[인터뷰] 글로벌 보안업체 노미넘 Bruce Van Nice 시니어 디렉터
“DNS는 모든 네트워크의 시작...공격자들의 좋은 타깃”

[보안뉴스 민세아] DNS(Domain Name Service)는 우리가 사용하는 도메인 이름을 IP주소로 바꿔주는 인터넷 서비스를 말한다. 즉, 사람이 이해하는 인터넷 주소를 서버나 라우터가 알 수 있도록 변환해 주는, 인터넷을 사용하기 위한 필수적인 요소라고 할 수 있다.

▲노미넘(Nominum) 본사 브루스 밴 나이스 시니어 디렉터

문제는 이러한 DNS가 점점 사이버공격의 타깃이 되고 있다는 사실이다. 미국에서 DNS 디도스 전문 보안업체로 잘 알려진 노미넘(Nominum)은 실제로 최근 3년 동안 DNS를 악용한 디도스(DDoS) 공격이 꾸준히 발생하고 있다고 밝혔다.

노미넘에서 보안 분야의 구루(GURU)로도 불리는 브루스 밴 나이스(Bruce Van Nice) 시니어 디렉터는 DNS 디도스 공격에 대해 이렇게 말했다. “지난 3년 전부터 전 세계에서 발생하는 디도스 공격을 분석한 결과, DNS를 타깃으로 한 증폭 디도스 공격이 증가하는 추세입니다. DNS는 모든 네트워크의 시작이기 때문에 공격자들의 좋은 먹잇감이죠.”

정확한 명칭은 DNS 증폭 디도스(DNS Amplification DDoS) 공격이다. DNS 증폭 디도스 공격은 좀비PC를 만들어 공격하는 일반적인 디도스 공격과 어떻게 다를까?

우리가 웹브라우저 주소창에 도메인을 입력하면 DNS 서버에 그 도메인의 IP주소를 질의(Query)한 후에 받은 IP를 가지고 실제 서버에 접속한다. 이렇게 DNS 서버는 쿼리를 받아 응답한다. 그런데 공격자가 초당 수백 건의 도메인 쿼리를 보내게 되면 DNS 서버는 이 쿼리에 응하게 되고, 수십~수백Gbps의 응답 트래픽을 발생시키게 된다. 이것이 바로 DNS 증폭 DDoS 공격이다.

▲ DNS 증폭 DDoS 공격 방식(출처: 노미넘)
디도스 공격은 기본적으로 스푸핑된 IP로 공격을 하기 때문에, 공격의 근원지를 알기가 매우 어렵다. DNS 디도스 공격은 높은 기술력이 필요한 것이 아니라 비교적 단순한 기술을 가지고 있는 사람도 DNS 디도스 공격 소프트웨어를 깔아 서버에 접근할 수만 있다면 공격이 가능하다.

DNS 디도스 공격을 받는 곳은 주로 유명 웹사이트, 게임사이트, 도박사이트, 뉴스사이트, 전자상거래 사이트 등이다. 유명 사이트들은 통상적으로 월 2회 정도 공격을 받는다. 그 외 일반적인 웹사이트들도 디도스 공격에 예외는 아니다.

브루스 시니어 디렉터는 “이전에는 인터넷에 연결된 전 세계 3천2백만 대의 가정용 라우터가 감염되어 DNS 디도스 공격에 이용됐다면, 지금은 많이 줄어서 1천7백만 개의 가정용 라우터가 감염돼 있다”고 말했다.

“DNS 디도스 공격은 전 세계적인 문제입니다. 유명한 웹사이트나 그렇지 않은 웹사이트 모두 공격대상이 되고 실제로 공격이 일어나고 있습니다. DNS를 이용한 디도스 공격은 DNS에 굉장히 많은 부하를 주게 되는데, 이로 인해 통신사업자들의 서비스 제공이 불가능해질 뿐더러 전체 인터넷 통신망이 모두 다운될 가능성도 배제할 수 없습니다.”

웹사이트에 디도스 공격을 하는 공격자들은 외부로부터 사주를 받거나 뉴스사이트에 특정 메시지를 보내기 위해 공격을 감행한다. 돈을 받고 고용되어 공격하는 경우 공격자들이 받는 돈은 그리 많지 않다. 하지만 그에 비해 디도스 공격으로 웹사이트에 끼치는 손해는 엄청나다는 게 Bruce 시니어 디렉터의 설명이다.

또한, 정치적 목적에 의해 해킹을 감행하는 핵티비스트들의 경우 정치적인 의도나 특정 뉴스 보도방침에 동의하지 않는 이유 등 아주 다양한 명분으로 웹사이트를 공격한다고 분석가들은 추측하고 있지만, 공격이 발생했을 때 공격자들의 정확한 의도를 바로 파악하기는 힘들다고 전했다.

