[보안뉴스 문가용 기자] DNS 설정을 악용하여 도메인을 탈취하는 공격 전략인 시팅덕스(Sitting Ducks)에 대한 상세 조사 결과가 발표됐다. 보안 업체 인포블록스(Infoblox)에서 공개한 것으로, 시팅덕스와 같은 전략 혹은 공격 기법은 널리 알려진 듯하지만 의외로 많이 다뤄지지 않는, 숨어 있는 위협이라고 할 수 있다.
[이미지 = gettyimagesbank]
시팅덕스 공격이란, 공격자가 도메인의 DNS 설정을 조작하거나 익스플로잇 함으로써 해당 도메인에 대한 통제권을 가져가버리는 것을 말한다. 이미 2018년부터 시팅덕스 전략은 공격자들 사이에서 활용되었으며, 못해도 수만 개의 도메인이 이런 식으로 탈취되어 왔다고 인포블록스는 강조한다. “유명 브랜드나 비영리 단체, 정부 기관 등이 피해를 입은 바 있습니다. 2024년 7월부터 조사를 시작하고서 현재까지 80만 개 이상의 도메인이 시팅덕스 공격에 취약하다는 걸 알게 됐으며, 그 중 7만 개는 이미 침해된 것으로 보입니다.”
전형적인 ‘공격자에게만 유리한’ 공격
시팅덕스가 위협적인 이유는 ‘공격하기에는 쉽고 탐지하게이는 여렵기 때문’이다. 이 공격은 도메인 서버가 잘못된 네임 서버를 참조할 때 발생하는 DNS 설정 오류를 악용하는 것인데, 이 설정 오류는 아직까지도 공식 취약점으로 인정 받지 않고 있어 CVE 번호가 없다. 당연히 CISA와 같은 주요 보안 기관들도 여기에 주목하지 않고 있다. 이런 배경이 시팅덕스 공격의 탐지를 더 어렵게 만든다.
공격자들이 도메인을 탈취하게 되면 어떤 일이 일어날까? “공격자는 그런 도메인들을 활용해 탐지가 어려운 공격 인프라를 구축할 수 있게 됩니다. 탈취된 도메인들은 대부분 정상적으로 활용되고 있기 때문에 평판도 좋고, 따라서 블랙리스트에 걸리지도 않습니다. 그렇기에 피해자가 아무런 의심없이 접속하게 됩니다. 공격 효과가 뛰어나다는 뜻이 됩니다. 앞으로 더 많은 공격자들이 이 시팅덕스를 연구하고 적용할 것으로 예상됩니다.”
실제로 인포블록스의 연구원들은 하나의 도메인이 여러 공격자에게 순서대로 탈취되는 현상을 좀 더 빈번하게 목격하고 있다고 한다. “즉 여러 공격자들이 벌써부터 이 시팅덕스를 활용하고 있다는 뜻이 됩니다. 현 시점에서 공격자들은 ‘DNS메이드이지(DNS Made Easy)’와 같은 무료 서비스를 대상으로 활동하고 있습니다. 무료 서비스들을 활용하는 곳들 중 취약한 곳이 많기 때문입니다. 불법적으로 탈취한 도메인을 공격자들은 보통 30일에서 60일까지 소유하고 있는 편입니다. 이 기간이 끝나고 공격자가 도메인을 잃게 되면, 또 다른 공격자가 그 도메인을 침해하고 탈취합니다.”
시팅덕스를 유독 잘 사용하는 공격 단체들
시팅덕스를 자주 이용하는 것으로 대표적인 해킹 그룹은 베이컨트바이퍼(Vacant Viper)라고 인포블록스는 말한다. “2019년 12월 이후 매년 약 2500개의 도메인을 시팅덕스로 탈취해오고 있는 그룹입니다. 그리고 이 도메인들을 이용해 악성 트래픽을 퍼트립니다. 악성 스팸 메일을 발송하거나, 포르노그래피 콘텐츠를 유포하기도 하고, 멀웨어와 악성코드를 살포하는 데에도 이 도메인들이 사용됩니다. 베이컨트바이퍼는 특정 브랜드를 집요하게 노리지 않고, 평판도가 높은 도메인을 선호합니다.”
