Home > 전체기사
대규모 DNS 하이재킹 공격 실시하고 있는 시 터틀
  |  입력 : 2019-04-18 14:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
13개국의 40개 조직 공격한 그룹...주로 중동과 북아프리카에서 활동
DNS 등록 기관 노림으로써 파괴력과 영향력 크게 확대해...대책 시급


[보안뉴스 문가용 기자] 국가의 지원을 받는 해킹 그룹이 10개국이 넘는 곳에서 특정 조직들을 표적 삼아 대대적인 DNS 하이재킹 공격을 시작했다고 한다. 그러면서 웹과 이메일 트래픽을 가로채고 우회시키는 데 한창이라는 소식이다. DNS는 인터넷이라는 인프라의 취약점으로서 요 몇 년 동안 지적되어 온 것이기도 하다.

[이미지 = iclickart]


이 단체는 2017년부터 활동을 해왔으며, 그 동안 13개 국가에서 40개가 넘는 조직들을 공격했다. 피해 조직은 중동과 북아프리카에 집중되어 있다고 시스코 탈로스(Talos) 팀이 발표했다. “이 조직의 수법은 늘 비슷합니다. DNS 기록에 접근해 조작하는 것이죠. 그래서 피해 조직에서 인터넷을 사용할 때 다른 곳으로 이동됩니다. 주로 공격자들이 조작하는 서버들이죠. 거기서 필요한 정보를 훔쳐내고 나면 사용자가 원래 가려던 사이트로 우회시킵니다.”

탈로스 팀은 이 캠페인에 ‘시 터틀(Sea Turtle)’이라는 이름을 붙였다. “시 터틀에 당한 조직들은 대부분 국방이나 국가 안보와 관련된 곳으로, 주로 외무부, 첩보국, 군사 조직들이었습니다.” 그 외에도 DNS 등록업체나 인터넷 통신사, 모바일 통신사 등에 대한 공격을 감행한 사례도 있다. 서드파티를 통해 원래 표적이었던 조직들로 파고들기 위함이다.

시 터틀 캠페인의 가장 큰 목적은 사이버 정찰인 것으로 보인다. “특정 국가들의 민감한 정보를 캐내기 위한 공격 캠페인이라고 확신하고 있습니다. 이들이 DNS 기록들을 업데이트하는 걸 보면, DNS 서버의 정상 운영자나 소유자가 다른 서버에 있는 도메인을 참조하는 것 같아 보입니다. 그래서 실상은 DNS 하이재킹이지만, 정상적인 행위로 보이죠.” 탈로스 팀의 크레이그 윌리엄즈(Craig Williams)의 설명이다.

“이 공격에 당하지 않으려면 레지스트리 락(registry lock)을 적용해서 도메인을 보호하고, 다중 인증 시스템을 도입해야 합니다. 또한 자동 업데이트를 통해 최대한 빠르고 안전하게 업데이트가 진행되도록 기기를 설정하는 것도 중요합니다. 업데이트를 자동으로 할 수 없는 환경이라면, 그것을 대신할 또 다른 보안 방어막을 추가로 마련해야 할 것입니다.”

계속되는 공격
최근 수개월 동안 DNS 층위에서의 공격이 점점 더 심각해지고 있다. 지난 1월 미국의 국토안보부는 모든 .gov 및 기타 정부 기관 관련 도메인 운영자들에게 긴급 지침을 내렸다. 공공 DNS 기록들을 감사해 조작되지 않았음을 확인해보라는 내용이었다. 또한 DNS 관련 계정의 비밀번호를 바꾸고 다중 인증을 적용하라는 지침도 포함되어 있었다. 당시 심각한 DNS 조작 공격이 이어지고 있다는 첩보가 있었기 때문이다.

같은 달 국토안보부는 별도의 권고문을 발표해 DNS 기록을 조작하는 공격자들이 활발히 활동하고 있음을 다시 한 번 알리기도 했다. 당시의 공격자들은 크리덴셜을 먼저 훔쳐 DNS 기록에 정상적으로 접근하고 있었다고 한다. 그런 후에 네임서버(NS) 기록과 DNS 주소 기록, 메일 교환기(Main Exchanger) 기록 등을 바꿨었다. 이 권고문은 일부 민간 보안 업체에서 DNS 공격과 관련된 첩보를 제공한 뒤에 발표된 것이기도 하다.

