해결하기는 어렵겠지만) ‘상당 부분’ 해소할 수 있다”라고 설명했다.
 



X