Home > 전체기사
대규모 DNS 하이재킹 공격 실시하고 있는 시 터틀
  |  입력 : 2019-04-18 14:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
13개국의 40개 조직 공격한 그룹...주로 중동과 북아프리카에서 활동
DNS 등록 기관 노림으로써 파괴력과 영향력 크게 확대해...대책 시급


[보안뉴스 문가용 기자] 국가의 지원을 받는 해킹 그룹이 10개국이 넘는 곳에서 특정 조직들을 표적 삼아 대대적인 DNS 하이재킹 공격을 시작했다고 한다. 그러면서 웹과 이메일 트래픽을 가로채고 우회시키는 데 한창이라는 소식이다. DNS는 인터넷이라는 인프라의 취약점으로서 요 몇 년 동안 지적되어 온 것이기도 하다.

[이미지 = iclickart]


이 단체는 2017년부터 활동을 해왔으며, 그 동안 13개 국가에서 40개가 넘는 조직들을 공격했다. 피해 조직은 중동과 북아프리카에 집중되어 있다고 시스코 탈로스(Talos) 팀이 발표했다. “이 조직의 수법은 늘 비슷합니다. DNS 기록에 접근해 조작하는 것이죠. 그래서 피해 조직에서 인터넷을 사용할 때 다른 곳으로 이동됩니다. 주로 공격자들이 조작하는 서버들이죠. 거기서 필요한 정보를 훔쳐내고 나면 사용자가 원래 가려던 사이트로 우회시킵니다.”

탈로스 팀은 이 캠페인에 ‘시 터틀(Sea Turtle)’이라는 이름을 붙였다. “시 터틀에 당한 조직들은 대부분 국방이나 국가 안보와 관련된 곳으로, 주로 외무부, 첩보국, 군사 조직들이었습니다.” 그 외에도 DNS 등록업체나 인터넷 통신사, 모바일 통신사 등에 대한 공격을 감행한 사례도 있다. 서드파티를 통해 원래 표적이었던 조직들로 파고들기 위함이다.

시 터틀 캠페인의 가장 큰 목적은 사이버 정찰인 것으로 보인다. “특정 국가들의 민감한 정보를 캐내기 위한 공격 캠페인이라고 확신하고 있습니다. 이들이 DNS 기록들을 업데이트하는 걸 보면, DNS 서버의 정상 운영자나 소유자가 다른 서버에 있는 도메인을 참조하는 것 같아 보입니다. 그래서 실상은 DNS 하이재킹이지만, 정상적인 행위로 보이죠.” 탈로스 팀의 크레이그 윌리엄즈(Craig Williams)의 설명이다.

“이 공격에 당하지 않으려면 레지스트리 락(registry lock)을 적용해서 도메인을 보호하고, 다중 인증 시스템을 도입해야 합니다. 또한 자동 업데이트를 통해 최대한 빠르고 안전하게 업데이트가 진행되도록 기기를 설정하는 것도 중요합니다. 업데이트를 자동으로 할 수 없는 환경이라면, 그것을 대신할 또 다른 보안 방어막을 추가로 마련해야 할 것입니다.”

계속되는 공격
최근 수개월 동안 DNS 층위에서의 공격이 점점 더 심각해지고 있다. 지난 1월 미국의 국토안보부는 모든 .gov 및 기타 정부 기관 관련 도메인 운영자들에게 긴급 지침을 내렸다. 공공 DNS 기록들을 감사해 조작되지 않았음을 확인해보라는 내용이었다. 또한 DNS 관련 계정의 비밀번호를 바꾸고 다중 인증을 적용하라는 지침도 포함되어 있었다. 당시 심각한 DNS 조작 공격이 이어지고 있다는 첩보가 있었기 때문이다.

같은 달 국토안보부는 별도의 권고문을 발표해 DNS 기록을 조작하는 공격자들이 활발히 활동하고 있음을 다시 한 번 알리기도 했다. 당시의 공격자들은 크리덴셜을 먼저 훔쳐 DNS 기록에 정상적으로 접근하고 있었다고 한다. 그런 후에 네임서버(NS) 기록과 DNS 주소 기록, 메일 교환기(Main Exchanger) 기록 등을 바꿨었다. 이 권고문은 일부 민간 보안 업체에서 DNS 공격과 관련된 첩보를 제공한 뒤에 발표된 것이기도 하다.

