씨엔시큐리티, “국가간 분쟁시 사이버 공방전 발생 가능성 높아”
국가간 사이버 전쟁이 본격화 될 조짐이다. 지난 1월 12일 중국 해커와 이란 해커간 사이버전에 대한 자세한 분석결과가 나와 관심을 끌고 있다.
중국관련 보안전문업체 씨엔시큐리티(류승우 대표 www.cnsec.co.kr)에 따르면 “지난 2010년 1월 12일 아침 7시경부터 중국 대형 포털 사이트 바이두에 접속할 수 없다는 내용들이 올라오기 시작했다. 12일 12시쯤 정상적으로 복구 되었고, 18시경에 바이두에서 공식 발표를 진행했다. 사고 원인은 http://www.baidu.com/도메인을 신청한 미국 도메인 제공 사이트(http://www.register.com/) 쪽에 불법 수정이 발생하였고, 전세계 사용자들이 바이두에 정상적으로 접속할 수 없게 되었다”고 밝혔다.
씨엔시큐리티 류승우 대표는 “향후 국가간 쟁점이 되는 이슈가 터졌을 때 국가 차원에서도 암암리에 발생할 수 있지만 해커들 간 치열한 사이버 공방전이 발생할 수 있다”며 “이에 대해 한국도 대비를 해야할 것”이라고 강조했다.
다음은 씨엔시큐리티에서 분석한 이번 사건 분석 내용이다.
1. 사건 개요
(1) 전체 사건 과정 중 바이두 도메인 baidu.com 및 하위 도메인 접속에 이상이 발생하였고, 오랜 시간 동안 네델란드의 IP주소 188.95.49.6으로 분석이 되었다. 하지만, IP를 통하여 메인 도메인 아래의 도메인(baidu.hk)에 접속하면 정상적으로 액세스할 수 있었다.
바이두에 접속하는 과정에 다음과 같은 현상들이 발생하였다.
(2) 바이두의 whois 정보를 조회해 본 결과 이상을 발견할 수 있으며, 수정이 한번만 진행된 것이 아님을 알 수 있었다.
이번 사건은 whois 정보를 통한 DNS Hijack 유형의 공격이며, 다음과 같은 분석 보고와 결론을 유추할 수 있다.
2. DNS 원리 및 도메인 네임 관리
2-1. DNS(Domain Name Server) 정의
인터넷 사용시 우리는 도메인을 이용하지만 컴퓨터는 IP 주소를 이용한다. DNS 서버는 사용자가 브라우저에 도메인 입력 시 해당 도메인의 IP를 조회하여 연결하여 주는 서버이다. DNS가 없으면 홈페이지 접속 시 도메인 대신 IP 주소 (예, 222.111.111.111)를 사용하여 하기 때문에 매우 큰 불편이 있다. 따라서 우리는 도메인을 사용한다. 기억하기 쉽기 때문이다. DNS는 군대의 “통신본부” 와 비교 될 수 있다.
2-2. DNS 분석의 기본 원리
상술한 그림에서 사용자가 하나의 도메인을 접속한 후 로컬 DNS 서버에서 recursive query를 전송하는 흐름도 이다. 대다수 DNS 서버에서는 이러한 recursive query request를 처리할 수 있으며, request한 사용자에게 response를 전송할 수 있다. 이렇게 recursive식 DNS를 이용하여 클라이언트에 도메인 네임 분석에 대한 답을 제공한다.
[그림 내용]
-한 사용자가 브라우저 중에 www.cnsec.co.kr을 입력하였다. 우선적으로 컴퓨터는 로컬 영역 DNS 서버를 조회하여 www.cnsec.co.kr의 IP 주소를 확인한다.
-로컬 영역의 DNS 서버는 자신의 로컬 영역 리스트 중에서 “www.cnsec.co.kr”을 확인하며, 찾게 되면 클라이언트에 return한다. 만약 찾아내지 못하였다면 DNS 서버는 루트 서버에 “www.cnsec.co.kr”의 IP 주소 조회 request를 전송한다.