브루스 시니어 디렉터는 이러한 DNS 디도스 공격을 전문적으로 차단하는 노미넘의 두 가지 자랑거리를 소개했다. 바로, ‘노미넘 데이터 사이언스팀(Nominum Data Science)’과 공격 쿼리 패킷을 검증하는 ‘필터’다. ‘노미넘 데이터 사이언스팀’은 DNS 디도스 공격 분석팀으로, 전 세계에서 발생하는 DNS 디도스 공격 패킷을 분석한다. 이들은 공격 패턴을 분석해 주기적으로 고객들에게 업데이트한다.

두 번째는 노미넘만의 특화된 검증 ‘필터’다. 서버 단에 필터를 갖다놓고, 서버로 들어오는 공격 쿼리 패킷을 검증한다. 이 필터를 통해 정상적인 쿼리인지, 공격을 위한 악성 쿼리인지를 구별할 수 있다. 노미넘 데이터 사이언스 팀에서 분석한 결과를 바탕으로 아주 정밀한 필터를 만들어 패킷을 통과시키거나 드롭(drop)시킨다.

전형적인 디도스 공격은 특정 사이트, 특정 IP군에 집중되어 있다. 가정용 라우터들 수천만 대가 전 세계 망 전체에 분산되어 있기 때문에 DNS 디도스 공격은 탐지가 더욱 어렵다. 더욱 큰 문제는 공유기가 내부망에 있다보니 공격자가 내부망에서 보낸 쿼리인 척 속여서 DNS 서버로 질의하면 공격 패킷을 그대로 통과시켜 버린다는 점이다. 이 패킷들이 증폭되어 대규모 DNS 디도스 공격이 된다.
이 때문에 기존 디도스 공격과 다르게 DNS 디도스 공격은 네트워크 어느 지점에 장비 하나만 설치한다고 해결되는 것이 아니다. 제대로 된 장비를 놓으려면 어떻게 DNS 서버가 움직이는지를 이해해야 한다. DNS 서버를 똑똑하게 만들어 DNS 서버 자체의 지능을 활용해 망을 보호하도록 해야 한다는 것. 이런 식의 DNS 보안은 노미넘이 유일하다고 브루스 시니어 디렉터는 말했다. “특정 DNS 기술에 대한 깊은 지식이 있지 않고서는 불가능합니다. 운 좋게도 노미넘이 DNS 관련 특정 기술을 보유하고 있기 때문에 DNS 디도스 공격을 효과적으로 방어할 수 있는 것 같습니다.”

DNS 디도스 공격의 경우 3년 전부터 감시하기 시작한 이후, 지금까지 멈추지 않고 계속해서 이어져오고 있다고 한다. 특이하게도 최근 2주간 공격이 잠깐 멈췄다가 다시 시작하는 양상을 보이고 있지만 같은 패턴, 같은 방식으로 매일매일 DNS 기반의 디도스 공격이 발생하고 있다는 설명이다. 


노미넘은 DNS 공격 데이터를 매일 수집하기 때문에 공격자들이 어떤 형태로 공격을 변형하는지 알 수 있다. ‘어떤 강도로, 어떻게 분산되어 공격하는가’에 초점을 맞춰 비슷한 스타일별로 카테고리를 나눈다. 특정 쿼리를 보면 공격자들의 스타일이 나타나기도 한다고.  

양이 많지는 않지만 꾸준한 패턴을 보이는 ‘롱 테일 데이터(Long-tail-data)’를 보면 새로운 기법을 실험하는 공격자들이 있다. 노미넘은 그러한 실험적인 신규 기법을 보고, 그것들이 대규모 공격으로 변이할 가능성이 있는지 관찰하게 된다.

보안전문가들에게 디도스 공격을 막을 수 있는 방법을 물어보면 “IP 변조를 막으면 돼”라고 말하는 경우가 대다수다. 출발지 주소가 변조된 패킷을 라우터에서 막으면 된다고 하지만, 실제로 많은 라우터에서 해당 기능을 사용하지 않고, 설사 사용하더라도 DNS 디도스 공격을 완벽하게 막을 수 있는 것은 아니라는 게 브루스 시니어 디렉터의 설명이다.

“DNS 디도스 공격을 완벽하게 막을 수 있는 방법은 없습니다. 공격자들은 언제 어느 곳이든 항상 존재하고, 스푸핑된 IP를 다 막는다는 것은 원론적으로 불가능한 일이니까요. 그것보다는 ‘DNS 디도스 공격에 어떻게 효과적으로 대응할 것이냐’에 초점을 맞춰 다양한 해결책을 강구하는 것이 좋은 방법이라고 봅니다.”
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>