당시 보안 업체 파이어아이(FireEye)는 “이란의 해커들로 의심되는 단체가 대규모 DNS 트래픽 우회 공격을 실시하고 있다”고 경고했었다. 특히 중동 지방의 조직들이 표적이었다고 한다. 탈로스도 비슷한 경고를 세상에 전달한 바 있다.

이번에 발견된 시 터틀 캠페인의 경우 이전에 고발된 DNS 공격과는 별개의 것일 가능성이 높다고 탈로스는 설명한다. “시 터틀 캠페인 공격자들의 경우 최초로 네트워크에 침투하기 위해서 원격 코드 실행 취약점들을 익스플로잇 하거나, 스피어피싱 이메일 공격을 실시합니다. 그렇게 해서 침투에 성공하면, DNS 기록에 접근하기 위해 크리덴셜에 접근하기 시작합니다.”

크리덴셜 확보에 성공한 시 터틀 공격자들은, 이를 활용해 DNS 시스템에 접속하고, 이름 서버의 기록를 조작함으로써 사용자들을 중간에 다른 서버로 우회시킨다. 사실상 중간자 공격을 하는 것으로, 이 중간 단계로 우회되는 사용자들은 각종 정보를 공격자들에게 빼앗기게 된다. 이 중간자 공격에 사용되는 서버는 VPN 등 정상 서비스를 스푸핑해서 만들어진다.

악성 서버를 정상적인 것처럼 보이도록 하기 위해 시 터틀 공격자들은 ‘인증서 위장(certificate impersonation)’이라는 기법을 사용한다고 한다. “공격자들이 정상적으로 서명된 디지털 인증서를 같은 도메인의 다른 인증서 제공자에게서부터 확보해서 사용하는 기법을 말합니다. 예를 들어 디지서트(DigiCert) 인증서로 보호되는 웹사이트가 하나 있다고 합시다. 공격자들이 이 사이트를 노린다고 했을 때, 해당 도메인 앞으로 발급된, 또 다른 기관의 인증서를 취득해 공격을 한다는 겁니다.”

이렇게 기업 내의 DNS 기록들에 직접 접근하는 사례도 있지만, DNS 등록 기관을 공격하는 경우도 있었다. “스웨덴의 DNS 업체 중 넷노드(NetNod)라는 곳이 있습니다. 시 터틀 공격자들이 넷노드를 공격해 아르메니아에 있는 도메인을 공격하기도 했습니다.” 탈로스는 “이런 공격이 일반적인 DNS 조작 공격보다 훨씬 더 위험하다”고 말한다. “한 개의 조직이 당하는 게 아니라, 해당 등록 기관을 통해 DNS를 관리하고 있는 모든 기업들이 잠재적으로 위험해지는 일이니까요.”

DNS 하이재킹 공격이 근래 들어 새로 등장한 공격 기법은 아니다. 이전에도 이런 시도는 수없이 많이 일어났다. 문제는 이런 공격이 계속해서 증가하고 있다는 것과, DNS 등록 기관을 통한 공격이 발생하기 시작했다는 것이다. 보안 업체 도메인툴즈(DomainTools)의 에밀리 해커(Emily Hacker)는 “이전에는 크리덴셜을 훔쳐 단일 조직의 DNS 정보를 조작하는 게 전부였다”고 말한다. “그러니 피해가 해당 조직으로만 국한된다는 점이 존재했죠.”

에밀리는 “이제 이 공격이 DNS 기록 관리 조직 등으로 확장되면서 파괴력이 더 막강해졌다”고 경고한다. “인터넷 인프라의 중요 요소이자 어쩌면 가장 취약한 요소일 수 있는 DNS에 대해 논하기만 했었지 아무런 행동을 하지 않는 동안, 공격자들은 자신들의 무기를 더 갈고 닦았습니다. 이런 양상이 비단 DNS에서만이 아니라 여기저기서 발생하고 있는데요, 보안 업계는 보다 더 실천적이고 행동을 기반으로 한 대처를 할 때입니다.”

3줄 요약
1. 시 터틀, 현재 진행되고 있는 대규모 DNS 하이재킹 공격 캠페인.
2. 공격자들은 단일 조직의 DNS 기록을 조작하기도 하지만, DNS 등록 기관에 침투하기도 함.
3. DNS 보호해야 한다고 말은 많았지만, 정작 실질적인 대책 내놓지 못한 보안 업계.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상