-루트 서버에서 정보를 수락한 후 “www.cnsec.co.kr” 최상위(Top-level) 도메인 서버 주소를 return한다.
-그 다음 로컬 영역 DNS 서버에서 최상위 도메인 서버에 연결하여 “www.cnsec.co.kr”의 IP 주소를 확인한다.
-메인 도메인 서버는 “www.cnsec.co.kr”이라는 명칭의 서버 주소를 return한다.
-로컬 DNS 서버는 획득한 “www.cnsec.co.kr” 명칭의 서버로부터 그의 IP주소를 확인한다.
-로컬 DNS 서버 획득한 www.cnsec.co.kr=xxx.xxx.xx.xx 정보를 사용자에게 return한다.
3. DNS와 상관되는 보안 위협과 사례
3-1. DNS 서버를 이용하여 DDoS 공격 진행
정상적인 DNS 서버 recursive query 과정은 DDoS 공격에 이용될 수 있다. 공격자가 피해자 컴퓨터 IP를 알고 있으며, 해당 주소를 분석 명령을 전송하는 원 주소로 사용한다고 가정한다. 이렇게 되면 DNS 서버 recursive query 후 DNS 서버에서는 사용자에게 response를 전송하게 될 것이며, response 정보를 수락하는 사용자가 바로 피해자이다. 이러한 상황에서 공격자가 충분한 좀비 서버를 제어하고 있으며, 반복적으로 상술한 제어를 진행한다고 하면 피해자는 DNS 서버로부터 오는 response 정보로부터 DDoS 공격을 받게 된다. 아래 그림이 이러한 원리에 대한 그림이다.
[그림 내용]
1. 공격자가 정보를 좀비 서버 그룹에 전송한다.
2. 좀비 서버 그룹 중 컴퓨터들은 해당 DNS에 대하여 계속해서 recursive query를 실행한다.
3. 로컬 DNS 서버는 우선 자신의 리스트 중에서 “www.cnsec.co.kr”을 찾아서 클라이언트에 return한다. 만약 찾지 못하면 DNS 서버는 루트 서버에 “www.cnsec.co.kr”의 IP 주소 조회 request를 전송한다.
4. 루트 서버에서 정보를 수락한 후 “www.cnsec.co.kr” 최상위 도메인 서버 주소를 return한다.
5. 그 다음 로컬 영역 DNS 서버에서 최상위 도메인 서버에 연결하여 “www.cnsec.co.kr”의 IP 주소를 확인한다.
6. 메인 도메인 서버는 “www.cnsec.co.kr”이란 명칭의 서버 주소를 return한다.
7. 로컬 DNS 서버는 획득한 “www.cnsec.co.kr” 명칭의 서버로부터 그의 IP주소를 확인한다.
8. recursive DNS는 임의 도메인의 IP를 획득한 후 모든 정보를 원주소에 return한다. 이때의 원 주소가 피해자의 IP 주소이다.
공격자가 충분한 좀비 서버 그룹을 보유하고 있다면, 피해자 네트워크 중단을 초래하게 할 수 있다. DNS 서버 공격의 중요한 도전은 공격자가 피해자와 직접적인 통신이 존재하지 않고, 자신의 행적을 숨길 수 있다는 것이다. 해결 방법은 DNS 서버 중의 recursive 기능을 취소하는 것이다.
3-2. DNS Cache poisoning
공격자는 DNS request를 사용하여 데이터를 하나의 취약점이 존재하는 DNS 서버의 Buffer 중에 저장할 수 있다. 이러한 Buffer 정보는 사용자가 DNS 액세스를 진행할 때 사용자에게 return되며, 사용자의 정상적인 도메인 spdla 액세스를 침입자가 설정한 목마 페이지 혹은 피싱 페이지 상으로 점프하게 한다.
