대담하고 뻔뻔한 시 터틀 공격자들, DNS 하이재킹 즐겨해

유독 대담하고 뻔뻔하며 집요한 공격자라는 별명 붙어...들켜도 직진
DNS 하이재킹 통해 표적이 된 조직들의 크리덴셜 수집...지역도 다양

[보안뉴스 문가용 기자] 2019년 4월 시스코 탈로스(Cisco Talos) 팀은 DNS 하이재킹 기술을 동반한 국가 지원 해커들의 공격에 대해 발표했다. 약 13개국 40개 조직이 이 공격에 속수무책으로 당하고 있었다. 이 캠페인에는 시 터틀(Sea Turtle)이라는 이름이 붙었고, 공격자들은 유난히 끈질긴 것으로 나타났다.

[이미지 = iclickart]

끈질기다는 평가는 정확했다. 탈로스 팀에 의해 발각된 이후 공격 인프라를 바꿔서 다시 공격을 시작한 사실이 다시 한 번 발견됐기 때문이다. 시스코 탈로스 팀은 최근에 새로운 방식의 DNS 하이재킹 공격 캠페인을 발견했는데, ‘시 터틀’의 공격자들과 연관이 있는 것으로 나타났다. “보통 국가 지원 해커들은 한 번 들키면 공격을 잠시라도 중단합니다. 그런데 시 터틀 배후에 있는 자들은 그렇지 않습니다. 즉시 새로운 수법을 가지고 와요.”

최근 발견된 새로운 캠페인에서 표적이 되고 있는 건 두 개의 조직들이라고 한다. “다만 더 많은 피해자가 있는데, 아직 발견이 안 된 것일 수도 있습니다.” 공격자들은 이 조직들의 도메인 이름 서버 기록들을 조작하여 정상 사용자들이 공격자들의 서버로 들어오도록 유도하고 있다. “공격자들이 제어하고 있는 네임 서버와 하이재킹 된 호스트 이름이 잠시 동안 같은 IP 주소로 연결됩니다. 잠시라는 건 24시간 미만을 말합니다.”

탈로스가 발견한 한 피해 조직의 경우, 네임 서버 기록들이 원래의 네임 서버 호스트네임과 거의 똑같아 보이도록 조작되어 있었다. 단 세 시간 동안 공격자들이 제어하는 IP 주소가 세 개의 호스트 이름을 호스팅했다. 두 개는 공격자들이 제어하는 이름 서버였고, 하나는 웹 메일 호스트 이름이었다. 이 세 시간 동안 시 터틀 공격자들은 중간자 공격을 실시하며 크리덴셜을 수집했다. 이런 비슷한 수법의 공격에 당한 피해 단체는 중동과 북아프리카에 있었다고 한다.

시 터틀 공격자들의 집요함이 드러나는 건 그리스의 국가 코드 최상위 도메인(ccTLD)인 ICS-Forth를 겨냥한 공격에서였다. 탈로스가 시 터틀의 공격에 대해 보고서를 발표하고서도 최소 5일 동안 침해 공격이 계속해서 시도된 것이다. 또한 이들은 PHP-프록시를 사용해 blog.talosintelligence.com과 ncsc.gov.uk를 검색하기도 했다. 아마도 탈로스가 DNS 하이재킹에 대해 작성한 보고서와 DNS 하이재킹과 관련된 국가 기관의 보고서를 열람하기 위해서인 것으로 보인다. 자신들이 들키면 숨는 게 아니라, 직접 적진(?)에 침투해 자신들이 얼마나 파악되었는지 알아보려 한 대담함까지 가지고 있다는 것이다.

시 터틀의 공격 행위는 아직도 지속되고 있다. 중동과 북아프리카의 단체들이 주요 표적이었고, 그 다음으로는 스웨덴의 단체들이 피해를 입은 바 있다. 그리고 다시 나타난 시 터틀은 그리스, 키프로스, 수단, 미국을 공격하고 있다. 정부 기관, 에너지 분야 사업체, 오피니언 리더, 국제 NGO가 이들이 가장 좋아하는 목표로 보이며, 공항 한 군데도 당한 것으로 나타난다. 그 외 통신사들과 인터넷 서비스 제공업체들도 간간히 공격 대상이 되고 있다.

탈로스는 “DNS 하이재킹 공격을 막기 위해서 각 조직들은 인터넷 등록 기관(registrar)에 다중인증을 도입해야 한다”고 권장한다. 또한 원격에서 기업 네트워크로 연결할 때 VPN을 사용하는 것도 좋은 방법이라고 말한다. “여기에 더해 비정상적인 상황에서 연결 요청이 들어오는 경우를 모니터링하고, 레지스트리 잠금 서비스를 신청하는 것도 보안을 강화할 수 있는 방법입니다. 이러면 불법적인 DNS 기록 조작이 어렵게 되죠. 무엇보다 DNSSEC을 구축하는 것이 중요합니다.”

3줄 요약
1. 시 터틀이라는 캠페인 실시하는 공격자들, 유난히 끈질기고 집요함.
2. 공격이 들켜도 멈추지 않고, 오히려 자신들을 추적하는 기관과 업체에 침투해 보고서까지 열람함.
3. 시 터틀이 가장 즐겨 사용하는 전략은 DNS 하이재킹. DNSSEC 도입하는 것이 중요.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다