도메인네임시스템(DNS) 인프라를 노린 하이재킹 공격이 세계적으로 일어나고 있어 기업·기관 보안담당자 주의가 요구된다.
미국 국토안보부(DHS) 산하 국가사이버보안·커뮤니케이션통합센터(NCCIC)는 새로운 DNS 하이재킹 캠페인을 발견해 홈페이지에 공지했다.
공격자는 손상된 인증정보를 악용해 피해조직 도메인명 리소스가 IP주소로 연결되는 위치를 조작한다. 사용자 트래픽을 공격자가 제어하는 인프라로 재설정한다. 해당 도메인명에 유효한 암호화 인증서를 탈취해 중간자(MITM) 공격을 수행한다.
공격은 DNS 기록을 변경 가능한 계정의 인증정보를 손상시키거나 대체수단으로 탈취하는 것으로 시작한다. 주소, 메일교환기, 네임서버 등 DNS 기록을 조작해 공격자가 제어하는 곳으로 서비스 주소를 바꾼다. 공격자가 사용자 트래픽을 중간에서 감시하거나 조작 가능해짐으로써 피해조직은 지속적 위협에 놓인다.
공격자가 DNS 기록 값을 설정할 수 있으므로 피해조직 도메인명에 유효한 암호화 인증서도 탈취 가능하다. 재설정된 트래픽에서 암호화를 풀어 사용자 데이터를 유출할 수 있다. 해당 도메인에 유효한 인증서이므로 최종사용자에게 경고 알림이 뜨지 않는다.
공격자는 이러한 수법으로 웹이나 메일 트래픽을 재설정하고 차단했다. 다른 네트워크 서비스 대상으로도 악용 가능하다.
NCCIC는 이러한 위협으로부터 네트워크를 보호하기 위해 DNS 기록을 변경할 수 있는 모든 계정의 암호를 변경할 것을 권장했다. 도메인 등록 계정을 비롯해 DNS 기록을 수정 가능한 모든 시스템에 멀티팩터 인증을 도입하는 것도 포함한다. 공용 DNS 기록에서 주소가 제대로 설정됐는지, 부정 사용된 인증서가 없는지 확인도 필요하다.
팽동현기자 paing@etnews.com
