왜 슬롯사이트 업는 끊임없는 공격의 대상인가?
슬롯사이트 업(Domain Name System)는 네트워크에서 도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 TCP/IP 네트워크 서비스이다. 기업들은 비즈니스와 관련된 여러 서비스를 제공하기 위해 다양한 도메인 이름을 사용한다. 예를 들면 회사의 홈페이지도 도메인 이름이 있고, 사원들이 사용할 이메일 서버에도 도메인 이름이 부여된다. 그 외에도 파트너사와의 협력, 구매, 교육 등 다양한 서비스들을 구축하면서 이 도메인 이름들을 관리하게 된다. 다시 말해서, 공급자 입장에서 슬롯사이트 업를 운영해야 하며 외부 고객들 및 내부 직원들에게 이 서비스를 제공해야 한다. 때문에 슬롯사이트 업 서비스는 늘 보안 위협이 도사리고 있고 이에 따른 보호 및 방어체제가 필요하다.
또한 슬롯사이트 업는 기업내부의 컴퓨팅 서버와 장치들, 그리고 직원들이 인터넷을 사용할 때 필요한 심부름꾼 역할도 한다. 이러한 슬롯사이트 업 동작방식을 r슬롯사이트 업(recursive 슬롯사이트 업)라고 한다. 즉 인터넷을 사용하는 환경에서 심부름꾼 역할을 하는 슬롯사이트 업 서버가 있다고 보면 된다(Local 슬롯사이트 업 Proxy 라고도 부른다).
예를 들면, 컴퓨터의 브라우저에서 도메인 주소를 입력하면 이를 IP주소로 바꾸는 과정에서 해당 컴퓨터의 슬롯사이트 업 변환 요청을 받아서 처리해주는 전담 r슬롯사이트 업 서버가 있어야 정상적인 통신이 가능하다. 이 요청을 받은 r슬롯사이트 업 서버는 요청을 한 컴퓨터 대신에 도메인 주소 변환을 위해 슬롯사이트 업의 계층 구조를 따라 실제 도메인 주소의 슬롯사이트 업 서비스를 하고 있는슬롯사이트 업 네임서버를 찾아서 응답을 받아 온 후 최종 응답을 해당 컴퓨터에 전달한다. 즉, ISP는 이 심부름꾼 슬롯사이트 업역할을 하는 r슬롯사이트 업 서버를 그들의 망에 설치해 놓고 서비스를 제공하고 있는 것이다.
최근 한 업체의 조사에 따르면 멀웨어의 91%가 C&C(Command & Control) 서버와 통신을 하기 위해 슬롯사이트 업를 사용한다고 한다. 만약 해커가 C&C 서버와의 통신을 위해 IP 주소를 사용한다면, 방어를 하는 입장에서는 L3/4 방화벽을 통해 쉽게 차단할 수 있다. 반대로 슬롯사이트 업 주소를 사용하는 경우 IP주소는 계속 변경이 될 수 있어 L3/4 방화벽 설정 등으로는 막기 어렵고 L7 방화벽 혹은 DPI (Deep Packet Inspector)와 같은 고비용 솔루션들이 필요하게 된다. 하지만 역으로 생각해보면 멀웨어가 슬롯사이트 업 주소를 사용하므로 슬롯사이트 업의 요청을 살펴보면 91%의 멀웨어 방어 및 관제가 가능하다.
![[솔루션 가이드] 예측불허의 기업 네트워크 공격, 슬롯사이트 업로 원천 봉쇄하기](https://img.etnews.com/news/article/2018/06/07/article_07200559236829.jpg)
기업의 경우 내부 서비스들을 많이 가지고 있지 않은 기업들은 그들이 사용하고 있는 ISP에서 제공하는 r슬롯사이트 업를 직접 사용하기도 하고, 그렇지 않은 경우 내부 서비스들과의 연동을 위해 자체적인 r슬롯사이트 업 서버들을 구축한다. 이러한 기업의 r슬롯사이트 업 서비스들은 기업 내부의 서비스들에 대한 슬롯사이트 업변환과 기업 외부의 슬롯사이트 업변환에 대한 분기점이 된다. 예를 들어, 사내에서 인트라넷에 접속을 할 때에도 슬롯사이트 업 이름을 사용하지만, 이 슬롯사이트 업 주소의 변환은 기업 내부에서만 일어나며 외부에서는 사내의 인트라넷에 대한 슬롯사이트 업 주소변환을 할 수가 없다.
