​사이버 공격자들이 DNS를 공격 통로로 활용하는 사례가 무섭게 늘어나고 있다. 특히 최근 다시 나타난 이모텟이 이 새로운 공격 패턴으로 날개를 단 것처럼 움직이고 있다. 어쩌면 대규모 랜섬웨어 공격의 전조일지도 모른다.

[보안뉴스 문가용 기자] 인터넷 도메인 이름 시스템(DNS)가 공격자들에게 고속도로처럼 이용되고 있다. 6개 조직 중 1개 꼴로 DNS를 통해 들어오는 악성 트래픽으로 고생한다는 통계도 나왔다. 보안 업체 아카마이(Akamai)에 의하면 최근 공격자들은 이모텟(Emotet)을 퍼트리거나, 피싱 공격을 실행하거나, C&C 활동을 하기 위해 DNS를 유행처럼 활용하고 있다고 한다. 이 결론을 내리기 위해 아카마이는 7조 건의 DNS 요청을 분석했다고 한다.

​

[이미지 = utoimage]

“공격자들은 DNS를 통해 네트워크 안으로 들어갔다 나왔다 하고 있습니다. 그런데 그 빈도가 상상을 초월하며, 적정 수위를 한참 초과하고 있습니다. 23~27%의 기업들이 최소 한 번 이상 이런 악성 행위를 경험하고 있습니다. 대신 이런 트래픽은 현재 진행되고 있는 공격에 대하여 매우 정확하게 알려주기도 하며, 현재 위협 지형도가 전체적으로 어떻게 구성되었는지 이해할 수 있게 해 줍니다.” 아카마이의 사이버 보안 연구 팀인 엘리아드 킴히(Eliad Kimhy)의 설명이다.

하지만 이런 트래픽 대부분 실시간으로 발생하기 때문에 기업들이 방어해내기는 어렵다고 킴히는 설명을 덧붙인다. “공격자들 중 ‘키보드에 손을 올려놓고 작업한다’는 마인드를 가진 사람들이 아직도 상당히 많습니다. 그래서 특정 조직을 겨냥한 해킹 공격 캠페인을 실제 사람이 운영하는 경우가 대부분이죠. 멀웨어가 자동화 기술을 덧입고 모든 악성 행위를 혼자서 진행하기에는 아직 한계가 있습니다. 그렇다는 건 C&C 트래픽을 탐지하고 막는 게 방어에 있어서 매우 중요한 역할을 하게 된다는 뜻입니다.”

이모텟, 큐스내치 등 현대 공격자들 사이에서의 유행

이번 조사를 통해 아카마이는 “최근 돌아온 이모텟(Emotet)이 단순히 활동을 재개한 것이 아니라 맹렬한 속도와 기세로 공격을 진행 중에 있다는 것을 알 수 있었다”고 말한다. “지금 사이버 공간에서 이뤄지는 모든 공격 중 이모텟이 단연 눈에 띕니다. 아주 큰 규모의 캠페인을 진행하고 있습니다. 상당히 많은 조직들에서 피해가 있을 수 있습니다.” 킴히의 설명이다.

이모텟의 배후에 있는 공격자들이 대규모 캠페인을 실시한 건 이번이 처음이 아니다. 작년에도 어마어마한 규모의 캠페인이 있었고, 이번에 새롭게 시작하려는 것으로 보인다. “이모텟은 상대하기가 까다로운 단체입니다. 수많은 조직들에 침투 경로를 확보해놓고, 그 경로를 위험한 해킹 조직들에 그대로 판매하거든요. 랜섬웨어 조직들이 이모텟의 주요 고객이죠. 구멍만 뚫어놓고 사라지니, 사실 막거나 추적하기가 쉽지 않습니다.”

