세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > Security
신원불명 해커들, 전 세계적인 규모의 DNS 하이재킹 공격 중
  |  입력 : 2019-01-11 11:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해커의 정확한 정체는 파악 어렵지만, 여러 증거 봤을 때 이란인인 듯
DNS 하이재킹 공격, 해커들에겐 간단한 공격...방어에 더 심혈 기울여야


[보안뉴스 문가용 기자] 이란의 해커들로 보이는 공격자들이 세계 수많은 조직들의 DNS 기록들을 조작했다. 이를 통해 네트워크 트래픽을 가로채고 수집할 수 있었다고 한다. 주요 조직들을 겨냥한 대규모 스파이 공격이 실시된 것이다.

[이미지 = iclickart]


이 공격에 피해를 입은 건 북미, 북아프리카, 중동 지역에 근거지를 두고 있는 다수의 도소매 사이트, 정부 기관, 인터넷 인프라 제공업체, 통신사라고 한다. 보안 업체 파이어아이(FireEye)는 이러한 공격을 수개월 동안 추적해왔으며, 최근 보고서를 작성해 발표했다.

보고서에 의하면 “유례없는 규모의 DNS 하이재킹 공격이지만 아직까지 배후 세력을 정확히 짚어내는 데에는 실패했다”고 한다. “하지만 가로채기, 저장, 네트워크 포워딩에 사용된 IP 주소나 장비 등 여러 증거와 정황을 봤을 때 공격자들은 이란에서 활동하는 자들이라고 보입니다.” 게다가 여태까지 피해자들은 이란 정부와 적대적인 위치에 있는 국가에 분포해 있기도 하다.

파이어아이의 수석 연구원인 벤 리드(Ben Read)는 “피해의 규모를 지금 시점에 정확히 설명하기가 어렵다”고 말한다. “민감한 정보에 접근했을 수도 있고, 이메일을 가로챘을 수도 있습니다. 즉 그동안 그들이 뭘 가져갔는지 정확히 알기가 힘들다는 겁니다. 공격자들이 내부 네트워크에 아무 것도 심지 않았기 때문에 분석이 쉽지 않습니다.”

지난 11월 시스코(Cisco)의 탈로스(Talos) 팀은 DNS피오나지(DNSpionage)라는 공격 캠페인을 추적하고, 그에 대한 보고서를 발표한 바 있다. DNS피오나지는 레바논과 UAE 있는 조직들을 노린 공격으로, 가짜 구인구직 웹사이트를 통해 멀웨어를 퍼트리는 방식이 사용되고 있었다. 뿐만 아니라 공격자들은 일부 정부 및 민간 기업의 DNS 트래픽을 우회함으로써 정보를 수집하기도 했다.

이번에 파이어아이가 발견한 공격 캠페인은 DNS피오나지의 연속선상에 있는 것으로 보인다. 리드는 “아직까지 공격자들이 DNS 기록들에 어떻게 접근했는지는 밝히지 못했다”고 설명한다. “하지만 한 가지 전략이 아니라 다양한 방법을 사용해 최초 접근에 성공했을 가능성이 높습니다.”

현재까지 파이어아이가 알아낸 바에 의하면 공격자들은 최소 세 가지 방법으로 DNS 기록들을 조작했다고 한다. “먼저는 도메인 이름과 IP 주소를 연결시켜주는 ‘DNS A’ 기록을 바꾼 경우가 있습니다. 이렇게 했을 때 도메인과 연결된 트래픽이 다른 곳으로 우회됩니다. 당연히 공격자들이 통제하는 도메인으로 흘러가게 되겠죠.”

그 다음 공격자들이 조작하고 변경한 건 DNS NS 기록들이다. 특정 조직의 이름 서버 기록을 공격자가 관리하는 도메인으로 연결시킨 것이다. “또, DNS 리디렉터(DNS Redirector)를 사용하는 경우도 있었습니다. DNS로의 요청에 대한 응답으로 공격자가 제어하는 IP 주소를 돌려주는 장치입니다.”

공격자들은 DNS 기록들을 바꾼 후 가짜 렛츠인크립트(Let's Encrypt) 인증서를 사용해 라우팅이 다시 되는 트래픽의 암호화를 유지했다. “의심의 빌미를 최소화 한 것이라고 볼 수 있습니다.”

보안 업체 NS1의 CEO인 크리스 비버스(Kris Beevers)는 “이번에 파이어아이가 발표한 DNS 하이재킹 공격은, 어지간한 해커들에게 매우 간단한 공격”이라고 설명한다. “공격자들이 해야 할 일이라곤 대부분의 경우 DNS 제공업체나 등록기관의 로그인 크리덴셜을 훔쳐내는 것뿐이거든요. 그게 아니라면 BGP 하이재킹 공격을 하거나 특정 사용자가 사용하는 DNS 리졸버를 장악할 수도 있습니다.”

리드는 “방어하는 조직의 입장에서는 도메인 관리자 패널에 강력한 인증 수단을 적용시켜야 한다는 뜻”이라고 결론을 내린다. “또한 DNS 로그를 모니터링하고 DNSSEC을 적용해 정보의 출처를 확인할 수 있어야 합니다.”

3줄 요약
1. 이란의 공격자로 보이는 해커들, 대규모 DNS 하이재킹 공격 중.
2. 이로 인해 유례 없는 규모의 정찰 활동이 이뤄지고 있음.
3. DNS 공격은 생각보다 간단하기 때문에 철저한 방어 수단을 여러 겹 마련해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)