단일 악성 패킷 하나 때문에 인터넷의 넓은 영역이 마비될 수 있다는 연구 결과가 최근에 공개됐다. DNS 서버와 관련된 것으로, 설계 자체의 결함에서 비롯된 것이기 때문에 아직까지 온전한 해결책이 나오지 않고 있다.
[보안뉴스 = 베키 브래큰 IT 칼럼니스트] DNS 보안 프로토콜인 DNSSEC에서 20년 된 ‘설계 결함’이 최근에서야 드러났다. 조건이 제대로 맞기만 하면 취약점 공략하듯이 익스플로잇 하여 인터넷의 상당 부분을 마비시킬 수도 있다고 한다. 인터넷이라는 사이버 공간이 가진 구조적 약점이 다시 한 번 드러났다. 참고로 DNS 서버들은 웹사이트 URL을 IP 주소로 변경시켜주며, 따라서 모든 인터넷 트래픽을 옮겨 나르는 기능을 가지고 있다.
[이미지 = gettyimagesbank]
설계 결함을 발견한 건 독일의 아테네국립응용사이버보안연구센터(ATHENE National Research Center for Applied Cybersecurity)이다. 연구원들은 이 취약점에 키트랩(KeyTrap)이라는 이름을 붙였다. 관리 번호는 CVE-2023-50387이다. 아테네의 보고서에 의하면 단 하나의 패킷을 DNS 서버에 전송하여 DNSSEC으로 트래픽을 확인하도록 유도하기만 해도 URL을 IP주소로 변환하는 작업을 영원히 반복하게 만들 수 있고, 이런 현상이 일어나면 컴퓨팅 파워가 전부 여기에 소모되면서 시스템이 멈추게 된다고 한다. 만약 다량의 DNS 서버들에 이런 공격을 동시에 감행하여 동시다발적으로 다운되게 한다면 어떨까? 광범위한 인터넷 영역이 다운된다.
DNS 서버의 종류마다 같은 공격을 실험적으로 적용했을 때 마비되는 시간은 각기 달랐다. 하지만 가장 널리 퍼져 있는 DNS 구성 유형인 바인드9(Bind 9)의 경우 최대 16시간까지 멈추게 할 수 있음을 이번 실험을 통해 알아낼 수 있었다고 한다. 전 세계 DNS 서버들을 관장하는 조직인 ISC에 의하면 북미 DNS 서버들의 34%가 DNSSEC을 사용하고 있다고 한다. 그 말은 북미에서만 34%의 DNS 시스템이 현재 취약한 상황이라는 뜻이 된다. 그나마 다행인 건 지난 20년 동안 이 취약점이 악용된 실제 사례는 발견되지 않았다는 것이다.
새로운 유형의 DNS 공격
아테네 측에 의하면 키트랩은 완전히 새로운 종류의 사이버 공격의 유형을 상징하는 취약점이라고 한다. 이 새로운 종류의 사이버 공격 유형에 아테네는 ‘알고리즘적 복잡성 공격(Algorithmic Complexity Attacks)’이라는 이름을 붙였다. 그런 후 연구된 결과를 가지고 구글과 클라우드플레어 등 주요 DNS 서비스 제공업체 및 조직들을 찾아가 대책을 마련했다. 패치를 마련한 후 문제를 공개하기 위함이었는데, 지금껏 나온 패치는 임시 조치일 뿐이라고 하며, DNSSEC에 대한 설계를 처음부터 다시 해야 문제가 해결될 수 있을 거라고 한다.
“지난 수개월 동안 여러 업체들과 함께 패치를 마련하고자 했고, 대부분 기업들이 여기에 응해 해결책을 개발했습니다. 하지만 각 벤더에만 특수하게 작용되는, 벤더 맞춤형 패치들만 나올 수 있었고, DNSSEC의 근본부터 해결하는 패치는 아직까지 나오지 않고 있습니다. 그럼에도 자신과 관련이 있는 모든 패치를 즉각 적용하는 것을 추천합니다. 그래야 DNSSEC의 재설계가 이뤄질 때까지 안전할 확률을 높일 수 있습니다.”
옴디아(Omdia)의 수석 연구원인 페르난도 몬테네그로(Fernando Montenegro)는 “이처럼 중대한 발견을 책임감 있게, 안전하게 공개한 것이 대단히 훌륭한 일”이라고 찬사를 표한다. “발견의 공적을 알리기에 급급하지 않았던 것이 칭찬할 일입니다. 또한 연구원들이 발견한 내용을 접수해 패치 개발에 부지런히 나섰던 벤더들 역시 공로자들입니다. 물론 이제 여기서부터 DNSSEC의 근본적인 문제 해결에 도달해야 한다는 과제가 남아있긴 합니다. 그리고 DNS 서버들을 운영하는 사람들 측에서의 부지런한 패치 적용도 과제로 남아있습니다.”
DNS 서버에서 DNSSEC 기능을 비활성화시킬 경우 위의 취약점이 근본적으로 사라진다. 하지만 ISC는 이 방법을 권장하지 않는다. 그 한 가지 문제만 제외하면 DNSSEC로부터 얻는 안전의 이득이 훨씬 많다는 것이다. “저희가 제공하는 바인드의 버전들을 설치하는 게 더 안전한 방법입니다. 보안 기능 일부의 문제 때문에 보안 기능 전체를 비활성화시키는 건 빈대 잡자고 초가집을 다 태우는 것과 같습니다.”