기업에서는 액티브 디렉토리(Active Directory) 혹은 별도의 r슬롯사이트 업 서버를 설치하여 운영을 한다. 이 r슬롯사이트 업 서비스는 사용자의 슬롯사이트 업 주소 변환 요청에 대한 심부름꾼 역할을 한다. 기업은 이것은 전통적으로 포함해야 하는 인프라의 구성요소 중의 하나이며 보안면에서 그다지 중요하지 않았다. 그러나 이 r슬롯사이트 업를 활용해 기업 보안을 강화할 수 있다.
기업 내부에서 외부로 가는 슬롯사이트 업 악용하는 멀웨어 원천봉쇄하는 아카마이 ETP 솔루션
아카마이 ETP(Enterprise Threat Protector) 솔루션은 기업의 r슬롯사이트 업를 대신 처리해주는 클라우드 기반 서비스이다. 기업은 ETP를 그들의 r슬롯사이트 업 서버로 지정을 할 수도 있고, 아니면 액티브 디렉토리나 r슬롯사이트 업 서버에서 슬롯사이트 업 Forward 설정으로 연동할 수도 있다. 이러한 설정은 기존의 네트워크 인프라스트럭처에 아무런 변화를 주지 않으며 간단한 설정 변경으로 즉시 반영이 될 수 있다. 어떠한 하드웨어나 소프트웨어의 설치 없이 r슬롯사이트 업의 흐름만 변경될 뿐이다.
이 간단한 변경이 기업 내부에서 외부로 나가는 트래픽들에 대한 가시성과 그에 따른 보안 관제 및 선제적 방어 기능을 제공한다. 아카마이는 하루평균 1500억건의 슬롯사이트 업 요청과, 전세계 30%에 이르는 웹 트래픽을 처리하고 있다. 이 처리로부터 다양한 공격패턴과 공격의 원천지 정보를 수집하여 사이버공격에 대한 데이터베이스를 구축한다. ETP는 사용자가 요청하는 슬롯사이트 업 주소를 검사해 접속하려는 사이트에 대한 위험도를 판단하여 실제 접속 전에 접속에 대한 경고, 차단 및 분석을 할 수 있다.
ETP는 세가지 요소로 구성이 되어 있는데, Recursive 슬롯사이트 업 서버, CSI (Cloud Security Intelligence) 그리고 관리 포털이다. 위에서 언급이 된 r슬롯사이트 업 서버는 Anycast 라우팅을 사용하며 전 세계적으로 광범위하게 분산 배치되어 있다. 이 중 ETP의 핵심 요소라고 할 수 있는 CSI는 슬롯사이트 업 보안을 위한 데이터 수집을 위해 다양한 경로와 기법을 이용한다.
아카마이의 CDN(Content Delivery Network)에서는 슬롯사이트 업에 기반한 분산처리를 사용하므로 매일 1500억개 이상의 슬롯사이트 업 쿼리를 처리하고 있으며 이 내역과 써드파티 데이터 및 퍼블릭 데이터를 기반으로 빅데이터 분석을 수행한다.
ETP 솔루션의 또다른 장점은 쉽고 직관적인 모니터링 및 보안관제이다. 사업장이 여러 곳에 분산되어 있더라도 관제포털은 클라우드 상에 통합되어 있어 언제 어디서든 쉽게 접속하여 모니터링할 수 있고 위협이 탐지되면 얼럿(Alert) 기능으로 즉시 개입해 처리할 수 있다. 대시보드에서는 아카마이에서 자동으로 분류해 놓은 카테고리별 목록과 접속 지역별 통계 및 도메인별의 통계를 제공한다. 각각의 정보는 개략적인 부분에서 상세한 부분까지 드릴다운을 통해 자세한 정보들을 볼 수 있고 API를 통한 접속 및 SIEM 통합을 지원해 기존의 다른 보안 솔루션들과 쉽게 통합된다.
위협이 탐지된 이벤트들에 대해 정보들을 쉽게 분석할 수 있는 별도의 위협 분석(Threat Analysis) 대시보드를 제공한다.
인텔리전스 메뉴에서는 아카마이 보안 데이터베이스를 기반으로 특정 도메인에 대한 정보를 확인할 수 있으며 침해지표 (IOC)를 쉽게 확인할 수 있다.
요약하면, ETP에서 제공하는 기능들은 다음과 같다. 첫째, 기업내부에 기 감염된 멀웨어로부터 C&C 서버로의 통신을 차단한다. 멀웨어가 C&C 서버로 접속하려고 C&C 서버에 할당된 슬롯사이트 업 주소를 변환하려는 요청을 보낼 때, 아카마이 ETP에 구축되어 있는 데이터베이스를 기반으로 목적지에 대한 검사를 실행한다.
