대담하고 뻔뻔한 시 터틀 공격자들, DNS 하이재킹 즐겨해

유독 대담하고 뻔뻔하며 집요한 공격자라는 별명 붙어...들켜도 직진
DNS 하이재킹 통해 표적이 된 조직들의 크리덴셜 수집...지역도 다양

[보안뉴스 문가용 기자] 2019년 4월 시스코 탈로스(Cisco Talos) 팀은 DNS 하이재킹 기술을 동반한 국가 지원 해커들의 공격에 대해 발표했다. 약 13개국 40개 조직이 이 공격에 속수무책으로 당하고 있었다. 이 캠페인에는 시 터틀(Sea Turtle)이라는 이름이 붙었고, 공격자들은 유난히 끈질긴 것으로 나타났다.

[이미지 = iclickart]

끈질기다는 평가는 정확했다. 탈로스 팀에 의해 발각된 이후 공격 인프라를 바꿔서 다시 공격을 시작한 사실이 다시 한 번 발견됐기 때문이다. 시스코 탈로스 팀은 최근에 새로운 방식의 DNS 하이재킹 공격 캠페인을 발견했는데, ‘시 터틀’의 공격자들과 연관이 있는 것으로 나타났다. “보통 국가 지원 해커들은 한 번 들키면 공격을 잠시라도 중단합니다. 그런데 시 터틀 배후에 있는 자들은 그렇지 않습니다. 즉시 새로운 수법을 가지고 와요.”

최근 발견된 새로운 캠페인에서 표적이 되고 있는 건 두 개의 조직들이라고 한다. “다만 더 많은 피해자가 있는데, 아직 발견이 안 된 것일 수도 있습니다.” 공격자들은 이 조직들의 도메인 이름 서버 기록들을 조작하여 정상 사용자들이 공격자들의 서버로 들어오도록 유도하고 있다. “공격자들이 제어하고 있는 네임 서버와 하이재킹 된 호스트 이름이 잠시 동안 같은 IP 주소로 연결됩니다. 잠시라는 건 24시간 미만을 말합니다.”

탈로스가 발견한 한 피해 조직의 경우, 네임 서버 기록들이 원래의 네임 서버 호스트네임과 거의 똑같아 보이도록 조작되어 있었다. 단 세 시간 동안 공격자들이 제어하는 IP 주소가 세 개의 호스트 이름을 호스팅했다. 두 개는 공격자들이 제어하는 이름 서버였고, 하나는 웹 메일 호스트 이름이었다. 이 세 시간 동안 시 터틀 공격자들은 중간자 공격을 실시하며 크리덴셜을 수집했다. 이런 비슷한 수법의 공격에 당한 피해 단체는 중동과 북아프리카에 있었다고 한다.

시 터틀 공격자들의 집요함이 드러나는 건 그리스의 국가 코드 최상위 도메인(ccTLD)인 ICS-Forth를 겨냥한 공격에서였다. 탈로스가 시 터틀의 공격에 대해 보고서를 발표하고서도 최소 5일 동안 침해 공격이 계속해서 시도된 것이다. 또한 이들은 PHP-프록시를 사용해 blog.talosintelligence.com과 ncsc.gov.uk를 검색하기도 했다. 아마도 탈로스가 DNS 하이재킹에 대해 작성한 보고서와 DNS 하이재킹과 관련된 국가 기관의 보고서를 열람하기 위해서인 것으로 보인다. 자신들이 들키면 숨는 게 아니라, 직접 적진(?)에 침투해 자신들이 얼마나 파악되었는지 알아보려 한 대담함까지 가지고 있다는 것이다.

시 터틀의 공격 행위는 아직도 지속되고 있다. 중동과 북아프리카의 단체들이 주요 표적이었고, 그 다음으로는 스웨덴의 단체들이 피해를 입은 바 있다. 그리고 다시 나타난 시 터틀은 그리스, 키프로스, 수단, 미국을 공격하고 있다. 정부 기관, 에너지 분야 사업체, 오피니언 리더, 국제 NGO가 이들이 가장 좋아하는 목표로 보이며, 공항 한 군데도 당한 것으로 나타난다. 그 외 통신사들과 인터넷 서비스 제공업체들도 간간히 공격 대상이 되고 있다.

탈로스는 “DNS 하이재킹 공격을 막기 위해서 각 조직들은 인터넷 등록 기관(registrar)에 다중인증을 도입해야 한다”고 권장한다. 또한 원격에서 기업 네트워크로 연결할 때 VPN을 사용하는 것도 좋은 방법이라고 말한다. “여기에 더해 비정상적인 상황에서 연결 요청이 들어오는 경우를 모니터링하고, 레지스트리 잠금 서비스를 신청하는 것도 보안을 강화할 수 있는 방법입니다. 이러면 불법적인 DNS 기록 조작이 어렵게 되죠. 무엇보다 DNSSEC을 구축하는 것이 중요합니다.”

3줄 요약
1. 시 터틀이라는 캠페인 실시하는 공격자들, 유난히 끈질기고 집요함.
2. 공격이 들켜도 멈추지 않고, 오히려 자신들을 추적하는 기관과 업체에 침투해 보고서까지 열람함.
3. 시 터틀이 가장 즐겨 사용하는 전략은 DNS 하이재킹. DNSSEC 도입하는 것이 중요.
[국제부 문가용 기자(globoan@boannews.com)]

코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
	마이크로소프트의 팀즈(Teams)
	시스코시스템즈의 웹엑스(Webex)
	구글의 행아웃 미트(Meet)
	줌인터내셔녈의 줌(Zoom)
	슬랙의 슬랙(Slack)
	NHN의 두레이(Dooray)
	이스트소프트의 팀업(TeamUP)
	토스랩의 잔디(JANDI)
	기타(댓글로)