3-3. DNS 정보 Hijacking
원칙상 TCP/IP 체계는 서열 번호 등 여러 가지 방식을 통하여 위조 데이터의 삽입을 우회한다. 하지만 침입자가 만약 클라이언트와 DNS 서버의 세션을 모니터링한다면 서버에서 클라이언트에 전송하는 DNS 조회 ID를 크랙할 수 있다. 각각의 DNS 패킷은 하나의 상관되는 16자리 ID 번호를 가지고 있으며, DNS 서버는 해당 ID에 근거하여 request 출처 위치를 획득한다. 공격자가 DNS 서버 전에 위조된 request를 사용자에게 전송하여 악성 사이트를 액세스하게 할 수 있다. 임의 도메인 서버에 전송한 도메인 분석 request 패킷이 중도에 포획되었고, 고의적으로 하나의 허위적인 IP 주소를 response 정보로 return한다고 가정하면, 처음 request 전송 사용자는 허위적인 IP 주소 response를 수락하게 되며 연결을 진행하게 된다. 즉, 자신이 원하는 도메인에 접속이 되지 않을 뿐 더러 악성 도메인에 접속하게 되는 것이다.
3-4. DNS Redirect
공격자가 만약 DNS 명칭 조회를 악성 DNS 서버에 재정의 하였다면 Hijack된 도메인 분석은 완전히 공격자의 제어 아래에 있다.
3-5. ARP spoofing
ARP 공격은 위조된 IP 주소와 MAC 주소를 통하여 스푸핑을 실현한다. 네트워크 중에서 대량의 ARP 통신을 생성하여 네트워크 마비를 초래한다. 공격자는 다만 지속적으로 위조된 ARP response 패킷을 제조하여 목표 호스트 ARP Buffer중의 IP-MAC리스트를 수정하기만 하면 네트워크 중단 혹은 중간인 공격을 조성할 수 있다.
ARP스푸핑은 일반적으로 LAN중에서 진행되며, 도메인 액세스 오류를 조성한다. IDC기계실을 침입하였다면 공격자는 ARP패킷을 통하여 정상적인 호스트 제한 혹은 DNS서버 제한을 진행할 수 있으며, 액세스를 오류적인 방향으로 유도할 수 있다.
3-6. 로컬 호스 Hijacking
컴퓨터 시스템이 목마 혹은 악성 소프트웨어에 감염된 후 부분적 도메인의 액세스 이상을 발생할 수 있다. 예를 들면 목마 사이트 혹은 피싱 사이트에 점프하거나 아예 액세스를 진행할 수 없는 상황이 발생한다. 로컬 호스트 Hijack에는 hosts파일 수정, 로컬 DNS Hijack, SPI링크 인젝션, BHO플러그인 등 방식이 존재한다. 비록 DNS절차를 통하여 완성되는 것은 아니지만 사용자의 뜻대로 정확한 주소 혹은 내용을 액세스할 수 없는 효과를 조성하게 된다.
3-7. DNS관련 중국의 공격 사례
사건1: 바이두 DDOS공격 사건
2006년 09월 12일 17시 30분 북경, 중경 등 지역의 인터넷 사용자들로부터 바이두에 정상적으로 접속할 수 없다는 제보를 받았다. 이번 공격은 바이두 검색 서비스가 전국 각 지역에서 30분 가량의 접속 중단을 초래하였다. 9월 12일 저녁 11시 37분에서는 불확정적인 공격 사건에 대하여 “오늘 오후 바이두가 역대이래 최대규모의 불확정적 해커 공격을 받았으며 30분가량의 서비스 중단을 초래하였다.”라고 발표하였다.
사건2: 新网 DNS서버 공격 사건
2006년 09월 22일 新网이 대규모적인 DNS서버 공격을 받았다고 발표되었다. 21일 오후 4시부터 시작하여 새벽 12시까지 공격은 지속되었다. 新网은 중국내에서 가장 큰 도메인네임 서비스 제공 업체 중 하나이며 해커가 8시간 동안 공격을 감행하는 동안, 신청 사용자 중의 30% 사이트가 정상적으로 액세스를 진행할 수 없었다.
