IP 관리와 보안 이번 호에서는 보안의 관점에서 시작이라고 할 수 있는 IP 주소 관리를 보안의 측면에서 살펴보고 대표적인 솔루션인 Alcatel-Lucent의 VitalQIP의 특징과 적용 사례를 소개한다.

인터넷 시대에 IP 주소 없이는 아무것도 하지 못한다. 그러다 보니 조직의 네트워크 담당자는 IP 주소 할당에 인심이 많은 편이다. 하지만 관리되지 못하는 IP 주소는 애플리케이션과 연계되어 백도어나 웜이 되어 조직의 보안 허점을 타고 더 큰 문제를 일으키게 되는 것을 간과 하고 있다. 그렇다고 해서 IP 주소 할당에 인색하라는 것은 아니다. IP 주소를 할당할 때 그 주소가 어디까지 액세스 가능하며 언제든지 트래킹이 된다는 것을 사용자에게 확실히 주지시킨다면 IP주소로 일어날 미래의 보안 문제는 애초부터 그 싹을 자를 수 있기 때문이다.

DNS 보안
DNS는 누구에게나 공개되어 서비스되어야 하는 TCP/IP의 대표적 개방형프로토콜이다. 이러한 개방성으로 처음에 DNS 서비스는 Security라는 것이 아예 들어 있지 않았다. 그러나 인터넷의 이용이 상업적으로 크게 늘어나면서 쿼리 위·변조, DNS에 대한 악의적인 DDoS 공격 등으로 공격자들의 손쉬운 표적이 되었다.
지난 2003년 1월 25일 있었던 일명 1.25 대란의 주요 원인도 DNS 장애를 유발한 공격으로 전 세계가 공포에 떨어야 했다. DNS의 보안 취약성을 이용한 공격은 대표적으로 DNS Cache Poisoning 공격, DNS Amplification 공격, Recursion Query를 이용한 악의적 공격, Zone Transfer 노출, BIND 버전 노출 등이 있다.

● DNS Cache Poisoning 공격
Caching DNS Server에 저장된 IP Address를 공격자가 원하는 IP Address로 변경하여 위조된 웹 사이트로  접속 유도한 후 개인정보를 빼내거나 금융 거래 시 금전적인 손실을 발생시키는 공격 형태로 Pharming Attack으로도 불린다. 공격 방법은 다음과 같다.
① 공격자는 사전에 네임서버를 구성하고 공격자의 도메인을 Caching DNS Server에 질의
② Caching DNS Server는 공격자의 질의에 따라 공격자 네임서버로 재 질의를 시도
③ 공격자 네임서버는 Caching DNS Server의 질의에 대한 응답을 주면서 공격하고자 하는 사이트의 IP 주소를 변경(위조)하여 응답(Additional Section 레코드 이용)
④ Caching DNS Server는 공격자 네임서버에서 준 잘못된 정보를 TTL 만큼 Caching
⑤ 사용자는 원하는 사이트 접속을 위해 Caching DNS Server에 질의
⑥ Caching DNS Server는 사용자 질의에 대해 이미 위/변조된 IP 주소를 응답

● DNS Amplification 공격
정상적인 Caching DNS Server가 타 시스템의 DDoS 공격을 위한 도구로 악용되는 공격 형태로 공격 순서는 다음과 같다.
① 공격자는 사전에 네임서버를 구성하여 TXT 레코드에 4,000byte 이상의 Garbage 값을 설정
② 공격자는 악성코드에 감염된 PC(Zombie PC)들에 공격자가 구성한 도메인 네임의 TXT 레코드를 질의하도록 명령을 전달 이때 Zombie PC의 Source IP를 공격하고자 하는 피해 DNS Server IP로 변조(Spoofing)
③ Zombie PC로 부터 질의 받은 Caching DNS Server들은 공격자가 구성한 네임서버의 TXT 레코드를 질의하고 Caching DNS Server는 공격자 네임서버에 재 질의 후 응답 받은 TXT 레코드 데이터 값을 변조된 IP 주소(피해 DNS Server)로 Reply
④ 피해 DNS Server는 Packet 과다 유입으로 서비스 거부 현상(DDoS) 발생

● Recursion Query를 이용한 악의적 공격
공격자는 Recursion Query가 허용된 DNS에 대하여 많은 질의를 하게 되는데 이때 소스 IP를 공격하고 싶은 대상의 IP로 Spoofing하여 전송하게 된다. 공격자가 짧은 시간에 많은 질의를 하고 다수의 DNS 서버를 이용할수록 공격 효과가 커지게 된다.
● Zone Transfer 노출과 BIND 버전 노출
Zone Transfer는 Master DNS에서 Slave DNS로 Bind 정보가 동기화 될 때 모든 정보가 유출되거나 위ㆍ변조될 수 있다. BIND 버전 노출은 사전 공격자가 bind 정보를 알아내어 취약성을 판명하는데 사용된다.

