DNS 악용 멀웨어 원천봉쇄하는 아카마이 ETP 솔루션
왜 DNS는 끊임없는 공격의 대상인가?
DNS(Domain Name System)는 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 TCP/IP 네트워크 서비스이다. 기업들은 비즈니스와 관련된 여러 서비스를 제공하기 위해 다양한 도메인 이름을 사용한다. 예를 들면 회사의 홈페이지도 도메인 이름이 있고, 사원들이 사용할 이메일 서버에도 도메인 이름이 부여된다. 그 외에도 파트너사와의 협력, 구매, 교육 등 다양한 서비스들을 구축하면서 이 도메인 이름들을 관리하게 된다. 다시 말해서, 공급자 입장에서 DNS를 운영해야 하며 외부 고객들 및 내부 직원들에게 이 서비스를 제공해야 한다. 때문에 DNS 서비스는 늘 보안 위협이 도사리고 있고 이에 따른 보호 및 방어체제가 필요하다.
또한 DNS는 기업내부의 컴퓨팅 서버와 장치들, 그리고 직원들이 인터넷을 사용할 때 필요한 심부름꾼 역할도 한다. 이러한 DNS 동작방식을 rDNS(recursive DNS)라고 한다. 즉 인터넷을 사용하는 환경에서 심부름꾼 역할을 하는 DNS 서버가 있다고 보면 된다(Local DNS Proxy 라고도 부른다).
예를 들면, 컴퓨터의 브라우저에서 도메인 주소를 입력하면 이를 IP주소로 바꾸는 과정에서 해당 컴퓨터의 DNS 변환 요청을 받아서 처리해주는 전담 rDNS 서버가 있어야 정상적인 통신이 가능하다. 이 요청을 받은 rDNS 서버는 요청을 한 컴퓨터 대신에 도메인 주소 변환을 위해 DNS의 계층 구조를 따라 실제 도메인 주소의 DNS 서비스를 하고 있는DNS 네임서버를 찾아서 응답을 받아 온 후 최종 응답을 해당 컴퓨터에 전달한다. 즉, ISP는 이 심부름꾼 DNS역할을 하는 rDNS 서버를 그들의 망에 설치해 놓고 서비스를 제공하고 있는 것이다.
최근 한 업체의 조사에 따르면 멀웨어의 91%가 C&C(Command & Control) 서버와 통신을 하기 위해 DNS를 사용한다고 한다. 만약 해커가 C&C 서버와의 통신을 위해 IP 주소를 사용한다면, 방어를 하는 입장에서는 L3/4 방화벽을 통해 쉽게 차단할 수 있다. 반대로 DNS 주소를 사용하는 경우 IP주소는 계속 변경이 될 수 있어 L3/4 방화벽 설정 등으로는 막기 어렵고 L7 방화벽 혹은 DPI (Deep Packet Inspector)와 같은 고비용 솔루션들이 필요하게 된다. 하지만 역으로 생각해보면 멀웨어가 DNS 주소를 사용하므로 DNS의 요청을 살펴보면 91%의 멀웨어 방어 및 관제가 가능하다.
기업의 경우 내부 서비스들을 많이 가지고 있지 않은 기업들은 그들이 사용하고 있는 ISP에서 제공하는 rDNS를 직접 사용하기도 하고, 그렇지 않은 경우 내부 서비스들과의 연동을 위해 자체적인 rDNS 서버들을 구축한다. 이러한 기업의 rDNS 서비스들은 기업 내부의 서비스들에 대한 DNS변환과 기업 외부의 DNS변환에 대한 분기점이 된다. 예를 들어, 사내에서 인트라넷에 접속을 할 때에도 DNS 이름을 사용하지만, 이 DNS 주소의 변환은 기업 내부에서만 일어나며 외부에서는 사내의 인트라넷에 대한 DNS 주소변환을 할 수가 없다.
기업에서는 액티브 디렉토리(Active Directory) 혹은 별도의 rDNS 서버를 설치하여 운영을 한다. 이 rDNS 서비스는 사용자의 DNS 주소 변환 요청에 대한 심부름꾼 역할을 한다. 기업은 이것은 전통적으로 포함해야 하는 인프라의 구성요소 중의 하나이며 보안면에서 그다지 중요하지 않았다. 그러나 이 rDNS를 활용해 기업 보안을 강화할 수 있다.