당시 보안 업체 파이어아이(FireEye)는 “이란의 해커들로 의심되는 단체가 대규모 DNS 트래픽 우회 공격을 실시하고 있다”고 경고했었다. 특히 중동 지방의 조직들이 표적이었다고 한다. 탈로스도 비슷한 경고를 세상에 전달한 바 있다.

이번에 발견된 시 터틀 캠페인의 경우 이전에 고발된 DNS 공격과는 별개의 것일 가능성이 높다고 탈로스는 설명한다. “시 터틀 캠페인 공격자들의 경우 최초로 네트워크에 침투하기 위해서 원격 코드 실행 취약점들을 익스플로잇 하거나, 스피어피싱 이메일 공격을 실시합니다. 그렇게 해서 침투에 성공하면, DNS 기록에 접근하기 위해 크리덴셜에 접근하기 시작합니다.”

크리덴셜 확보에 성공한 시 터틀 공격자들은, 이를 활용해 DNS 시스템에 접속하고, 이름 서버의 기록를 조작함으로써 사용자들을 중간에 다른 서버로 우회시킨다. 사실상 중간자 공격을 하는 것으로, 이 중간 단계로 우회되는 사용자들은 각종 정보를 공격자들에게 빼앗기게 된다. 이 중간자 공격에 사용되는 서버는 VPN 등 정상 서비스를 스푸핑해서 만들어진다.

악성 서버를 정상적인 것처럼 보이도록 하기 위해 시 터틀 공격자들은 ‘인증서 위장(certificate impersonation)’이라는 기법을 사용한다고 한다. “공격자들이 정상적으로 서명된 디지털 인증서를 같은 도메인의 다른 인증서 제공자에게서부터 확보해서 사용하는 기법을 말합니다. 예를 들어 디지서트(DigiCert) 인증서로 보호되는 웹사이트가 하나 있다고 합시다. 공격자들이 이 사이트를 노린다고 했을 때, 해당 도메인 앞으로 발급된, 또 다른 기관의 인증서를 취득해 공격을 한다는 겁니다.”

이렇게 기업 내의 DNS 기록들에 직접 접근하는 사례도 있지만, DNS 등록 기관을 공격하는 경우도 있었다. “스웨덴의 DNS 업체 중 넷노드(NetNod)라는 곳이 있습니다. 시 터틀 공격자들이 넷노드를 공격해 아르메니아에 있는 도메인을 공격하기도 했습니다.” 탈로스는 “이런 공격이 일반적인 DNS 조작 공격보다 훨씬 더 위험하다”고 말한다. “한 개의 조직이 당하는 게 아니라, 해당 등록 기관을 통해 DNS를 관리하고 있는 모든 기업들이 잠재적으로 위험해지는 일이니까요.”

DNS 하이재킹 공격이 근래 들어 새로 등장한 공격 기법은 아니다. 이전에도 이런 시도는 수없이 많이 일어났다. 문제는 이런 공격이 계속해서 증가하고 있다는 것과, DNS 등록 기관을 통한 공격이 발생하기 시작했다는 것이다. 보안 업체 도메인툴즈(DomainTools)의 에밀리 해커(Emily Hacker)는 “이전에는 크리덴셜을 훔쳐 단일 조직의 DNS 정보를 조작하는 게 전부였다”고 말한다. “그러니 피해가 해당 조직으로만 국한된다는 점이 존재했죠.”

에밀리는 “이제 이 공격이 DNS 기록 관리 조직 등으로 확장되면서 파괴력이 더 막강해졌다”고 경고한다. “인터넷 인프라의 중요 요소이자 어쩌면 가장 취약한 요소일 수 있는 DNS에 대해 논하기만 했었지 아무런 행동을 하지 않는 동안, 공격자들은 자신들의 무기를 더 갈고 닦았습니다. 이런 양상이 비단 DNS에서만이 아니라 여기저기서 발생하고 있는데요, 보안 업계는 보다 더 실천적이고 행동을 기반으로 한 대처를 할 때입니다.”

3줄 요약
1. 시 터틀, 현재 진행되고 있는 대규모 DNS 하이재킹 공격 캠페인.
2. 공격자들은 단일 조직의 DNS 기록을 조작하기도 하지만, DNS 등록 기관에 침투하기도 함.
3. DNS 보호해야 한다고 말은 많았지만, 정작 실질적인 대책 내놓지 못한 보안 업계.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향