“美, IoT·DNS 이용 대규모 디도스 공격 발생”
상태바
“美, IoT·DNS 이용 대규모 디도스 공격 발생”
  • 김선애 기자
  • 승인 2016.10.24 08:44
  • 댓글 0
이 기사를 공유합니다

트위터·넷플릭스·NYT 서비스 장애…공격 취약한 IoT·DNS 보안 방안 마련해야

IoT 기기를 이용한 대규모 디도스 공격으로 트위터, 넷플릭스, 뉴욕타임즈 등 미국의 주요 IT 기업과 언론사 등 1200여개 웹사이트가 접속이 중단됐다. 이 사고는 DNS 서비스를 제공하는 IT 기업 딘(Dyn)이 디도스 공격을 당하면서 발생한 것이며, 공격을 발생시킨 주범은 디지털 카메라, 라우터, DVD 등 일상에서 사용되는 가전제품이 활용됐을 가능성이 제기되면서 충격을 주고 있다.

보안 기능 없는 IoT, 공격에 악용되기 쉬워

이 사고는 IoT 기기를 이용했다는 점과 DNS를 이용했다는 점, 두 가지 시사점을 갖는다.

IoT 기기가 디도스에 악용될 것이라는 경고는 이미 오래 전부터 제기돼 온 것이다. IoT 기기 중에서는 보안 기능을 갖지 않고 단순히 인터넷 연결 기능만을 탑재한 기기들이 다수 있다. 스마트TV, 스마트 냉장고, 스마트카, 유무선 공유기, 가정용 냉난방장치 등 일상생활에서 사용되는 각종 디지털 가전제품이 인터넷에 연결된다.

이들 기기에는 별도의 보안 제품이 탑재돼 있지 않으며, 패치 업데이트도 거의 이뤄지지 않는다. 심지어 패스워드 설정과 같은 기본적인 보안 정책을 제어하는 기능도 없다. 따라서 이들 기기의 제어권을 획득하면 얼마든지 마음대로 공격에 이용할 수 있다.

2014년 SK브로드밴드의 디도스 공격은 대규모의 가정용 공유기가 해킹을 당해 발생한 것으로, 공격에 이용된 대부분의 공유기는 비밀번호조차 제대로 관리되지 않았던 것으로 밝혀졌다.

IoT 보안을 위해서는 IoT 기기 제조 단계에서부터 보안을 고려한 설계가 이뤄져야 한다. 보안칩을 사용하고 시큐어OS를 이용해야 하며, 단순한 기능만을 수행하는 IoT 기기는 강력한 화이트리스트 정책을 설정해 공격 행위를 무력화 하는 방안이 필요하다.

DNS, 적은 비용으로 효과적인 공격 가능

DNS 서비스를 이용하는 것도 디도스 공격이 쉽게 이뤄지는 방법 중 하나이다. DNS는 웹사이트의 IP 주소록이라고도 할 수 있는데, 사용자가 방문하고자 하는 웹사이트의 IP주소를 자동으로 변환시켜주는 서버를 말한다.

예를 들어 사용자가 ABC라는 회사의 www.abc.co.kr이라는 사이트에 접속하기 위해 웹브라우저 인터넷 주소창에 이 주소를 입력하거나 포털에서 해당 사이트의 이름을 검색한 후 해당 링크를 클릭하면, 웹브라우저는 가장 가까운 DNS 서버(A)에 www.abc.co.kr의 IP주소를 물어본다. 일반 사용자라면 KT와 같은 DNS 서비스를 통하게 되는데, 이번 미국에서 일어난 디도스 공격에 이용된 딘이 그러한 DNS 서비스 사업자이다.

DNS 서버 A는 ABC사의 DNS 서버(B)에 IP주소를 물어본 후, 답변을 받아 사용자 웹브라우저에 준다. 그러면 웹브라우저가 이 주소를 갖고 사이트에 접속하게 된다.

DNS 서버는 요청하는 사람이 정상 사용자이든 해커이든 관계 없이 IP 주소만 알려주면 되기 때문에 사용자 인증 기능은 없지만 속도가 빠른 UDP 프로토콜을 사용한다. 이 때문에 DNS를 악용하는 공격의 성공률이 높은 편이다.

디도스·데이터 유출·피싱/파밍에 이용되는 DNS

DNS를 악용하는 공격은 DNS 서버에 많은 양의 쿼리를 보내 DNS 서버를 마비시키거나 존재하지 않는 서브 도메인을 요청해 DNS 캐시를 손상시키는 방법, 가짜 목적지의 소스 IP 주소를 포함하는 SYN 패킷을 보내는 방법 등으로 DNS 서버를 마비시킬 수 있다. 이 방식으로 해당 DNS를 통해 사이트에 접속하게 되는 서비스에 장애를 일으킬 수 있다.

DNS 서비스를 제공하는 전용 사업자의 경우, 수백대의 DNS 서버를 운영하고 있으며, 방화벽, IPS, DDoS 방어 장비 등 보안 솔루션을 갖추고 있어 공격을 어느 정도 방어할 수 있다. 그러나 앞서 예로 든 사례 중 ABC사에서 운영하는 DNS 서버(B) 처럼 사내에 설치된 DNS 서버는 구축된 서버의 대수도 많지 않을 뿐 아니라 보안 시스템을 제대로 갖춰져 있지 않은 경우가 대부분이다.

DNS는 디도스 뿐만 아니라 데이터 유출 경로로도 이용된다. DNS 포트 53을 통해 IP 프로토콜 트래픽을 터널링하고, 훔친 데이터나 터널 IP 트래픽을 전달한다. 이 경로는 차세대 방화벽이 탐지하지 못하기 때문에 효과적으로 데이터를 빼내갈 수 있다. 피싱, 파밍에도 DNS를 이용한다. DNS 서버에 가짜 IP 주소를 입력해 사용자를 피싱·파밍 사이트로 유도하는 공격이다.

▲DNS를 이용한 DrDoS(자료: 인포블록스)

보안 강화된 DNS 설계해야

이헌주 인포블록스코리아 지사장은 “DNS 서버 앞에 보안 장비를 추가하면 서비스 속도가 느려지고, 서버에 보안 장비를 추가하면 서버 성능이 느려져 사용자들이 불편해한다. DNS 서버 자체에 보안을 강화하는 방법만이 DNS 악용 공격을 막을 수 있다”고 말했다.

인포블록스의 ‘ADP(Advanced DNS Protection)’는 보안을 강화한 DNS어플라이언스로, 서버에 액세스 할 수 있도록 개방된 포트가 없으며, OS에 루트 로그인 액세스가 없고, 역할 기반 액세스로 전체 제어를 유지할 수 있다. 이중인증으로 로그인 액세스를 강화하며, 암호화 HTTPS를 사용하고, API를 통해 어플라이언스를 상호 작용하기 위한 SSL 암호화를 제공한다.

이헌주 지사장은 “국내에서도 DNS를 이용하는 공격이 늘어나며서 보안이 강화된 DNS 구축에 관심이 높아지고 있다. 글로벌 비즈니스를 수행하는 국내 기업에서 DNS 보안 어플라이언스를 도입하고 있다”며 “통신, 금융, 정부 등에서도 수요가 발생하고 있다. IoT·클라우드로 확산되면서 DNS 보안에 더 많은 관심이 쏟아질 것”이라고 말했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.