그 다음으로는 벡스트리오바이퍼(Vextrio Viper)라는 그룹이 있다. 2020년 초부터 도메인을 탈취해 자신들의 공격에 활용해 왔다고 한다. “벡스트리오는 65개 이상의 파트너 및 파트너 단체를 보유하고 있는 거대 규모 사이버 범죄 조직입니다. 파트너들은 벡스트리오가 시팅덕스를 통해 확보한 도메인을 대여하여 자신들이 원하는 공격을 실시합니다. 보안 연구원이나 사법 기관의 추적을 따돌리는 데에도 이런 인프라가 효과적인 것으로 나타났습니다. DNS를 통해 도메인을 장악했을 때, 그 도메인을 탐지하는 게 어렵다는 것을 적극 이용한 것입니다.”
호리드호크(Horrid Hawk)는 2023년 2월부터 활동하기 시작한 단체로 주로 투자 사기 캠페인을 진행하기 위해 정상적인 도메인들을 빼앗아갔다. 존재하지 않는 정부 투자 프로그램이나 정상 회담 등을 주제로 피해자들을 속여 투자를 이끌어내는데, 이를 하기 위해 자신들이 탈취해 둔 도메인을 활용하는 편이다. 여러 언어권, 여러 대륙의 사용자들을 대상으로 캠페인을 벌이기 때문에 페이스북과 같은 플랫폼에서 ‘단기 광고’를 함으로써 다양한 계층의 사용자들을 노린다.
헤이스티호크(Hasty Hawk)의 경우 2022년 3월 이후 200개 이상의 도메인을 탈취해 DHL 배송 페이지와 우크라이나 지원 기부 사이트를 가장해왔다. 훔쳐낸 도메인을 러시아 IP로 호스팅 하는 등 다양한 방법으로 자신들의 인프라를 재구성하기 때문에 추적도 쉽지 않다. 구글 광고와 스팸 메시지로 악성 콘텐츠를 배포하며, 피해자의 위치에 따라 알맞은 페이지로의 우회 접속을 유도하는 등 유연하기까지 하다.
어떤 피해 있을 수 있나
공격자들이 시팅덕스를 통해 도메인을 확보했을 때 어떤 피해가 야기될 수 있을까? “시팅덕스 공격에 취약한 도메인을 보유한 기업이나 기관의 경우, 탈취된 도메인에 대한 소식이 언론을 통해 공개되기라도 한다면 시장 신뢰도 하락을 면하지 못하게 됩니다. 그런 피해는 복구하는 데 긴 시간이 걸리는 게 보통이기도 하지요. 무엇보다 피해 조직이 복구에 있어서 주도적으로 할 수 있는 일이 없다는 게 가장 큰 문제입니다.”
그렇다면 개인들은 어떨까? 시팅덕스로 인해 침해된 사이트에 무의식적으로 접근할 경우 가장 큰 피해를 입을 수 있는 게 일반 개인들이라고 인포블록스는 강조한다. “누구나 신뢰할 만한 사이트에 평범하게 접속했을 뿐인데 멀웨어에 감염되거나, 자신의 크리덴셜이 도난당하거나, 심지어 사기에 큰 피해를 입을 수도 있습니다. 개인이 어쩌지 못할 규모의 피해를 입는 것도 충분히 있을 수 있는 일입니다.”
시팅덕스 공격은 개별 기업이나 개인이 방어하기에는 어렵다. “도메인 등록 기관과 DNS 제공업체에서 설정을 올바르게 하는 게 가장 중요합니다. 이 두 조직이 잘 방어하면 시팅덕스는 큰 효과를 발휘하기 어렵습니다. 공격자들이 악용하는 DNS 설정 오류라는 것은 여러 가지 이유로 발생하는데, 그렇기 때문에 DNS 설정과 관련된 업무를 하는 모든 사람들이 똑같은 마음으로 실수를 방지하는 것이 중요합니다. 도메인 보유자라면 도메인 설정에 대한 책임이 있기 때문에 보다 꼼꼼하게 확인하고 관리할 필요가 있습니다.”
3줄 요약
1. 시팅덕스 기법, DNS 설정 오류를 이용해 도메인을 탈취하는 공격자들의 전략.
2. CVE가 배정되어 있지 않아 간과되고, 간과되니 공격자들이 적극 이용하는 상황.
3. 탈취된 도메인은 공격 인프라로 활용되는데, 이 공격 인프라는 탐지가 안 됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>