기업 내부에서 외부로 가는 DNS 악용하는 멀웨어 원천봉쇄하는 아카마이 ETP 솔루션
아카마이 ETP(Enterprise Threat Protector) 솔루션은 기업의 rDNS를 대신 처리해주는 클라우드 기반 서비스이다. 기업은 ETP를 그들의 rDNS 서버로 지정을 할 수도 있고, 아니면 액티브 디렉토리나 rDNS 서버에서 DNS Forward 설정으로 연동할 수도 있다. 이러한 설정은 기존의 네트워크 인프라스트럭처에 아무런 변화를 주지 않으며 간단한 설정 변경으로 즉시 반영이 될 수 있다. 어떠한 하드웨어나 소프트웨어의 설치 없이 rDNS의 흐름만 변경될 뿐이다.
이 간단한 변경이 기업 내부에서 외부로 나가는 트래픽들에 대한 가시성과 그에 따른 보안 관제 및 선제적 방어 기능을 제공한다. 아카마이는 하루평균 1500억건의 DNS 요청과, 전세계 30%에 이르는 웹 트래픽을 처리하고 있다. 이 처리로부터 다양한 공격패턴과 공격의 원천지 정보를 수집하여 사이버공격에 대한 데이터베이스를 구축한다. ETP는 사용자가 요청하는 DNS 주소를 검사해 접속하려는 사이트에 대한 위험도를 판단하여 실제 접속 전에 접속에 대한 경고, 차단 및 분석을 할 수 있다.
ETP는 세가지 요소로 구성이 되어 있는데, Recursive DNS 서버, CSI (Cloud Security Intelligence) 그리고 관리 포털이다. 위에서 언급이 된 rDNS 서버는 Anycast 라우팅을 사용하며 전 세계적으로 광범위하게 분산 배치되어 있다. 이 중 ETP의 핵심 요소라고 할 수 있는 CSI는 DNS 보안을 위한 데이터 수집을 위해 다양한 경로와 기법을 이용한다.
아카마이의 CDN(Content Delivery Network)에서는 DNS에 기반한 분산처리를 사용하므로 매일 1500억개 이상의 DNS 쿼리를 처리하고 있으며 이 내역과 써드파티 데이터 및 퍼블릭 데이터를 기반으로 빅데이터 분석을 수행한다.
ETP 솔루션의 또다른 장점은 쉽고 직관적인 모니터링 및 보안관제이다. 사업장이 여러 곳에 분산되어 있더라도 관제포털은 클라우드 상에 통합되어 있어 언제 어디서든 쉽게 접속하여 모니터링할 수 있고 위협이 탐지되면 얼럿(Alert) 기능으로 즉시 개입해 처리할 수 있다. 대시보드에서는 아카마이에서 자동으로 분류해 놓은 카테고리별 목록과 접속 지역별 통계 및 도메인별의 통계를 제공한다. 각각의 정보는 개략적인 부분에서 상세한 부분까지 드릴다운을 통해 자세한 정보들을 볼 수 있고 API를 통한 접속 및 SIEM 통합을 지원해 기존의 다른 보안 솔루션들과 쉽게 통합된다.
위협이 탐지된 이벤트들에 대해 정보들을 쉽게 분석할 수 있는 별도의 위협 분석(Threat Analysis) 대시보드를 제공한다.
인텔리전스 메뉴에서는 아카마이 보안 데이터베이스를 기반으로 특정 도메인에 대한 정보를 확인할 수 있으며 침해지표 (IOC)를 쉽게 확인할 수 있다.
요약하면, ETP에서 제공하는 기능들은 다음과 같다. 첫째, 기업내부에 기 감염된 멀웨어로부터 C&C 서버로의 통신을 차단한다. 멀웨어가 C&C 서버로 접속하려고 C&C 서버에 할당된 DNS 주소를 변환하려는 요청을 보낼 때, 아카마이 ETP에 구축되어 있는 데이터베이스를 기반으로 목적지에 대한 검사를 실행한다.
둘째, 피싱/파밍 등 유해사이트들로의 접속을 차단한다. 피싱/파밍 사이트들은 이메일이나 웹사이트 상에 교묘하게 위장되어 있어 인지하기 어려운 경우가 많은데, 이러한 위장되어 있는 사이트로의 접근을 차단할 수 있다.
