|
� 전체
� IT 뉴스
� 알면 좋은 뉴스
|
|
|
|
| DNS 서버 열 중 하나, 파밍 공격에「무방비」 |
DNS 서버 열 중 하나, 파밍 공격에「무방비」
Joris Evers (CNET News.com) 08/08/2005
보안
수십만대의 인터넷 서버들이 아무 것도 모르는 인터넷 사용자들을 합법적인 웹사이트에서 악의적인 웹사이트로 리다이렉션하는 공격에 노출돼 있는 것으로 밝혀졌다.
보안 연구원인 댄 카민스키는 인터넷에서 전화번호부 역할을 하는 DNS 서버 250만대를 검사한 결과 이중 23만여 대의 DNS 서버가 DNS 캐시 포이즈닝(cache poisoning)이라고 알려진 위협에 잠재적인 취약점을 갖고 있다는 사실을 발견했다.
1. DNS 캐시 포이즈닝 공격 방법
공격받은 DNS 서버는 인터넷 사용자들을 위조된 웹사이트로 유도하기 이전에 몇 단계를 거친다.
대다수 PC들이 문자로 된 인터넷 주소를 실제 IP 주소로 바꾸기 위해 ISP나 회사 내부에서 돌아가는 DNS 서버를 이용한다. 많은 인터넷 사용자들이 단일 DNS 서버를 이용할 수도 있다.
성능상의 이유로 DNS 서버들은 질의에 대한 응답 데이터를 받으면 캐시에 저장해 놓는다. 이렇게 하면 다음 요청에 대한 응답 시간을 줄일 수 있기 때문이다. DNS 캐시 포이즈닝 공격을 받으면 특정 DNS 서버 사용자들은 누구든지 간에 영향권 내에 있는 도메인에 대한 모든 질의에 대해 영향을 받는다.
2. DNS 서버에 포이즈닝 공격이 이뤄지려면
① 먼저 공격자들은 목표가 된 서버가 악의적인 DNS 서버에 질의하도록 조작한다. 예를 들어 목표로 삼은 ISP의 존재하지 않는 사용자에게 이메일 메시지를 보내는 것으로 가능하다. 또다른 방법은 실제 사용자에게 외부 이미지를 담은 이메일을 보내는 것이다.
②그렇다면 목표가 된 DNS 서버는 공격자의 DNS 서버에 질의를 한다. DNS 응답에는 희생양이 될 시스템의 DNS 캐시에 포이즈닝 공격을 가하는 데이터가 포함돼 있다. 이 추가 정보는 악의적인 URL이 될 수도 있으며 심지어 .com과 같은 전체 도메인 영역이 될 수도 있다.
③ 목표 DNS 서버가 제대로 설정되지 않았다면, 대상 DNS 서버는 새로운 숫자로 된 IP 목록을 받아들이고 적절한 항목을 삭제해버린다.
이렇게 되기만 하면 영향을 받는 URL에 대해 DNS 서버에 전송되는 모든 질의는 공격자가 바꿔버린 IP 주소로 유도된다. 만약 도메인 공간이 포이즈닝됐다면 해당 도메인으로 끝나는 모든 질의가 유도돼 버린다.
<출처 : SANS ISC, CNET News.com>카민스키는 지난 주 개최된 블랙햇(Black Hat) 보안 행사에서 자신의 발표 시간에 “조사한 DNS 서버 중 거의 10%에 해당하는 수치”라며 “운영중인 DNS 서버를 살펴보지 않고 있다면, 지금 당장 시작하라”라고 목소리를 높였다.
네트워크 위협 추적 기관인 SANS 인터넷 스톰 센터(ISC)에 따르면 잠재적인 공격의 동기는 돈이다. 공격자들은 보통 개인 PC에 설치되는 스파이웨어나 애드웨어 당 얼마씩의 비용을 지불하고 있다.
사회 보장 번호나 신용 카드 데이터처럼 공격을 당한 사람들로부터 얻어낸 정보도 거래될 수 있다. 게다가 PC에 설치되는 악성 소프트웨어들은 PC 제어권을 갈취하며 해당 PC는 스팸 전달 용도로 사용될 수도 있다.
문제의 대상인 DNS 서버들은 회사나 인터넷 서비스 제공업체(ISP)에서 글자로 된 인터넷 주소를 숫자로 된 IP 주소로 변환하기 위해 운영된다. 각 서버에 있는 DNS 캐시는 웹 주소 데이터를 로컬 네트워크에 저장하는 데 사용된다.
공격자들은 DNS 캐시 포이즈닝 공격을 통해 서버에 저장된 웹사이트의 숫자 주소를 악의적인 사이트의 주소로 바꾼다. 이 공격 방법을 통해 사용자들은 위조된 웹사이트로 유도되며 공격자들은 여기에 개인 정보와 같이 민감한 데이터를 입력하도록 요청하거나 PC에 유해한 소프트웨어를 강제로 설치해버린다. 전문가들은 이같은 기술이 이메일 전달에도 사용될 수 있다고 지적한다.
서로 다른 많은 컴퓨터들이 인터넷 주소를 찾기 위해 각 DNS 서버에 질의할 수 있다. 따라서 이 공격은 수백만 인터넷 사용자들에게 영향을 미치게 되며 결국 이들은 피싱 공격, 신원 도용 등 사이버 위협에 노출될 소지가 높아지게 된다.