이러한 DNS 보안 취약성은 이미 1990년대 후반부터 거론되어 DNSSEC(DNS Security Extensions)이 제정되었으며 2005년 3월에 그 기능이 크게 세분화되고 확대되었다. 또한 최근 DNS 루트 존을 운영하는 VeriSign과 ICANN은 2010년 1월부터 L-ROOT 서버를 시작으로 지난 5월 5일에 마지막 루트 서버인 J-ROOT서버까지 DNSSEC 적용을 완료하였다고 밝혔다. 이에 대한 자세한 정보는 www.root-dnssec.org를 참고하기 바란다.

DHCP 보안
DHCP는 IP 주소를 리즈하고 회수하는 역할을 한다. DHCP 기능은 각 가정에서 유무선 공유기를 사용하면서 이미 많이 알려져 있다. 사실 DHCP 자체에는 보안 기능도 없을 뿐더러 보안에 대해 많이 알려져 있지도 않다. 그러나 지난호에서도 강조하였듯이 네트워크 보안은 IP 어드레스가 사용자에게 할당이 될 때부터 보안이 고려되어야 하며 DHCP 활용에 매우 중요한 과제이다. DHCP를 활용한 보안 방안으로 가장 기초적인 것은 감사기능이다. IP 주소의 할당과 회수를 정확히 하여 로그를 저장함으로써 감사 기능을 강화하면 사용자로 하여금 IP 사용에 대하여 주의를 기울이게 하는 효과가 있다.
그리고 기술적인 방법으로는 첫째, 인증기능을 사용하여 인가된 사용자에게만 네트워크를 액세스 하도록 허용하는 것이다. 최근에 출시되는 IPAM 솔루션은 DHCP Request시 인증 절차를 거쳐 데이터베이스에 등록된 사용자에게만 DHCP Offer 패킷을 제공함으로써 네트워크 액세스를 허용한다.
둘째, DHCP option 기능을 사용하여 하드웨어 인증을 통하는 방법이다. 주로 사용하는 Option은 표 1과 같은 것들이 있다. 표 1의 option중에 60과 77은 국내 대형 통신사의 신 인증 시스템에 적용된 사례가 있다.
셋째, DHCP의 비정상적 Decline 발생이다. 비정상적 Decline 발생은 비정상적 사용자로 인하여 IP를 할당 받고 Decline을 계속 발생시키는 현상으로 반복 될 경우 서브넷이 고갈되어 더 이상 IP를 할당할 수 없게 된다. 이러한 경우 해당 MAC어드레스를 갖은 사용자가 계속해서 Decline을 보내는 것을 인지하고 Decline이 발생한 IP에 대해서 일정 시간 후 해제해 주어야 한다.
넷째, DHCP DDoS 공격이다. 악의적인 의도로 다량의 DHCP Discover와 Request 패킷으로 공격하는 방법인데, 이는 DHCP 서비스는 물론 DHCP 데몬까지 다운시켜 치명적일 수 있다. 이러한 경우를 대비하여 특정 MAC이 초당 제한된 개수 이상의 패킷을 발생할 경우 차단할 수 있어야 한다.
마지막으로 DHCP Snoop을 이용하여 비인가 DHCP 서버를 차단하는 방법이다. 흔하지 않은 경우이긴 하나 조직 내에 악의적 목적 또는 실수로 비인가 DHCP 서버를 몰래 설치하여 IP 주소를 할당하게 되면 네트워크 장애 또는 Spoofing 공격의 대상이 될 수도 있다. 단, DHCP Snoop 기능이 가능한 스위치가 있어야 한다.

