소리 소문 없는 디도스 전쟁, DNS 보호로 공격자 성가시게 해

디도스 공격, 잘 보도되고 있지 않지만 끊임없이 발생하는 전쟁
DNS 강화하는 기술인 RRL, DNSSEC, DANE 널리 적용해야

[보안뉴스 문가용 기자] 디도스 공격이라는 측면에서 2018년은 과거보다 비교적 조용한 해였다. 그렇다고 2019년도 평화로울 것이라고 예측하기는 힘들다. 그럴 수도 있고 아닐 수도 있다. 대신 일부 보안 전문가들이 DNS 보안을 강화하면 올 한 해가 해커들에게 힘든 시간이 될 수 있다는 의견을 제시했다.

[이미지 = iclickart]

“현재 보안 시장은 대규모 디도스 공격에 대해 크게 걱정하지 않는 분위기입니다. 디도스 공격은 잘 보도되지도, 보고되지도 않습니다. 하지만 사람들의 눈이 닿지 않는 저 뒤에서, 디도스와 관련된 크고 작은 전쟁은 끊임없이 벌어지고 있습니다.” 보안 업체 NS1의 CEO인 크리스 비버스(Chris Beevers)의 설명이다.

그러면서 그는 디도스 공격은 늘 상수처럼 존재하는 것이라고 묘사했다. “하지만 2016년 미라이(Mirai) 봇넷이 디도스 공격을 일으킨 이후 이름 서버를 공격 툴로 활용하는 게 힘들어진 건 사실입니다.”

보안 업체 인포블록스(InfoBlox)의 수석 DNS 아키텍트이자 엔지니어링 책임자인 크리켓 리우(Cricket Liu)는 비버스와 의견을 같이 한다. “디도스 공격에서 DNS 서버를 사용하는 게 더 어려워진 건 사실입니다. 이 부분에 있어서 여러 가지 방비책이 마련되었거든요. 특히 ‘응답 비율 제한(response rate limiting, RRL)이라고 하는 것이 큰 도움이 되고 있습니다.”

RRL이 적용된 DNS 서버는 한 IP 주소로부터오는 단일 도메인 요청에 대하여 제한된 횟수만큼만 응답을 내보낸다. 그러므로 피해자가 트래픽의 홍수에 익사할 가능성이 대폭 줄어든다.

더 높아진 DNSSEC 활용 비율도 DNS 보안을 강화하는 데 한 몫 했다. DNSSEC이란 서버들이 신뢰 받고 있는 인증서로 인증되고 서명되어야만 작동하도록 해주는 시스템으로, DNS 요청과 응답을 스푸핑하는 걸 훨씬 더 어렵게 만든다. 물론 DNSSEC이 아직 보편적으로 활용되고 있다고 말하기는 어렵다. 국가들 간, 사업들 간에 편차가 제법 큰 편이다.

리우는 “예를 들어 .com과 .net 도메인들은 DNSSEC 도입률이 굉장히 낮다”고 말한다. “특히 서브도메인에는 거의 적용되어 있지 않다고 봐도 될 정도입니다. 국가별로 봤을 때는 스웨덴과 벨기에가 가장 높은 도입률을 보이고 있습니다.”

공공 DNS 서비스를 사용하는 개인이나 조직이라면, DNS 보안이 강화되고 있다고 봐도 된다. 비버스는 “구글, 오픈 DNS(Open DNS), 쿼드나인(Quad9) 등이 호스팅하고 있는 공공 DNS 서버의 경우, RRL이나 DNSSEC과 같은 기술이 이미 잘 적용되어 가는 중”이라고 설명한다.

쿼드나인의 전무인 존 토드(John Todd)에 의하면 “현재 DNS 서버를 82개국 137개 도시에 갖추고 있는데, 하루에 1천만 번 이상의 악성 이벤트를 막아낸다”고 설명한다. “공격자들은 다양한 기술을 동원해 DNS 서버를 공략하려고 합니다. 정말 엄청난 전쟁이 소리소문 없이 진행되고 있는 것이죠. 어떤 날은 4천만 번의 공격이 일어나기도 합니다.”

쿼드나인은 이처럼 방대한 공격을 막아내기 위해 여러 가지 방어 기술을 활용하고 있다. 그 중에 DNSSEC도 있고, 블랙리스팅도 있다. “쿼드나인은 19개 파트너사들이 모여서 만든 컨소시엄입니다. 이 19개 파트너사들이 제공해주는 위협 첩보만 잘 활용해도 굉장히 많은 악성 웹사이트와 URL들을 막을 수 있게 됩니다. 멀웨어나 피싱 링크를 호스팅하고 있다고 알려진 사이트들은 전부 사전 차단됩니다.”

이렇게 안정적인 방어 능력을 보여주어서인지, 쿼드나인 서비스 사용자가 일주일마다 평균 25% 증가하고 있다고 한다. 비버스는 “일반 사용자들이 악성 트래픽이나 디도스 공격에 대해 인지하기 시작한 것이 쿼드나인 사용자를 증가시키고 있다”고 말한다. “보안이 점점 더 문제의 중심부로 옮겨오기 시작했습니다. 사용자 개개인이 자기 핸드폰과 PC를 강화하는 것과 별개로, 조직 차원에서 보안에 대한 수요가 높아지고 있어요. 게다가 클라우드 사용자가 늘어나면서 이런 현상이 가속되고 있기도 하고요.”

리우는 “당분간 DNS 보안 강화는 계속 진행될 것”이라고 보고 있다. “개인적으로는 DANE에 많은 기대를 걸고 있습니다. DANE은 ‘지명된 조직들의 DNS 인증(DNS Authentication of Named Entities)’을 뜻하는 말이다.

DANE은 IETF RFC 6698에 묘사된 것으로, 조직이 어떤 요청에 대하여 인증서에 관한 정보를 첨부할 수 있도록 해준다. 즉, 요청을 만들고 보내는 조직이, 돌아오는 응답이 올바른 인증서로 확인된 것인지 알아볼 수 있다는 것이다. 리우는 “가짜 인증서도 만드는 게 그리 어렵지 않아서 보안 문제를 일으키고 있는데, DANE이 등장하면 이 문제도 어느 정도 해결될 것”이라는 입장이다. “그렇기에 DNSSEC의 도입을 더 촉진시킬 것이라고 생각합니다.”

3줄 요약
1. 미라이가 우리에게 남겨준 건? IoT 봇넷 디도스 공격과 DNS 방어.
2. DNS 방어가 강화되고 있어 DNS 활용한 사이버 공격 실제로 어려워지고 있음.
3. 특히 RRL, DNSSEC, DANE이라는 방어 기술이 효과를 보고 있음. 더 널리 적용되어야 함.

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)