그래서 이모텟의 활동량이 무섭게 증가한다는 건 랜섬웨어의 활동량 역시 조만간 증가할 거라는 뜻으로 해석할 수 있다. 둘이 바늘과 실처럼 움직인 건 이미 오래 전의 일이다. 어쩌면 이모텟이 다른 파트너를 추가로 구했을 수도 있다. 그러므로 랜섬웨어 말고도 다른 멀웨어가 광범위하게 유포될 수도 있다.

DNS를 통해 공격자들이 발생시키는 트래픽을 분석했을 때 이모텟 외에 큐스내치(QSnatch)가 약진하고 있음도 눈에 띄었다고 아카마이는 설명한다. “주로 기업의 NAS를 큐스내치라는 봇넷으로 감염시킨 후, 그 봇넷을 통해 기업의 네트워크에 접속하는 수법이 사용되고 있었습니다. DNS를 통한 공격 중 약 1/3 정도가 NAS를 감염시킨 큐스내치 봇넷과 관련이 있는 것으로 분석됐습니다.”

아카마이는 “NAS는 기업 네트워크 내에서 보안이 그리 단단하지 않은 장비 중 하나”라고 짚으며, “공격자들이 이 장비들을 잘만 엮어내면 대단히 큰 규모의 봇넷을 거느릴 수 있게 된다”고 강조한다. “또한 봇넷이 아니더라도 NAS 그 자체로도 공격 통로가 될 수 있다는 걸 기억해야 합니다. 공격자들에게는 어마어마한 공격 통로가 확보되는 것이죠. 게다가 NAS는 여러 가지 정보가 저장되어 있기도 하지요. NAS의 보안을 강화해야 하는 시기입니다.”

DNS를 통한 공격에 주로 노출되는 산업은 다음과 같은 것으로 조사됐다.

1) 제조

2) 비즈니스 서비스

3) 도소매

하지만 그 외에 다른 산업이라고 해서 안전한 건 아니라고 아카마이는 강조했다.

DNS 통한 위협, 어떻게 막을까?

아카마이는 이번 조사를 통해 드러난 공격자들의 패턴이 있으니, 그것부터 참고해 방어해야 한다고 권장한다. “이모텟과 큐스내치가 가장 주요한 위협이라고 볼 수 있습니다. NAS를 먼저 돌봐야 하는 기업이 있을 수도 있고요. DNS를 통해 들어온 공격자가 어떤 부분을 먼저 칠까 역으로 생각해 보며 약한 부분들을 보완하는 활동도 권장됩니다.”

킴히는 보다 본질적인 측면에서 “현 시대의 보안은 ‘지식 싸움’이라고 할 수 있다”고 강조한다. “공격자가 어떤 도구를 써서, 어떤 경로로, 어떤 목적을 성취하기 위해 움직이는지 늘 파악하고 있어야 합니다. 화면 너머에 있는 게 사람인지, 기계인지도 알고 있어야 하고요. 우리 회사를 노릴 만한 공격 단체에는 어떤 게 있는지 후보들도 어느 정도 인지하고 있어야 합니다. 종합적인 측면에서 모든 것을 고려해야 방어가 됩니다.”

킴히는 “지겹겠지만 ‘제로트러스트’를 빈틈없이 구축하는 것이 지금으로서는 가장 좋은 장기 전략”이라고 말한다. “제로트러스트라는 건 가장 외곽의 방어선이 뚫렸을 때를 대비하는 방어 자세라고 말할 수 있습니다. 이제는 아무리 삼엄한 경계선이라도 공격자들이 우습게 뚫어내니까요. 모든 자원을 외곽에만 투자했다가는 속수무책으로 당하죠.”

3줄 요약

1. 최근 공격자들, DNS 통해서 여러 가지 공격 시도 중.

2. 특히 DNS를 통해 이모텟과 큐스내치가 공격적으로 퍼지는 중임.

3. 당장은 이모텟, 큐스내치, NAS 장비 방어가 시급하고, 장기적으로는 제로트러스트가 시급함.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=115166&page=2&mkind=1&kind=1)]​