글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 베키 브래큰 IT 칼럼니스트] DNS 보안 프로토콜인 DNSSEC에서 20년 된 ‘설계 결함’이 최근에서야 드러났다. 조건이 제대로 맞기만 하면 취약점 공략하듯이 익스플로잇 하여 인터넷의 상당 부분을 마비시킬 수도 있다고 한다. 인터넷이라는 사이버 공간이 가진 구조적 약점이 다시 한 번 드러났다. 참고로 DNS 서버들은 웹사이트 URL을 IP 주소로 변경시켜주며, 따라서 모든 인터넷 트래픽을 옮겨 나르는 기능을 가지고 있다.
[이미지 = gettyimagesbank]
설계 결함을 발견한 건 독일의 아테네국립응용사이버보안연구센터(ATHENE National Research Center for Applied Cybersecurity)이다. 연구원들은 이 취약점에 키트랩(KeyTrap)이라는 이름을 붙였다. 관리 번호는 CVE-2023-50387이다. 아테네의 보고서에 의하면 단 하나의 패킷을 DNS 서버에 전송하여 DNSSEC으로 트래픽을 확인하도록 유도하기만 해도 URL을 IP주소로 변환하는 작업을 영원히 반복하게 만들 수 있고, 이런 현상이 일어나면 컴퓨팅 파워가 전부 여기에 소모되면서 시스템이 멈추게 된다고 한다. 만약 다량의 DNS 서버들에 이런 공격을 동시에 감행하여 동시다발적으로 다운되게 한다면 어떨까? 광범위한 인터넷 영역이 다운된다.
DNS 서버의 종류마다 같은 공격을 실험적으로 적용했을 때 마비되는 시간은 각기 달랐다. 하지만 가장 널리 퍼져 있는 DNS 구성 유형인 바인드9(Bind 9)의 경우 최대 16시간까지 멈추게 할 수 있음을 이번 실험을 통해 알아낼 수 있었다고 한다. 전 세계 DNS 서버들을 관장하는 조직인 ISC에 의하면 북미 DNS 서버들의 34%가 DNSSEC을 사용하고 있다고 한다. 그 말은 북미에서만 34%의 DNS 시스템이 현재 취약한 상황이라는 뜻이 된다. 그나마 다행인 건 지난 20년 동안 이 취약점이 악용된 실제 사례는 발견되지 않았다는 것이다.
새로운 유형의 DNS 공격
아테네 측에 의하면 키트랩은 완전히 새로운 종류의 사이버 공격의 유형을 상징하는 취약점이라고 한다. 이 새로운 종류의 사이버 공격 유형에 아테네는 ‘알고리즘적 복잡성 공격(Algorithmic Complexity Attacks)’이라는 이름을 붙였다. 그런 후 연구된 결과를 가지고 구글과 클라우드플레어 등 주요 DNS 서비스 제공업체 및 조직들을 찾아가 대책을 마련했다. 패치를 마련한 후 문제를 공개하기 위함이었는데, 지금껏 나온 패치는 임시 조치일 뿐이라고 하며, DNSSEC에 대한 설계를 처음부터 다시 해야 문제가 해결될 수 있을 거라고 한다.
“지난 수개월 동안 여러 업체들과 함께 패치를 마련하고자 했고, 대부분 기업들이 여기에 응해 해결책을 개발했습니다. 하지만 각 벤더에만 특수하게 작용되는, 벤더 맞춤형 패치들만 나올 수 있었고, DNSSEC의 근본부터 해결하는 패치는 아직까지 나오지 않고 있습니다. 그럼에도 자신과 관련이 있는 모든 패치를 즉각 적용하는 것을 추천합니다. 그래야 DNSSEC의 재설계가 이뤄질 때까지 안전할 확률을 높일 수 있습니다.”
옴디아(Omdia)의 수석 연구원인 페르난도 몬테네그로(Fernando Montenegro)는 “이처럼 중대한 발견을 책임감 있게, 안전하게 공개한 것이 대단히 훌륭한 일”이라고 찬사를 표한다. “발견의 공적을 알리기에 급급하지 않았던 것이 칭찬할 일입니다. 또한 연구원들이 발견한 내용을 접수해 패치 개발에 부지런히 나섰던 벤더들 역시 공로자들입니다. 물론 이제 여기서부터 DNSSEC의 근본적인 문제 해결에 도달해야 한다는 과제가 남아있긴 합니다. 그리고 DNS 서버들을 운영하는 사람들 측에서의 부지런한 패치 적용도 과제로 남아있습니다.”
DNS 서버에서 DNSSEC 기능을 비활성화시킬 경우 위의 취약점이 근본적으로 사라진다. 하지만 ISC는 이 방법을 권장하지 않는다. 그 한 가지 문제만 제외하면 DNSSEC로부터 얻는 안전의 이득이 훨씬 많다는 것이다. “저희가 제공하는 바인드의 버전들을 설치하는 게 더 안전한 방법입니다. 보안 기능 일부의 문제 때문에 보안 기능 전체를 비활성화시키는 건 빈대 잡자고 초가집을 다 태우는 것과 같습니다.”
글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