DNS를 발명했으며 보안 DNS 제공 업체인 노미넘(Nominum)의 회장이자 수석 과학자인 폴 모카페트리스는 캐시 포이즈닝이 “잘못된 방향으로 가게끔 만드는 가짜 거리 표지판”과 유사하다며 “DNS에는 수년 동안 다른 취약성도 존재해왔다. 하지만 캐시 포이즈닝은 현재 직면하고 있는 문제로 업그레이드 이외에는 고칠 수 있는 방법이 없다”라고 말했다.
"DNS 서버 중 10% 정도가 취약"
카민스키는 인터넷에 약 900만대의 DNS 서버가 운영되고 있다고 말했다. 그는 프로레식 테크놀로지가 제공하는 고속 네트워크에서 DNS 서버 250만대를 갖고 실험했다. 실험 결과 이 중 23만대가 취약점을 갖고 있는 것으로 나타났으며, 6만대는 DNS 캐시 포이즈닝과 같은 부류의 공격에 무방비로 노출돼 있었다. 1만 3000대는 포이즈닝 공격에 무력한 캐시를 탑재하고 있었다.
카민스키는 취약한 서버들의 경우 BIND 소프트웨어가 안전하지 못한 방법으로 구동되고 있었으며 업그레이드 해야만 한다고 말했다. 취약한 시스템들은 BIND 4나 BIND 8을 구동하고 있으며 DNS 질의에 대한 발송자로 사용하도록 설정돼 있다. 이 부분은 소프트웨어 배포자들이 사용자들에게 조심하도록 구체적으로 경고하는 것들이다.
BIND는 인터넷 소프트웨어 컨소시엄(ISC)에서 자유롭게 배포하는 소프트웨어다. ISC는 자사 웹사이트에 명시한 경고를 통해 “현재 DNS 캐시 조작 공격이 광범위하게 퍼져있다”라며 발송자로 사용되는 모든 DNS 서버들은 BIND 9으로 업그레이드해야 한다고 밝혔다.
DNS 캐시 포이즈닝은 새로 나타난 공격 형태는 아니다. SANS에서는 지난 3월 CNN.com, MSN.com과 같은 유명한 웹사이트 방문자들을 스파이웨어가 설치된 웹사이트로 유도하기 위해 DNS 캐시 포이즈닝이 사용됐다고 밝혔다.
모카페트리스는 “만약 내가 이용하는 ISP가 BIND 8을 구동해 발송자 설정을 해놓았다면 ISP가 나를 보호해주지 못했다고 손해배상을 요구했을 것”이라며 “ISP들이 이런 식으로 설정해 돌린다는 것은 인터넷에서 벌어지는 직무 태만에 해당된다”라고 목소리를 높였다.
새로운 위협, 파밍
카민스키는 지난 7월 중반에 DNS 서버들을 조사했으나 잠재적으로 취약한 DNS를 설치한 특정 조직을 언급하지 않았다. 하지만 그는 인터뷰에서 해당 시스템 관리자들에게 이메일을 발송할 계획이라고 밝혔다.
카민스키는 “이메일 이십여만 통을 발송할 것”이라며 “보안에서 재미없는 게 이런 부분이다. 하지만 재미있는 일만 할 순 없다. 인프라스트럭처를 보호해야 하기 때문”이라고 말했다.
DNS 캐시 포이즈닝을 사용해 속임수를 담은 웹사이트로 방문자를 유도한 이후 개인 정보를 훔쳐내는 공격은 비교적 새로운 형식에 속한다. 몇몇 보안 업체들은 이 기법을 파밍(pharming)이라고도 부른다.
DNS 컨설팅·소프트웨어 업체인 멘 & 마이스(Men & Mice)의 CEO 페튀르 페튀르손은 DNS 캐시 포이즈닝이 어려운 게 아니라며 “상당히 많이 행해지고 있고 최근에도 사건이 있었다”라고 말했다.
페튀르손은 지난 수년을 거쳐오며 사람들이 DNS 문제를 인식하게 됐다고 말했다. MS는 4년전 DNS 설정을 제대로 하지 않아서 야기된, 웹사이트의 대규모 중단 사태로 고초를 겪은 적이 있다. 이 사고로 인해 DNS는 잠재적인 문제점이 있다며 주목받게 됐다.
페튀르손은 “아직도 공격에 취약한 수만 대, 아니 수십만 대의 서버가 존재하고 있다니 그저 놀라울 따름”이라고 양 팔을 벌리며 말했다.
모카페트리스는 카민스키의 연구로 DNS 서버를 관리하는 사람들, 특히 초고속 인터넷 서비스 업체들은 각성해야 할 것이라고 말했다. 카민스키는 이번 연구 결과를 취약한 조직을 공격하는데 쓰진 않을 것이지만 그다지 선한 의도를 갖지 않은 사람들이 자체적으로 취약한 서버를 찾아내 공격 목표로 삼을 수도 있다고 경고했다.
모카페트리스는 “이 기술은 해커들 사이에 널리 알려져 있다. 이같은 지식이 단지 널리 퍼지는 것으로 끝날지는 아무도 모른다”라고 힘주어 말했다. @
날짜: 2005-08-09 16:22:52,
조회수: 2797 |
|
|
|