공식 이름 서버의 이름만 차용하고 IP 주사를 바꿔주면 민감한 정보가 엄청난 양으로 흘러 들어온다고 한다. DNS 구조가 취약하기 때문에 이런 간단한 공략으로 많은 정보를 취득할 수 있게 된다. 재택 근무자가 많아지는 때, DNS 보강이 절실하다.
[보안뉴스 문가용 기자] 클라우드 보안 업체 위즈(Wiz.io)는 올해 초 AWS의 루트53(Route53)이라는 도메인 이름 서비스(DNS)를 이리 저리 실험해 보는 시간을 가졌다. 그러다가 자신들의 도메인 등록 시스템을 활용함으로써 실제 AWS 이름 서버 내에 새로운 호스팅 영역을 구축할 수 있음을 깨달았다. 실제로 이를 진행하니 수초 만에 각종 DNS 요청들이 쇄도하기 시작했다. 외부/내부 IP 주소, 컴퓨터 이름, 조직 내 부서 이름 등이 전부 자신들의 서버로 들어오기 시작한 것이다.
[이미지 = utoimage]
스스로도 놀라서 서버를 닫을 때까지 위즈는 1만 5천여 AWS 고객들로부터 트래픽을 접수했다. 수백만 개의 엔드포인트 장비들이 위즈에 트래픽을 보냈다. “저희가 한 일이라고는 가짜 AWS 이름 서버를 등록한 것뿐이었습니다. 다만 가짜 서버와 진짜 서버의 이름을 똑같이 만들었죠. 이름만 똑같이 했더니, 민감한 정보가 수도 없이 쏟아져 들어오기 시작했습니다. 처음에는 저희가 무슨 짓을 했는지, 무슨 일이 벌어지고 있는지도 몰랐어요.” 위즈의 CTO인 아미 루트왁(Ami Luttwak)의 설명이다.
AWS의 루트53은 일종의 DNS 서비스다. AWS 고객들은 DNS 요청이 들어올 때 알맞은 도메인을 응답으로 내보내기 위해 도메인 이름과 이름 서버를 업데이트 하는데, 이 때 루트53과 같은 서비스를 활용한다. 위즈는 이 서비스를 통해 도메인 이름을 업데이트 했는데, 이 때 이름을 특수하게 설정하고, 이 이름과 연결되는 IP 주소를 자신들의 것으로 바꿔놓았다. 그러자 AWS 루트53 고객들이 자신들의 장비를 통해 전송하는 DNS 요청들이 위즈의 가짜 이름 서버로 들어오기 시작했다고 한다.
위즈는 이렇게 들어오는 트래픽을 추적하고 활용해 수많은 민감 정보를 얻어낼 수 있음을 알아내기도 했다. 포춘 500대 기업들과 미국 연방 기관 45개의 내부 정보도 포함되어 있었다. AWS가 세계적인 서비스인 만큼 당연히 해외 정부 기관들의 정보도 발견할 수 있었다. “조사를 진행하고서 얼마 지나지 않아 이 사건이 어떤 의미를 가지고 있는지 깨달을 수 있었습니다. 간단한 도메인 등록 절차만 거치면 국가의 지원을 받는 공격 단체만 할 수 있는 에스피오나지 공격을 할 수 있다는 것이 바로 그것입니다.”
파장이 클 수 있는 공격 방법이었고, 위즈 측은 곧바로 아마존 측에 이 사실을 알렸다. 아마존은 문제를 곧바로 해결했다. 이것이 2월 중순의 일이었다. “누구라도 루트53이라는 플랫폼에 ‘공식 이름 서버’를 구축할 수 있다는 게 이 취약점의 핵심이었습니다. 공식 이름 서버의 이름은 사용 불가하게 처리하면 될 문제였고, 실제 아마존도 그렇게 일을 처리했습니다. 이제 아무도 공식 이름과 똑같은 가짜 이름 서버를 만들 수 없습니다.”
문제는 이와 똑같은 취약점을 가진 DNS 서비스 제공업체들이 더 있다는 것이다. 위즈가 발견한 업체만 해도 아마존 외에 두 곳 더 있었다. 하지만 위즈는 이 업체들의 이름을 밝히지 않았다. 아직 문제가 수정되지 않았기 때문이다. 연락을 취해 봤지만 아직 업체 측은 묵묵부답이라고 한다.