셋째, DNS 프로토콜을 사용한 기업정보 유출을 차단한다. DNS를 통한 exfiltration이라는 기법을 통해 기업 내부의 정보를 외부로 유출시키는 기법이다. 기존의 보안 장비들은 DNS 보다는 IP 주소를 기반으로 감시를 하기 때문에 이를 우회하기 위해 DNS 프로토콜의 주소체계에 기업내부의 정보를 encryption해서 외부로 전송한다.
넷째, 기업의 AUP (Acceptable User Policy)를 제공한다. AUP는 기업의 업무환경에 있어서 접속할 수 있는 사이트들의 영역을 관리하는 기능이다. 예를 들면, 도박이나 성인물 등과 같은 사이트들은 일반적으로 접속이 필요하지 않다. 이러한 사이트들은 보안 공격의 주체는 아니지만, 멀웨어나 애드웨어에서 광고수익을 목적으로 사용되기도 한다. 그 외에도, 기업의 업무목적에 맞추어 접속할 수 있는 사이트들을 관리할 수 있다.
아카마이 ETP 활용사례
미국 동남부의 한 금융회사에서는 보안을 위해 많은 노력을 기해 왔으며, 완벽한 보안을 구축하고 있다고 자부하고 있었다. 아카마이 기존 고객이었던 이 금융회사는 ETP를 통해 진단을 해보게 되었다. ETP 적용을 하자마자 다량의 멀웨어 트래픽들과 공격위협들이 탐지되었고, 이 위협들은 ETP에 의해 적절히 차단 및 완화를 시킬 수 있었다. 당황한 고객사에서는 곧바로 정식 계약을 통해 Recursive DNS를 통한 모니터링과 관제를 시행하였으며 지금은 ETP의 쉽고 빠른 탐지방식과 차단 결과를 통해 보안을 강화할 수 있었다.
미국의 한 대형 마트 체인에서는 가족 중심적인 브랜드 이미지를 구축하고, 매장에는 고객들이 사용할 수 있는 무료 WiFi가 제공되고 있었고, 사용자 편의를 위한 다수의 컴퓨터와 모바일 장치들이 설치 되어 있었다.
어느 날 매장 관리자는 매장의 컴퓨터 장치들이 부적절한 사이트들에 접속되어 있는 채 방치되어 있는 것을 발견했고, 이는 브랜드 이미지에 치명적일 수도 있는 사건이었다. 심지어 이 증상들을 처치하기 위해서 IT부서의 전문가를 불러야 했고 상당한 시간과 비용을 들여야 했다. 매장안에서 청소년들이 무료 WiFi를 통해 아무런 통제 없이 유해사이트에 접속할 가능성도 있었다.
프록시 장비들을 설치해서 해결할 수도 있지만, 북미 전역에 걸쳐 모든 체인점에 설치를 하고 운영을 하는 것은 현실적으로 불가능한 방법이었다. ETP는 클라우드 기반으로 적용이 가능하여 각 매장 별 설치 및 관리가 필요 없고, 전 매장들에 대한 관제를 클라우드의 포탈에서 할 수 있어서 빠른 시간 안에 이 문제를 해결할 수 있었다.
전자신문 웹비나 전문방송 allshow TV는 오는 6월 14일 오후 2시부터 3시까지 `끊임없는 기업 네트워크 공격, DNS로 원천 봉쇄하기` 라는 주제로 무료 온라인 세미나를 개최한다.
이 웨비나에서는 아카마이 테크놀로지스 한국법인의 신동곤 상무가 기업의 보안에서 왜 내부에서 외부로 나가는 트래픽에 관심을 가져야 하며 어떠한 문제점을 가지고 있는지 살펴본다. 또한 DNS를 통한 기업정보 유출 기법 소개 및 AUP(Acceptable User Policy)에 대한 소개와 아울러 기업의 네트워크보안을 강화하는 아카마이의 ETP(Enterprise Threat Protector)의 동작원리와 적용 실 사례를 살펴본다.
세미나 참석을 원한다면 누구든지 전자신문 웨비나 전문방송 올쇼TV 홈페이지에서 신청하면 된다.
이향선기자 hyangseon.lee@etnews.com