[지디넷코리아]상당수의 DNS(Domain Name System) 서버가 구성 오류나 시대에 뒤떨어진 소프트웨어 사용으로 인해 악의적인 공격에 취약하다는 주장이 제기됐다.

'yoursite.com' 등 도메인명을 IP 주소로 전환해주는 DNS 서버는 인터넷 작업을 지탱할 수 있도록 해주는 근간이다. 인터넷 성능향상 업체 더 매저먼트 팩토리(The Measurement Factory)는 최근 조사 결과 도메인명 결정에 사용되는 BIND 소프트웨어가 5번째 DNS 서버와 맞지 않는다는 사실을 밝혀냈다.

이 회사의 발표에 따르면 버전 9의 이전 버전 BIND에서 운영되는 DNS 서버는 DNS 캐시 중독을 통해 파밍 공격(pharming, 피싱에 이은 새로운 인터넷 사기 수법)에 ‘문을 열어주고 있는’ 셈이다.

DNS 캐시 중독에는 DNS 서버로의 해킹, 합법적인 웹 사이트의 숫자로 표시된 IP 주소의 악의적인 사이트 대체 등이 포함된다. 이같은 상황이 발생하면 인터넷 사용자들은 은행 계정에 관한 상세 정보를 요청한다거나 원치 않는 스파이웨어를 설치하는 가짜 웹 사이트로 방향을 바꾸게 된다.

캐시 중독 쉽게 공격
보안 업체 시큐니아 CTO 토마스 크리스텐슨은 더 매저먼트 팩토리의 주장에 따르면, DNS 서버의 20%가 낙후된 소프트웨어를 사용하고 있다는 말이 되지만 자신은 취약점 노출 위험에 대해서는 크게 우려하지 않고 있다고 밝혔다.

크리스텐스은 “BIND 8.x와 4.x 버전이 그 정도로 취약하지는 않다는 점은 짚고 넘어가야 한다. 하지만 이 두 가지 버전이 특정 DNS 서버 셋업 내에서 포워더로 사용하기에 적합한 방식으로 설계된 것은 아니다. 두 서버가 포워더로 사용되는 셋업에서 이용되면 두 서버에 대한 캐시 중독 공격은 충분히 가능하다”고 밝혔다.

이어 BIND를 후원하는 그룹인 ISC(Internet Systems Consortium)가 이 소프트웨어의 4.x와 8.x 버전을 포워더로 사용하는 것을 강력히 권고하고 있다고 덧붙였다.

DNS 서버는 숫자로 표현된 합법적인 웹 사이트 주소를 캐시에 저장하고, DNS 포워더는 수신된 질의의 해결에 필요한 충분한 정보를 갖고 있지 않으면 이 질의를 다른 네임서버로 전송한다.

이러한 프로세스는 DNS 서버가 자신의 요청이 해결될 때까지 DNS 서버를 단계별로 질의한다는 점 때문에 ‘순환 네임 서비스’로 알려져 있다.

더 매저먼트 팩토리는 130만개의 DNS 서버를 조사한 후 이 중 2/3 이상이 신뢰할 수 있는 사용자가 아닌 ‘임의적 질의’ 혹은 특별히 명명되지 않은 시스템에 대한 순환 네임 서버를 요청한다는 사실을 밝혀냈다. 이 회사의 보고서에 따르면 이런 점 때문에 네임 서버에 대한 악의적인 공격이 가능해진다.

이론적으로는 악의적인 해커가 하나의 DNS 서버를 손상시키면 이 순환 네임 서비스는 질의를 해결하기 위해 손상된 서버에 접속하려는 다른 DNS 서버를 불러오는데 사용될 수 있다. 여러 경로를 거치기 때문에 해커가 하나의 손상된 캐시를 통해 수많은 DNS 서버 캐시를 공격할 수 있다는 설명이다.

이번 조사를 수행한 인프라스트럭처 개발업체 인블록스(Inblox)는 순환 네임 서버는 신뢰할 수 있는 제한된 요청자에 대해서만 DNS 서버가 가능하도록 해야 한다고 밝혔다.

크리스텐슨은 “캐시 중독과 DoS 공격이 가능하다는 점 때문에 임의의 사람들이 순환 질의를 하도록 하는 것은 좋은 생각이 아니다. 일반적으로 순환 질의는 특정 IP 주소에서 보내오는 질의에 대해서만 허락돼야 한다”고 강조했다.