둘째, 피싱/파밍 등 유해사이트들로의 접속을 차단한다. 피싱/파밍 사이트들은 이메일이나 웹사이트 상에 교묘하게 위장되어 있어 인지하기 어려운 경우가 많은데, 이러한 위장되어 있는 사이트로의 접근을 차단할 수 있다.
셋째, 슬롯사이트 업 프로토콜을 사용한 기업정보 유출을 차단한다. 슬롯사이트 업를 통한 exfiltration이라는 기법을 통해 기업 내부의 정보를 외부로 유출시키는 기법이다. 기존의 보안 장비들은 슬롯사이트 업 보다는 IP 주소를 기반으로 감시를 하기 때문에 이를 우회하기 위해 슬롯사이트 업 프로토콜의 주소체계에 기업내부의 정보를 encryption해서 외부로 전송한다.
넷째, 기업의 AUP (Acceptable User Policy)를 제공한다. AUP는 기업의 업무환경에 있어서 접속할 수 있는 사이트들의 영역을 관리하는 기능이다. 예를 들면, 도박이나 성인물 등과 같은 사이트들은 일반적으로 접속이 필요하지 않다. 이러한 사이트들은 보안 공격의 주체는 아니지만, 멀웨어나 애드웨어에서 광고수익을 목적으로 사용되기도 한다. 그 외에도, 기업의 업무목적에 맞추어 접속할 수 있는 사이트들을 관리할 수 있다.
아카마이 ETP 활용사례
미국 동남부의 한 금융회사에서는 보안을 위해 많은 노력을 기해 왔으며, 완벽한 보안을 구축하고 있다고 자부하고 있었다. 아카마이 기존 고객이었던 이 금융회사는 ETP를 통해 진단을 해보게 되었다. ETP 적용을 하자마자 다량의 멀웨어 트래픽들과 공격위협들이 탐지되었고, 이 위협들은 ETP에 의해 적절히 차단 및 완화를 시킬 수 있었다. 당황한 고객사에서는 곧바로 정식 계약을 통해 Recursive 슬롯사이트 업를 통한 모니터링과 관제를 시행하였으며 지금은 ETP의 쉽고 빠른 탐지방식과 차단 결과를 통해 보안을 강화할 수 있었다.
![[솔루션 가이드] 예측불허의 기업 네트워크 공격, 슬롯사이트 업로 원천 봉쇄하기](https://img.etnews.com/news/article/2018/06/07/article_07201354671622.jpg)
미국의 한 대형 마트 체인에서는 가족 중심적인 브랜드 이미지를 구축하고, 매장에는 고객들이 사용할 수 있는 무료 WiFi가 제공되고 있었고, 사용자 편의를 위한 다수의 컴퓨터와 모바일 장치들이 설치 되어 있었다.
어느 날 매장 관리자는 매장의 컴퓨터 장치들이 부적절한 사이트들에 접속되어 있는 채 방치되어 있는 것을 발견했고, 이는 브랜드 이미지에 치명적일 수도 있는 사건이었다. 심지어 이 증상들을 처치하기 위해서 IT부서의 전문가를 불러야 했고 상당한 시간과 비용을 들여야 했다. 매장안에서 청소년들이 무료 WiFi를 통해 아무런 통제 없이 유해사이트에 접속할 가능성도 있었다.
프록시 장비들을 설치해서 해결할 수도 있지만, 북미 전역에 걸쳐 모든 체인점에 설치를 하고 운영을 하는 것은 현실적으로 불가능한 방법이었다. ETP는 클라우드 기반으로 적용이 가능하여 각 매장 별 설치 및 관리가 필요 없고, 전 매장들에 대한 관제를 클라우드의 포탈에서 할 수 있어서 빠른 시간 안에 이 문제를 해결할 수 있었다.
전자신문 웹비나 전문방송 allshow TV는 오는 6월 14일 오후 2시부터 3시까지 `끊임없는 기업 네트워크 공격, 슬롯사이트 업로 원천 봉쇄하기` 라는 주제로 무료 온라인 세미나를 개최한다.
이 웨비나에서는 아카마이 테크놀로지스 한국법인의 신동곤 상무가 기업의 보안에서 왜 내부에서 외부로 나가는 트래픽에 관심을 가져야 하며 어떠한 문제점을 가지고 있는지 살펴본다. 또한 슬롯사이트 업를 통한 기업정보 유출 기법 소개 및 AUP(Acceptable User Policy)에 대한 소개와 아울러 기업의 네트워크보안을 강화하는 아카마이의 ETP(Enterprise Threat Protector)의 동작원리와 적용 실 사례를 살펴본다.
세미나 참석을 원한다면 누구든지 전자신문 웨비나 전문방송 올쇼TV 홈페이지에서 신청하면 된다.
이향선기자 hyangseon.lee@etnews.com