세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
DNS 분석해서 온라인 사기꾼 및 범죄자들 뿌리 찾기
  |  입력 : 2016-11-03 17:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
온라인 범죄자들, 한 번에 수천 개 가짜 사이트 만들어
범죄 사이트 하나하나 삭제하는 건 거의 ‘아무런 소용없어’


[보안뉴스 문가용 기자] 악성 웹 사이트를 폐쇄하는 건 임시방편일 뿐이다. 범죄자들 입장에서는 그저 다른 주소를 하나 파서 새로운 사이트를 만들면 그만이기 때문이다. 이에 몇몇 전문가들이 DNS 분석을 통해 좀 더 ‘근본적인’ 소탕을 할 수 있도록 하는 방법을 연구했다. 이 전문가들은 파사이트 시큐리티(Farsight Security)의 CRO인 앤드류 류만(Andrew Lewman), 사이벨엔젤(CybelAngel)의 CTO인 스티븐 케로디(Stevan Keraudy)다.

이 연구에 대해 류만은 “온라인 범죄 네트워크를 적발하기 위해 네트워크 과학이라는 접근법을 활용해 본 시도”라고 설명한다. DNS 요청을 시각화하고 분석해 수상한 웹 사이트들의 공통 쓰레드를 발견해내고자 한 것으로, 두 사람은 수천 개의 가짜 웹 사이트를 DNS 캐시 미스 요청을 통해 걸러내고, 수백 개의 도메인 이름을 추려내 한 개의 범죄 조직을 발견하는 데에 성공했다고 한다.

“온라인 범죄 소탕의 가장 큰 문제점은, 범죄자들의 자원이 풍부하다는 겁니다. 그냥 웹 사이트 하나 둘 없어지는 건 그들에게 전혀 걸림돌이 되지 않습니다. 폐쇄를 예상하고 한 번에 몇 천 개씩 만들어냈다가 타이밍 맞춰 하나씩 온라인에 공개하는 게 그들의 공격 패턴입니다. 우리가 하나 찾아내서 닫았다고 축배를 들 때 그들은 미리 예비해둔 수천 개 웹 사이트 중 하나를 온라인으로 전환하면 끝입니다.” 케로디의 설명이다.

이 시스템이 사실이라면 웹 사이트를 하나하나 거둬내는 건 전혀 쓸모가 없는 방법이라고 볼 수 있다. 인터넷의 창시자이자 DNS 전문가인 폴 빅시(Paul Vixie)도 얼마 전 이 점을 깨닫고 ‘웹 사이트를 온라인화 시킬 때 유예 기간이 필요하다’고 주장한 바 있다. 웹 사이트를 온라인화 시키는 걸 누구나 할 수 있으니 범죄자들의 행위를 잡아낼 수가 없다는 것이 그 이유였다.

류만과 케로디는 파사이트에서 제공하는 패시브 DNS(Passive DNS) 서비스를 사용해 이 연구를 진행했다. 패시브 DNS 서비스를 가지고 실시간으로 응답 데이터를 수집했다고 한다. 또 사이벨앤젤의 웹 크롤링 기술과 데이터 분석 알고리즘을 활용해 가짜 도메인 이름들이 온라인화 될 때마다 잡아냈다. “패시브 DNS를 전환시켜 흔히 가짜 이름 생성에 활용되는 브랜드와 같은 것들을 시각화했습니다. 시각화란 한 마디로 말해 저희가 설정한 정보 검색 및 자료 수집을 한 기계가, 인간이 알아들을 수 있는 언어로 전환하는 것을 말합니다.”

이렇게 하니 악성 및 범죄에 활용되는 웹 사이트들이 뭉텅이로 ‘시각화’되었다. 그리고 이 뭉텅이 뭉텅이들을 추적해 그 뿌리가 되는 조직 자체에 다다를 수 있었다. “이 시점에서는 법적인 조치를 취할 수 있게 됩니다. 예를 들어 유명 브랜드의 웹 사이트인 것처럼 꾸며놓은 범죄 사이트를 오리지널 브랜드 보유 회사에서 고소할 수 있게 되죠. 범죄 조직을 정확히 겨냥해서요.”

수상한 웹 사이트들에는 크롤러를 작동시킨다. 적발보다는 가시화 작업 혹은 뿌리 추적을 위한 최대한의 정보를 수집하는 역할을 수행한다. “전화번호, 이메일, 후이즈 관련 정보들을 최대한 수집하는 것이죠.” 그렇지만 이 방법을 활성화시킨다고 해도 범죄 척결이 금방 이루어질 것이라고 보이지는 않는다고 두 전문가는 입을 모은다. “범죄와의 싸움은 오프라인이든 온라인이든 영원한 술래잡기거든요. DNS 분석을 통해 뿌리에 있는 범죄 조직을 밝혀내고 법적인 조치를 취해서 그들을 가둔다고 해도, 다음 범죄 집단이 나타나 이 방법을 무용지물로 만들 겁니다.”

두 전문가는 자신들이 직접 실험해본 이 ‘DNS 분석으로 범죄 집단 추적하기’를 블랙햇 유럽 행사에서 자세하게 공개할 예정이다. 본지도 후속기사가 공개되는 대로 전달할 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#DNS   #디도스   #뿌리    #캐내면   


GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)