플러드 공격은 DoS 상태 초래, 서브 도메인 스캔 공격은 비보호 자원이나 새로운 공격 찾아
[보안뉴스 김영명 기자] 올해 7월 금융보안원은 금융기관을 타깃으로 한 NX도메인 헌터(NXDomain Hunter)라는 새로운 사이버 위협과 관련한 분석 보고서를 발표했다. 이 해킹그룹은 보안이 취약하고 관리되지 않는 시스템을 식별하고 이를 활용해서 내부에 침투하는 것을 목표로 활동하고 있다.
▲NX도메인 플러드 공격을 도식화한 모습[자료=에이아이스페라]
에이아이스페라(AI스페라)는 NX도메인 헌터의 공격 기법을 분석하고 크리미널 IP(Criminal IP)의 공격표면 관리(ASM) 솔루션을 통해 이러한 위협에 대응하는 방법을 소개했다.
NX도메인 플러드 공격은 대량의 DNS 질의를 통해 존재하지 않는 도메인에 대해 쓸데없는 요청을 발생시켜 DNS 서버의 자원을 소모시키고 서비스 거부(DoS) 상태를 초래한다. 반면 서브 도메인 스캔 공격은 특정 도메인의 하위 도메인을 체계적으로 검색해 네트워크 구조를 파악하고, 아직 보호되지 않은 자원이나 새로운 공격 경로를 찾는 데 중점을 둔다.
▲서브 도메인 스캔 공격[자료=에이아이스페라]
금융보안원에서 분석한 NX도메인 플러드 공격과 서브 도메인 스캔 공격을 비교하면, 두 공격 모두 ‘공격 영향’에서는 DNS 서버의 자원에 과도한 부하를 유발하며, ‘트래픽’은 높은 NX도메인 응답 비율의 특징이 있다. NX도메인 플러드 공격의 ‘공격 목적’은 서비스 가용성 침해, 서브 도메인 스캔 공격은 취약한 도메인을 식별하는데 있다. ‘질의 도메인’은 NX도메인 플러드 공격이 무작위 도메인, 서브 도메인 스캔 공격 존재 가능성이 있는 도메인이다. ‘출발지 IP 변조’에 대해서는 NX도메인 플러드 공격은 위변조가 가능하지만, 서브 도메인 스캔 공격은 위변조가 불가능하다.
금융기관들은 NX도메인 헌터의 서브 도메인 스캔 공격에 취약할 수 있다. 금융보안원 분석에 따르면 이 공격그룹은 다양한 금융 회사와 계열사에 대해 순차적으로 서브 도메인 스캔 공격을 수행하고 있다. 금융회사 또는 계열사별로 유입된 공격 트래픽을 1시간 단위로 구분해 분석한 결과, 공격 대상별로 주로 공격이 유입되는 특정 시간대가 존재하는 것을 확인했다.
주기적으로 발생하는 공격 트래픽은 스캐너 같은 도구로 규칙적으로 생성되고 있는 것으로 추정되며, 다양한 실제 공인 IP를 활용해 특정 타깃들을 지정한 뒤 순차적으로 공격을 수행하는 것으로 확인됐다. 실제 공인 IP들과 트래픽 분석을 통해 금융보안원은 NX도메인 헌터가 NX도메인 플러드 공격보다는 서브 도메인 스캔 공격에 목적을 두고 공격을 수행하는 것으로 추정하고 있다.
▲NX도메인 플러드 공격과 서브 도메인 스캔 공격 비교[자료=에이아이스페라]
금융기관은 보안이 취약하고 관리되지 않는 시스템을 통해 내부에 침투되는 외부 위협에 효과적으로 대응하기 위해서는 공격표면 관리(Attack Surface Management, ASM) 솔루션을 활용하는 것이 좋다. 크리미널 IP의 공격표면 관리 솔루션 Criminal IP ASM은 자동 자산 탐지, 위험 평가, 실시간 모니터링 등의 기능을 통해 금융기관이 공격표면을 철저히 관리할 수 있도록 지원한다.
Criminal IP ASM은 보안이 취약하고 관리되지 않는 시스템을 통해 내부에 침투되는 외부 위협에 대비할 수 있는 강력한 공격표면 탐지 기능을 제공한다. 이를 통해 방치된 자산과 취약점 정보를 시각화된 리포트로 제공해 금융기관이 공격 표면을 미리 식별하고 잠재적인 위협을 신속히 발견해 대응할 수 있다.
자동 자산 탐지는 대표 도메인만 입력하면 전 세계에 연결된 모든 IT 자산을 자동으로 식별하고, 이를 대시보드 형태로 시각화한다. 이 과정에서 모든 서브 도메인과 IP 주소가 탐지돼 공격 표면을 한눈에 파악할 수 있다.
위험 평가 및 시각화는 탐지된 자산의 위험도를 ‘High, Medium, Low’ 등 3단계로 분류해 직관적인 대시보드를 제공한다. 이 기능을 통해 자산의 보안 상태를 빠르게 평가하고, 위험 요소를 시각적으로 이해할 수 있다. 실시간 모니터링은 실시간으로 자산의 보안 상태를 모니터링할 수 있다.
금융보안원 분석에 따르면 스캔 공격에 효과적으로 대응하기 위해서는 취약한 도메인이 외부에 접속 가능한 상태로 운영되지 않도록 조치해야 한다. 이와 함께 조직 내부적으로 지속적인 ASM을 통해 공격에 노출된 표면을 줄이고, 잠재적 위협을 사전에 차단해 보안 상태를 강화하는 노력이 필요하다.
에이아이스페라 관계자는 “크리미널 IP ASM은 이러한 사이버 위협에 대한 효과적인 대응 플랫폼으로 금융기관과 기업들이 보안 관리에서 더 강화된 방어력을 제공할 수 있도록 지원하고 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>