이 연구 결과는 DNS 인프라에 존재하는 ‘회색 지대’를 정확히 찌르고 있다. DNS 인프라는 오래된 소프트웨어와 신기술이 혼합되어 있기 때문에 예기치 않은 곳에서 예상치 못한 문제들이 불거져 나온다는 것이 보안 전문가들의 설명이다. “어떤 소프트웨어는 20년 전에 개발되기도 했습니다. 그런 소프트웨어들은 클라우드 기술을 전혀 고려치 않은 채 개발된 것들이죠. 제로트러스트는 물론이고요. 오늘날의 인프라와 어울리지 않는 게 당연합니다.”
그런 취약한 DNS 인프라로 요청이 전송될 때, 해당 요청이 발생하는 엔드포인트에 관한 상세한 정보도 함께 전달된다. 전달되는 정보의 민감성에 비해 인프라의 탄탄함이 지나치게 결여되어 있다는 불균형 또한 DNS 환경의 심각한 문제라고 루타왁은 지적한다. “이는 재택 근무가 늘어난 현 시점에서 더더욱 큰 문제로 부각될 수 있습니다. DNS 인프라의 요청 처리가 내부적으로만 처리된다면야 민감한 정보를 다루더라도 크게 위험할 것이 없지요. 하지만 엔드포인트들이 다 집으로 흩어져 있는 지금, 이는 성립되지 않습니다.”
하지만 아직까지 이런 취약한 부분을 활용한 실제 사이버 공격이 얼마나 발생했는지 파악하는 건 힘들다고 위즈는 설명한다. “완전히 없다고 말하긴 힘들 것 같습니다. DNS 인프라는 공격자들의 관심거리이고, 따라서 연구도 많이 됩니다. 수많은 공격자들 중 이 지점을 파악한 사람이 아예 없다고 단언하기 힘듭니다. 따라서 DNS 서비스를 제공하는 모든 조직들이 이번 연구 결과를 알아둘 필요가 있습니다.”
3줄 요약
1. DNS 인프라 통해 이름 서버 이름만 살짝 바꿨는데 트래픽 우회 가능.
2. DNS 인프라에는 오래된 소프트웨어가 아직도 다량으로 사용됨. 따라서 취약.
3. DNS 서비스를 제공하는 조직들은 이름 서버의 이름 설정 정책을 바꿔줘야 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 클라우드 보안 업체 위즈(Wiz.io)는 올해 초 AWS의 루트53(Route53)이라는 도메인 이름 서비스(DNS)를 이리 저리 실험해 보는 시간을 가졌다. 그러다가 자신들의 도메인 등록 시스템을 활용함으로써 실제 AWS 이름 서버 내에 새로운 호스팅 영역을 구축할 수 있음을 깨달았다. 실제로 이를 진행하니 수초 만에 각종 DNS 요청들이 쇄도하기 시작했다. 외부/내부 IP 주소, 컴퓨터 이름, 조직 내 부서 이름 등이 전부 자신들의 서버로 들어오기 시작한 것이다.
[이미지 = utoimage]
스스로도 놀라서 서버를 닫을 때까지 위즈는 1만 5천여 AWS 고객들로부터 트래픽을 접수했다. 수백만 개의 엔드포인트 장비들이 위즈에 트래픽을 보냈다. “저희가 한 일이라고는 가짜 AWS 이름 서버를 등록한 것뿐이었습니다. 다만 가짜 서버와 진짜 서버의 이름을 똑같이 만들었죠. 이름만 똑같이 했더니, 민감한 정보가 수도 없이 쏟아져 들어오기 시작했습니다. 처음에는 저희가 무슨 짓을 했는지, 무슨 일이 벌어지고 있는지도 몰랐어요.” 위즈의 CTO인 아미 루트왁(Ami Luttwak)의 설명이다.
AWS의 루트53은 일종의 DNS 서비스다. AWS 고객들은 DNS 요청이 들어올 때 알맞은 도메인을 응답으로 내보내기 위해 도메인 이름과 이름 서버를 업데이트 하는데, 이 때 루트53과 같은 서비스를 활용한다. 위즈는 이 서비스를 통해 도메인 이름을 업데이트 했는데, 이 때 이름을 특수하게 설정하고, 이 이름과 연결되는 IP 주소를 자신들의 것으로 바꿔놓았다. 그러자 AWS 루트53 고객들이 자신들의 장비를 통해 전송하는 DNS 요청들이 위즈의 가짜 이름 서버로 들어오기 시작했다고 한다.