DNS 서버, 어떻게 중독되나?DNS 서버가 가짜 사이트로 인터넷 사용자를 유인하려면 몇 단계를 거쳐야 한다.PC에서 인터넷을 사용할 때는 대부분 ISP나 텍스트 기반 인터넷 주소를 실제 IP 주소로 바꿔주는 회사로 접속한다. 따라서 수많은 사용자들이 하나의 DNS 서버를 이용할 수 있다.DNS 서버는 성능 문제 때문에 돌아온 데이터를 캐시한다. 이 때문에 다음 요청에 응답할 때까지는 시간이 많이 걸리지 않는다. DNS 캐시가 중독되면 특정 DNS 서버를 사용하는 모든 사람은 감염된 도메인에 대한 향후 검색에 영향을 미친다.DNS 서버 공격 방식
• 우선은 공격자가 악의적인 DNS 서버 셋업 질의를 통해 타깃 시스템을 속여야 한다. 예를 들면 이메일 메시지를 타깃 ISP의 존재하지 않는 사용자에게 보내는 것이다. 또 다른 방법은 외관상 호스팅된 이미지가 포함된 이메일을 실제 사용자에게 보내는 것이다.• 그러면 타깃 DNS 서버는 공격자의 DNS 서버에 질의를 하게 된다. 공격자는 DNS 응답 내에 피해자의 DNS 캐시를 중독시키는 추가 데이터를 포함하고 있다. 이 추가 정보는 악의적인 URL이나 심지어는 닷컴과 같은 전체 도메인 공간이 될 수도 있다.• 타깃 DNS 서버가 적절하게 구성돼 있지 않다면 새로 들어온 숫자 형태의 IP 리스팅을 받아들이고, 적합한 엔트리는 삭제할 것이다.• 이런 상황이 발생하면 감염된 URL을 위해 DNS 서버로 보내지는 모든 질의는 공격자가 설정한 대체 IP 주소로 방향을 돌릴 것이다. 도메인 공간이 중독됐다면 이 도메인에서 종료되는 모든 질의가 방향을 바꿀 것이다.<출처 : SANS 인터넷 스톰 센터, CNET뉴스닷컴>

ISP 통한 DNS 공격 더 위험
그는 또 ISP(Internet Service Providers)는 자체 고객에 대한 DNS 서비스만을 제공해야 한다고 주장했다. “일반적으로 전용선과 xDSL 회선이 아닌 다른 접속방식을 통해 인터넷에 접속하는 사용자들은 누구나 로그온을 할 때마다 자동적으로 IP 주소, 게이트웨이, DNS 서버를 할당받는다”는 것이 이유다.

순환 네임 서버 기능을 통해 DNS 서버에 손상을 입히려는 악의적인 해커들은 다양한 DNS 서버가 어떻게 상호 연결돼 있는지를 알고 싶어한다. 이들은 다른 서버의 경우 자체 ‘지역(zone)'에 포함하고 있는 네임 서버를 요청하는 질의인 ‘지역 전송’을 요청하는 방식으로 이 관계를 알아낸다.

더 매저먼트 팩토리의 연구결과에 따르면, 40% 이상의 DNS 서버는 지역 전송에 대해 임의적인 질의를 허용하고 있다. 보고서에서는 이 때문에 네임 서버가 DoS 공격에 노출되고, 공격자들이 내부 네트워크에 대한 정보를 얻을 수 있다고 밝히고 있다.

시큐니아의 크리스텐슨도 이런 생각은 옳지 않다는 데 동의한다. 그는 “지역 전송을 위해 네임 서버를 열어주는 것은 ‘비밀’ 호스트, 내부 호스트, 게이트웨이 구성 등 과도한 정보에 대해 너무 잦은 노출을 허용하는 것이다. 이런 정보는 공격을 시도하려는 악의적인 사람들에게는 매우 유용한 정보가 될 수 있다”고 밝혔다.

크리스텐슨에 따르면 지역 전송은 내부에서 통제되는 2차 네임 서버에 의해서만 허용돼야 한다.

인블록스는 DNS 취약성을 줄이고 싶다면, 다음 6단계를 따르라고 IT 전문가들에게 충고한다.

• 가능하면 외부 네임 서버를 승인된 네임 서버와 포워더로 분리하라.

• 외부의 승인된 네임 서버에서는 순환이 불가능하도록 설정하라. 포워더에서는 내부 주소 공간으로부터 들어온 질의만을 수용하라.

• 승인된 네임 서버와 포워더를 분리할 수 없다면 순환을 최대한 제한하라. 내부 주소 공간으로부터 들어오는 순환 질의만을 수용하라.

• 일반 목적과 운영 소프트웨어 애플리케이션을 기반으로 하는 시스템이 아니라 강화되고 안전한 기기를 사용하라.

• 언제나 도메인 네임 서버 소프트웨어 최신 버전을 사용하라.

• 외부 네임 서버에서 들어오고 나가는 트래픽을 필터링하라. 방화벽이나 라우터 기반 필터를 이용해 승인된 트래픽만 네임 서버와 인터넷 간에 통신할 수 있도록 하라. @