Home > 전체기사
인터넷 구조의 약점, DNS, '쏟아질 것 같은 계란 바구니'
  |  입력 : 2019-06-13 15:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
DNS 관측소 프로젝트, 1조 번 이상의 DNS 교환 행위 수집하고 분석해
권한 서버 지나치게 적어...“계란은 많은데 바구니가 부족한 상황”


[보안뉴스 문가용 기자] 인터넷에서의 거의 모든 행위는 DNS, 즉 도메인 이름 시스템(Domain Name System)과 관련이 있다. 그리고 이 DNS는 최근 몇 년 동안 각종 사이버 공격의 주요 통로가 되고 있기도 하다. 이에 보안 업체 파사이트 시큐리티(Farsight Security)가 지원하는 프로젝트인 DNS 관측소(DNS Observatory)가 DNS 요청 교환 현황을 조사해 발표했다.

[이미지 = iclickart]


먼저 DNS 관측소란, 재귀적 DNS 리졸버(recursive DNS resolver)와 권한 네임 서버(authoritative name server) 사이에 흐르는 트래픽과 요청들에 대한 상세 정보를 전문가들에게 제공하는 프로젝트로, 이는 일반 사용자들이 웹 창에 도메인 이름을 적어 넣었을 때 발생하는, 가장 흔한 형태의 트래픽 및 요청이라고 볼 수 있다.

파사이트에 의하면 DNS 관측소가 수동적으로 관측한 트래픽은 “재귀적 리졸버와 네임 서버 사이에 흐르는 스트림”이었다고 한다. 관측소는 1월과 3월 사이에 발생한 1조 번 이상의 DNS 교환 행위와, 1분에 250만 번이 넘는 고유 FQDN(완전한 자격을 갖춘 도메인 이름, Fully Qualified Domain Names)을 처리했었다고 한다.

그 결과 대다수의 DNS 연결 요청들이 비교적 적은 수의 서버들에서 처리가 된다는 걸 알아챘다. “DNS 교환 행위의 60% 정도가 1000개도 되지 않는 네임 서버들에서 처리가 되더군요. 그 중에서도 대다수는 권한 서버들로 흘러 들어갔는데, 이를 운영하는 조직은 10개도 되지 않았습니다.” 파사이트의 엔지니어인 파웰 포렘스키(Pawel Foremski)의 설명이다.

파사이트의 창립자인 폴 빅시(Paul Vixie)는 “DNS 요청이 이렇게 적은 곳에 쏠린다는 건 보안에 있어 커다란 위협이 될 수 있다”고 경고했다. “바구니는 몇 개 없는데 담아야 할 달걀은 넘쳐나는 상황에 비유할 수 있습니다. 인터넷 초창기에 우리가 볼 수 있었던 ‘조직적 다양성’을 더 이상 볼 수 없는 상태인 겁니다.”

빅시는 “권한 네임 서버의 수가 제한적이라는 것과, 존재하지 않는 도메인에 관한 요청들에 응답을 내보내기 위해 서버가 긴 시간 동안 취하는 행동 패턴이라는 현상을 합하면 도메인 이름들을 실제 주소와 연결시키는 데 걸리는 시간이 과거에서부터 현재까지 꾸준히 늘어났다는 뜻이 된다”고 설명한다.

물론 그 늘어난 시간이라는 건, 사이트별, 트래픽별로 보면 인간에게 인지되지 않을 정도에 불과하다. 그러나 DNS 공격을 실시하기에 충분한 시간이 점점 확보되고 있다는 뜻이 되기도 한다고 빅시는 경고했다. “콘텐츠 서버가 재귀적 서버에서 들어오는 요청에 답하는 데에 걸리는 시간에 따라 공격자가 공격 시도를 몇 회나 할 수 있는지 정해집니다.”

문제를 어떻게 해결해야 할까? 가장 직관적인 건 권한 서버의 수를 늘리는 것이다. 그렇다면 DNS를 주소와 연결시키는 데 걸리는 시간이 단축될 수밖에 없다. 하지만 이러한 해결책은 근원을 다루지 못한다. 시간이 지나면 또 요청이 쌓이고 늘어나서, 똑같은 현상이 반복된다. 즉, 시간 벌기에 불과한 해결책이라는 것이다.

또한 빅시는 “컴퓨터와 서버를 늘린다는 건, 결국 감사할 것들이 늘어난다는 것과 같다”며 “유지 관리와 보수의 일이 증가하게 되며, 따라서 보안의 다른 부분에서 소홀해질 수밖에 없다”고 말한다. 정말 보안은 그 자체로 ‘재귀적’일 수밖에 없다는 것.

“그러면 요즘 나오는 인력 부족에 대한 외침이 다시 한 번 나오게 될 것입니다. 더 많은 시스템이 추가됨으로써 구조가 복잡해지면, 그것만으로도 공격자들에게는 더 많은 공격 경로가 생긴 것과 같기도 하고요.”

파사이트 시큐리티는 조만간 DNS 관측소가 수집하고 분석한 데이터를 다른 전문가들에게 공개할 예정이라고 발표했다.

3줄 요약
1. 현대 인터넷 구조의 약점 중 하나인 DNS, 트래픽 분석했더니 ‘권한 서버’ 턱없이 부족.
2. 그렇다는 건 도메인 이름을 리졸브 하는 데에 시간이 지연된다는 것이고, 공격에 활용되는 시간이 늘어난다는 것.
3. 권한 서버 늘리면 해결될까? 같은 문제 똑같이 반복될 것이라는 전망이 더 많음.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향