사건3:폭풍음영 사건
2009년 5월 18일 저녁 22시경 DNSPod 주요 사이트및 여러 DNS서버가 10G정도의 트래픽 악성 공격을 받았다. 모든 기계실의 1/3가량의 BW자원을 소모하였고, 최종적으로 DNS서버 다운을 초래하였다. 해당 사건은 DNSPod를 사용하여 분석을 진행하는 폭풍음영 프로그램이 도메인네임 재신청이 발생하였으며, 네트워크 마비를 초래하였다. 2009년 5월 19일 저녁 21시 부터 시작하여 중국의 6개 성에 대규모적인 네트워크 고장이 발생하였으며, 사용자들의 인터넷 속도가 느려지거나 아예 액세스를 진행할 수 없는 상황이 발생하였다.
4. 112 바이두 공격 사건 분석
이번 112 바이두 공격 사건에 바이두가 공격 받기 전과 공격 받은 후에 대한 정보를 한번 비교해 보기로 하겠다.
바이두가 공격을 받기 전에 수정 시간은 2009년 12월 3일이었는데, 공격을 받은 후 2010년 1월 12일로 변하였다.
관련 도메인네임 분석 whois 정보는 해당 과정 중에 여러 번 수정되었다.
바이두의 도메인네임 서비스 제공 사이트 register.com은 하나의 메인 도메인네임 신청 구성이다. 바이두 whois 정보는 다음과 같다.
whois.register.com과 www.register.com의 IP획득 정보는 다음과 같다.
whois.register.com IP: 216.21.239.106
www.register.com IP: 216.21.239.101
2대의 IP 서버가 동일한 구간에 존재한다.
이를 통해 이번 사건에 대한 원인을 다음과 같이 정의할 수 있다.
(1) 바이두 도메인 네임의 종료 날짜는 2014년 10월 14일이며, 바이두의 도메인네임 사용기간이 지났다는 말은 배제할 수 있다.
(2) 바이두 도메인네임이 이상이 발생한 사이에 주요 사이트 및 기타 2급 도메인네임은 IP규칙으로 액세스할 수 있었고, 정상적인 검색 결과를 획득할 수 있었다.
바이두 자체 정보 시스템 고장이라는 말 역시 배제 할 수 있다.
(3) 바이두 DNS 접속 이상을 초래한 핵심 원인은 바이두 DNS 서비스 제공 업체 register.com이 공격을 받았고, whois 시스템이 전세계 DNS 체계에 오류적인 DNS 분석을 진행하여 초래한 것이다. 하지만 register.com으로 공격한 구체적인 기법은 확인하지 못하였다. 간단하게 봤을 때 www.register.com에 보안 위협이 존재하여, 공격자가 whois.register.com을 공격하였을 가능성이 가장 높은 것으로 보인다.
5. 결론과 건의
이번 사건은 전세계 DNS 체계의 취약성에 대해 반영하고 있으며, 인터넷의 DNS 제공 업체들이 자체 정보 시스템의 보안 체계만 가지고는 복잡한 위협들에 대해 대응 할 수 없음을 말해주고 있다.
2000년 YAHOO 등 대형 사이트가 DoS 공격을 받은 이래 TFN2k 등 공격 도구 출현 및 연속되는 사건 발생으로부터 볼 때 매번 “알려지지 않은 공격”은 새로운 공격 패턴의 본보기가 된다. 이번 사건으로 인하여 DNS 체계는 미래의 공격 패턴으로 자리 매김 할 수 있을 것이다.
(1)사이트 운영자의 경우 자신의 사이트에 2개의 DNS를 준비해두어야 하며, 2개 모두 다른 서비스 제공 업체를 택해야 한다.
(2)도메인 신청 업체와 관리 업체에서는 최근 집중 공격 대상이 될 것이며, 방어를 강화해야 할 것이다.
[길민권 기자(reporter21@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