VitalQIP 특징 소개
1995년 JP Morgan은 자신들의 IP 주소 공간을 관리해줄 특별한 소프트웨어를 주문하게 되는데 이것이 지금의 IP Address Management의 효시인 QIP(현재는 VitalQIP라고 부름)이다. 15년이 지난 지금 글로벌하게 수천개의 기업과 각국의 최고 통신회사들이 VitalQIP 소프트웨어를 사용하여 IP Name과 어드레스를 서비스하고 있다. VitalQIP의 특징은 다음과 같다.

● 업계 최고의 성능
2009년 2월 Network Testing Lab의 공인 테스트 결과를 보면 Hardware Appliance인 AMM1000의 DHCP 성능은 50만개의 어드레스스 Lease하는데 80.6초가 걸리고 같은 수의 쿼리를 처리하는데 8.9초밖에 걸리지 않았다.
● DNS 및 DHCP 보안 완벽 지원
BIND8/9과 호환되며 Lucent DNS3/4을 지원하여 DNSSEC을 완벽 지원하고 DHCP 보안 기능을 완벽히 지원한다.
● 다양한 Platform 지원
Software/Hardware Appliance는 물론 VMware, 그리고 다양한 운영체제를 지원 한다.
● 중앙 집중식 관리
캠퍼스 또는 지역으로 분산된 DNS/DHCP를 중앙에서 집중 관리 한다. 이러한 중앙 집중 관리의 이점은 광범위한 IP 정보를 관리하는데 더 효율적이며 원격지의 DNS/DHCP 어플라이언스의 구성 변경을 동시에 수행함으로써 정책 적용의 일시성을 확보할 수 있고 관리자가 개별적으로 액세스하여 수정하는데 발생하는 에러를 줄여 관리 능력을 향상 시킨다.
● 완벽한 Fail-over
DNS의 경우 Master/Slave의 Fail-Over를 기본으로 지원하며 Heartbeat을 이용한 Fail-Over도 지원한다. 또한 한대의 Secondary DHCP가 다수의 Primary DHCP를 백업하여 Fail-Over로 인한 하드웨어 수요를 줄여준다.
● Multi-Vendor Solution 지원
VitalQIP의 Enterprise Server는 중앙집중식 관리 툴로서 RFC를 준수하는 어떠한 제조사의 DNS/DHCP 솔루션도 관리가 가능하다.
● 다양한 Add-On 모듈과 API Toolkit
사용자의 선택에 따라 다양한 Add-On 모듈을 제공하여 TCO를 줄여주며 API Toolkit을 제공하여 외부 프로그램과의 인터페이스, VitalQIP Enterprise Database, VitalQIP DHCP Server와 직접 접근이 가능하며 GUI나 내부 Polices를 Customizing 할 수 있다.
● Built-In Hardware Appliance
알카텔-루슨트는 최근 규모 2,000 User 이상 적용이 가능한 Built-In Appliance를 출시하여 시장 확대를 꾀하고 있다.

적용 사례
● DHCP Option 77 User Class를 이용한 사례
DHCP Client에 User Class를 Pre-Define하여 미리 정의된 값에 의하여 VitalQIP DHCP Server Pool의 특정 서브넷 IP가 할당 되는 방식이다. 이렇게 특정 클라이언트에 대하여 특정 서브넷을 할당하면 정책에 따라 네트워크 내에서 차별화된 QoS 처리가 가능하여 다양한 부가 서비스를 만들 수 있게 된다.
● 차세대 금융 시스템을 위한 안전한 DNS 구축 사례
VitalQIP와 Customizing된 DNS Managing 소프트웨어를 연동하여 메인 데이터 센터와 DR 센터간 DNS 시스템을 구축하여 DNS Zone Transfer 무결성 및 완벽한 리던던시 구현으로 차세대 금융네트워크의 중심 서비스로 자리 잡았다. 앞으로 어드레스 관리는 현재 IPv4뿐만이 아니라 IPv6, ENUM등 향후 전개되는 다음 세대의 인터넷 사회에까지 중요한 화두가 될 것이다.
IP관리는 단순한 IP 주소 관리를 넘어서 보안을 설계하고 적용하여야 하는 가장 기본적인 출발점이 되어야 한다. 주소 관리로부터 시작되는 철저한 보안 인식 없이는 장래에 더 큰 보안 문제를 맞이하게 될 것이다.
<글 : 이종철 시소아이티 인프라영업부 부장(jclee@sysoit.com)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>