Home > 전체기사

DNS 설정 잘못하면 에어갭 환경에 격리된 시스템도 위험해진다

  |  입력 : 2022-12-09 20:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
DNS가 공격의 통로가 될 수 있다는 연구 결과가 발표됐다. 얼마나 강력한 통로인지 인터넷과 다른 기타 망으로부터 완전히 분리시킨 고립 시스템까지도 공격할 수 있게 된다고 한다. 기업들의 DNS에 대한 높은 이해도가 요구되고 있는 시점이다.

[보안뉴스 문가용 기자] 기업 환경에서 DNS를 구축하는 여러 가지 방법 중 일부가 분리된 망에 침투하는 공격자들에게 악용될 수 있다는 연구 결과가 발표됐다. 즉 민감한 데이터나 장비를 분리된 망에서 별도로 보관하고 있지만, 그 분리된 망이 DNS 서버에 연결되어 있다면 데이터 침해 공격을 허용할 수 있다는 뜻이다. 이러한 내용을 보안 업체 펜테라(Pentera)가 정리해 발표했다.

[이미지 = utoimage]


정리한 내용에 따르면 공격자들은 DNS를 C&C 채널로 활용할 수 있다고 한다. 그리고 그 DNS 서버들이 인터넷과 연결되어 있다면 다른 네트워크와도 통신을 주고받는 게 가능하다. 사실상 DNS가 분리된 망들의 허브 역할을 한다는 것이다. 아무리 망을 철저하게 분리한다 한들 이러한 DNS가 있으면 아무런 소용이 없다는 게 펜테라의 연구 결과다.

일명 ‘에어갭(air-gapped)’ 네트워크는 인터넷에도 연결이 되지 않고, 조직 내 다른 업무 망들에도 연결되지 않은 별도의 독립적인 망을 말한다. 조직에서 가장 중요한 정보와 자료, 데이터를 보관할 때 이런 식으로 할 때가 많다. 그 누구도 직접 그 망에 물리적으로 접근하지 않는다면 다가갈 방법이 하나도 없게 만든 것이다.

하지만 이런 망에도 DNS 서비스는 필요하다. 네트워크의 발견 용이성을 위해 시스템들에 이름을 배정해야 하기 때문이다. 그런데 에어갭 네트워크를 관리하기 위한 DNS라면 설정 역시 조심스럽게 해야 한다는 게 펜테라의 설명인 것이다. “DNS라는 사소한 요소까지 신경 쓰지 않을 경우 에어갭의 존재 가치 자체가 사라지게 됩니다.” 펜테라 측의 설명이다.

기업들에 있어 이는 어떤 의미를 가지게 될까? 해커들이 분리된 망의 DNS를 통해 안정적으로 에어갭 시스템에 접근할 수 있으며, 각종 민감한 데이터를 빼돌릴 수 있다는 뜻이 된다. 게다가 그런 악성 행위들이 DNS를 통해 이뤄지기 때문에 대부분의 보안 도구는 이를 탐지하지도 못한다고 펜테라는 강조한다.

DNS, 잘못 설정하기 매우 쉬운 프로토콜
“에어갭 네트워크를 설정할 때 기업들이 가장 저지르기 쉬운 실수는 로컬 DNS 서버에 에어갭 시스템을 연결해 두고서는 모든 것이 안전해졌다고 믿는 것입니다. 왜냐하면 로컬 DNS 서버는 거의 대부분 공공 DNS 서버에 연결이 되어 있고, 그렇다는 건 사실 그 에어갭은 에어갭이 아니라는 뜻이 되기 때문입니다.”

펜테라는 DNS가 어떤 식으로 작동하는지 이해하는 것이 중요하다고 말한다. “그래야 DNS 설정의 실수를 최소화 할 수 있습니다. DNS에 대해 알면 알수록 설정의 실수가 줄어들고, 점검할 때의 꼼꼼함이 늘어납니다.”

DNS 프로토콜은 TCP 환경에서도 실행이 가능하지만 거의 대부분 UDP를 기반으로 하고 있다고 펜테라 측은 설명을 이어간다. “UDP를 기반으로 하고 있다는 건 보안 기능이 기본적으로 탑재되어 있지 않다는 뜻입니다. DNS를 통해 공격이 가능하다는 건 바로 이러한 특성 때문입니다. UDP 상에서는 데이터의 흐름을 통제할 방법이 사실상 없습니다. 흘러가는 순서도 정할 수 없습니다.”

즉, UDP에는 데이터 흐름과 관련된 오류가 발생해도 탐지되지 않는다는 뜻이 된다. 그래서 공격자들은 자신들이 전송할 페이로드를 미리 압축해두고, 전송 후 곧바로 압축을 해제할 수 있게 된다고 펜테라 측은 설명한다. “압축과 해제는 base64 등 다양한 인코딩 기술로 할 수 있습니다.”