위즈는 이렇게 들어오는 트래픽을 추적하고 활용해 수많은 민감 정보를 얻어낼 수 있음을 알아내기도 했다. 포춘 500대 기업들과 미국 연방 기관 45개의 내부 정보도 포함되어 있었다. AWS가 세계적인 서비스인 만큼 당연히 해외 정부 기관들의 정보도 발견할 수 있었다. “조사를 진행하고서 얼마 지나지 않아 이 사건이 어떤 의미를 가지고 있는지 깨달을 수 있었습니다. 간단한 도메인 등록 절차만 거치면 국가의 지원을 받는 공격 단체만 할 수 있는 에스피오나지 공격을 할 수 있다는 것이 바로 그것입니다.”
파장이 클 수 있는 공격 방법이었고, 위즈 측은 곧바로 아마존 측에 이 사실을 알렸다. 아마존은 문제를 곧바로 해결했다. 이것이 2월 중순의 일이었다. “누구라도 루트53이라는 플랫폼에 ‘공식 이름 서버’를 구축할 수 있다는 게 이 취약점의 핵심이었습니다. 공식 이름 서버의 이름은 사용 불가하게 처리하면 될 문제였고, 실제 아마존도 그렇게 일을 처리했습니다. 이제 아무도 공식 이름과 똑같은 가짜 이름 서버를 만들 수 없습니다.”
문제는 이와 똑같은 취약점을 가진 DNS 서비스 제공업체들이 더 있다는 것이다. 위즈가 발견한 업체만 해도 아마존 외에 두 곳 더 있었다. 하지만 위즈는 이 업체들의 이름을 밝히지 않았다. 아직 문제가 수정되지 않았기 때문이다. 연락을 취해 봤지만 아직 업체 측은 묵묵부답이라고 한다.
이 연구 결과는 DNS 인프라에 존재하는 ‘회색 지대’를 정확히 찌르고 있다. DNS 인프라는 오래된 소프트웨어와 신기술이 혼합되어 있기 때문에 예기치 않은 곳에서 예상치 못한 문제들이 불거져 나온다는 것이 보안 전문가들의 설명이다. “어떤 소프트웨어는 20년 전에 개발되기도 했습니다. 그런 소프트웨어들은 클라우드 기술을 전혀 고려치 않은 채 개발된 것들이죠. 제로트러스트는 물론이고요. 오늘날의 인프라와 어울리지 않는 게 당연합니다.”
그런 취약한 DNS 인프라로 요청이 전송될 때, 해당 요청이 발생하는 엔드포인트에 관한 상세한 정보도 함께 전달된다. 전달되는 정보의 민감성에 비해 인프라의 탄탄함이 지나치게 결여되어 있다는 불균형 또한 DNS 환경의 심각한 문제라고 루타왁은 지적한다. “이는 재택 근무가 늘어난 현 시점에서 더더욱 큰 문제로 부각될 수 있습니다. DNS 인프라의 요청 처리가 내부적으로만 처리된다면야 민감한 정보를 다루더라도 크게 위험할 것이 없지요. 하지만 엔드포인트들이 다 집으로 흩어져 있는 지금, 이는 성립되지 않습니다.”
하지만 아직까지 이런 취약한 부분을 활용한 실제 사이버 공격이 얼마나 발생했는지 파악하는 건 힘들다고 위즈는 설명한다. “완전히 없다고 말하긴 힘들 것 같습니다. DNS 인프라는 공격자들의 관심거리이고, 따라서 연구도 많이 됩니다. 수많은 공격자들 중 이 지점을 파악한 사람이 아예 없다고 단언하기 힘듭니다. 따라서 DNS 서비스를 제공하는 모든 조직들이 이번 연구 결과를 알아둘 필요가 있습니다.”
3줄 요약
1. DNS 인프라 통해 이름 서버 이름만 살짝 바꿨는데 트래픽 우회 가능.
2. DNS 인프라에는 오래된 소프트웨어가 아직도 다량으로 사용됨. 따라서 취약.
3. DNS 서비스를 제공하는 조직들은 이름 서버의 이름 설정 정책을 바꿔줘야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