공격은 어떤 순서로 이뤄질까? “제일 먼저 공격자는 자신이 뚫어내야 할 에어갭 시스템의 DNS와의 통신을 성공적으로 이뤄내야 합니다. DNS는 받아들이는 문자에 제한이 있습니다. 그래서 아무 문자나 막 입력할 수 없는데요, 입력할 수 없는 문자를 ‘나쁜 문자’라고 합니다. 게다가 전송할 수 있는 문자의 길이에도 제한이 있고요. 이런 제한 사항들을 알아내고 우회해서 통신하는 게 공격자들의 첫 번째 과제입니다.”

그 다음은 DNS 내 데이터 흐름을 제어할 수 없다는 것을 극복해야 한다. 공격자들은 이를 위해 서버에 미리 어떤 패킷이 보호를 받아야 하며, 어떤 패키지가 가장 나중에 오는 게 적합한지 고지할 수 있다. “또한 특정 패키지가 성공적으로 전송되기 전까지는 다른 패키지를 보내지 않는 방식을 사용해 순서를 억지로 정하는 것도 가능합니다.”

이제 여러 제한 사항들을 뚫고 DNS와 연결이 됐으며, 데이터를 주고 받는 흐름도 어느 정도는 제어할 수 있게 되었다. 그렇다면 이제 DNS 방어 시스템을 우회해야 한다. “즉 DNS 요청을 중간에서 막아서는 것을 극복해야 하는 건데요, 이를 위해 공격자는 요청을 보내는 쪽과 받는 쪽 모두가 알고 있고 또 전송될 것을 어느 정도 예측하고 있는 도메인 이름들을 생성해 사용해야 합니다. 이렇게 하면 DNS로의 접근을 막는 것을 비껴갈 수 있습니다.”

펜테라 측은 이런 식으로 공격을 이어가는 게 대단히 어려운 거라고 말하기는 힘들지만, 그렇다고 아무나 할 수 있는 것도 아니라고 말한다. 특히 어느 정도 자원을 보유한 해커들이어야 할 것이라고 짚었다. “적어도 공격 인프라 정도는 갖추고 있어야 할 것입니다. 그래야 DNS 내에서 도메인을 생성하고 지속적으로 요청을 보낼 수 있거든요. 이런 요청을 통해서 멀웨어를 심고 설정할 수 있습니다. 정적인 탐지 기법으로 방어하는 조직, 혹은 아주 기초적인 탐지 기능을 가지고 있는 조직이라면 이런 공격을 탐지하기 힘들 겁니다.”

DNS 공격 막기
현재 DNS를 겨냥한 혹은 DNS를 통한 공격은 계속해서 증가하는 중이다. 88%의 기업들이 2022년 DNS 공격을 한 번 이상 받아보았다고 조사되고 있을 정도다. 그렇기 때문에 이제 에어갭 문제를 떠나 DNS 공격이라는 것 자체를 기업들이 이해하고 방어할 줄 알아야 한다는 게 펜테라의 의견이다.

“에어갭 시스템의 DNS를 방어하려면 그 시스템 전용의 DNS 서버를 만드는 것이 좋습니다. 그리고 그 서버가 다른 망의 DNS와 연결되지 않도록 신경 써서 설정을 해야 합니다. 다른 DNS와의 연결을 허용하는 순간 결국 언젠가 인터넷과 연결이 되게 되어 있습니다.”

또 중요한 것 한 가지는 비정상적인 현상을 기반으로 한 탐지 기능을 네트워크에 탑재하는 것이다. 이 때 IDS/IPS 도구를 활용해 DNS 관련 활동들 중 이상한 걸 찾아내고 식별할 수 있어야 한다고 펜테라는 강조한다. “모든 기업들이 독특하고 고유한 환경을 갖추고 있죠. 그러니 비정상적인 것을 탐지하는 솔루션 역시 그 환경에 맞게 설정하여 운영해야 합니다.”

탐지와 식별이 필요한 DNS 관련 행동 패턴들의 사례는 다음과 같다.
1) 악성 도메인으로의 DNS 요청
2) 매우 짧은 시간 안에 발생하는 다량의 DNS 요청
3) 비정상적인 시간에 들어오는 DNS 요청

3줄 요약
1. 중요한 데이터를 보호할 때 사용하는 수단 중 하나는 에어갭.
2. 그런데 이 에어갭의 DNS 프로토콜을 일반적인 망처럼 설정하면 에어갭의 의미가 사라짐.
3. DNS를 악용한 공격이 계속 증가 중이니 어차피 DNS 관련 방어법은 기본적으로 익혀두어야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야