Skip to main content
Dark background with blue code overlay

블로그

DNS: 가장 간편한 데이터 유출 방법?

Jim Black

Written by

Jim Black

May 27, 2022

짐 블랙(Jim Black)은 Akamai 엔터프라이즈 보안 사업부의 시니어 제품 마케팅 매니저입니다. 그는 통신, 모바일 및 보안 분야에서 기술 경력을 쌓으며 제조, 고객 지원, 비즈니스 개발, 제품 관리, PR 및 마케팅 분야에서 일해왔습니다.

DNS(Domain Name System) 요청은 인터넷에서 발생하는 거의 모든 것의 출발점이기 때문에 공격자가 DNS 프로토콜을 활용하는 것은 놀라운 일이 아닙니다. 분산 서비스 거부 공격에 사용되는 DNS 증폭과 정상 DNS 요청을 악성 도메인으로 리디렉션하는 데 사용되는 DNS 하이재킹을 비롯하여 다양한 DNS 악용 방식이 있습니다. 보다 발전되고, 보다 집중적이며, 덜 발견되는 방법은 DNS 유출입니다. 

고처리량 DNS 터널링과 저처리량 DNS 유출 비교

고처리량 DNS 터널링과 저처리량 DNS 유출 모두에 사용되는 기본 기법은 대체로 유사하지만 둘 사이에는 상당한 차이가 있습니다. 유사성의 측면에서 두 기법 모두 DNS 프로토콜을 사용하여 DNS 쿼리와 관련되지 않은 데이터를 전송하며, 이는 DNS 요청에 추가 데이터를 추가하여 수행됩니다. 두 기법은 대부분의 조직이 DNS의 중요한 역할 때문에 DNS 트래픽에 개입하지 않는다는 점을 활용합니다. 그러나 유사성은 여기까지입니다.

고처리량 DNS 터널링이 작동 중인 경우 하나 또는 몇몇 특정 도메인에 대한 DNS 트래픽 양이 크게 변합니다. 즉, 도메인에 대한 DNS 요청 길이가 증가하고 요청 간 시간이 짧아집니다. DNS 터널링은 비교적 정상적인 목적(예: Wi-Fi 페이월 우회)이나 악의적인 목적(예: 명령 및 제어[C2] 서버와의 통신)으로 사용될 수 있습니다. 그러나 DNS 터널링은 그 특성 때문에 탐지와 차단이 비교적 간단합니다.

반대로 저처리량 DNS 데이터 유출이 작동하는 경우 하나 또는 몇몇 도메인에 대한 트래픽 양이 크게 증가하지 않으며 요청 간 간격이 더 깁니다. 예를 들어 멀웨어에 감염된 엔드포인트는 매시간마다 절전 모드가 해제되어 짧은 추가 메시지가 포함된 DNS 요청을 C2 서버에 전송할 수 있습니다. 따라서 오탐 보안 경고 수를 늘리지 않고 저처리량 DNS 유출을 탐지하기가 매우 어렵습니다.

공격자가 저처리량 데이터 유출을 선호하는 이유는?

데이터 전송에 DNS를 사용할 때 가장 큰 제한 사항은 DNS 메시지 길이가 255바이트로 제한되고 이 중 많은 양이 UDP 제어 메시지로 사용될 수 있다는 점입니다. 그러나 앞서 언급했듯이 조직은 DNS 트래픽을 조작하는 것을 꺼립니다. 즉, 모니터링하지 않는 경우가 많습니다. 모니터링하더라도 고처리량 터널링만 식별할 수 있을 가능성이 매우 높습니다. 

따라서 신용 카드 번호처럼 매우 귀중한 데이터를 유출할 때 저처리량 데이터 유출은 매우 매력적인 공격 수단입니다. 카드 세부 정보를 유출하는 데 시간이 걸릴 수 있지만, 느리고 낮은 접근 방식은 기다릴 만한 가치가 있습니다.

DNS 유출 방어

저처리량 DNS 유출 멀웨어는 매우 위험하며 데이터 침해로 조직에 막대한 비용을 초래할 수 있기 때문에 최근 Akamai의 보안 연구팀은 문제에 대한 이해도를 높여 효과적인 탐지 기법을 구축하는 데 주력했습니다. 이 연구 내용의 상당 부분은 이 글에상세히 소개되어 있으므로 문제에 대한 이해도를 높이려는 분께 추천합니다.

DNS 데이터 유출 탐지 알고리즘은 이러한 연구를 통해 개발됐으며, 시간이 지나면서 지속적으로 개선되어 탐지 속도와 정확성이 높아지고 오탐 경고가 최소화됐습니다. 이 알고리즘은 클라우드 보안 웹 게이트웨이를 구축한 고객의 DNS 트래픽 로그를 지속적으로 분석하는 데 사용됩니다. 새로운 문제가 탐지되면 영향을 받는 고객에게 사전 경고를 보냅니다. 또한 유출과 관련된 도메인을 위협 인텔리전스에 추가하여 모든 고객을 보호합니다.

2022년 4월에 이 시스템은 DNS 유출 사례에서 알고리즘의 효과를 증명했습니다. 고객 트래픽 로그의 여러 도메인에 대한 DNS 트래픽이 폭주하는 것을 확인했습니다. 여기에서 유출된 데이터는 서브도메인에 대한 요청에 추가됐습니다. 가장 흥미로운 점은 알고리즘이 활동이 발생한 지 한 시간 내에 이를 탐지했으며, 비교적 적은 수의 서브도메인에 대한 요청(총 1,109개)을 기반으로 탐지했다는 사실입니다. 

침투 테스트 중 DNS 유출 활동을 보여주는 대시보드. 침투 테스트 중 DNS 유출 활동을 보여주는 대시보드.

Akamai의 보안팀은 고객에게 탐지 사실을 알린 후 고객이 침투 테스트 중이었다는 것을 알게 되었습니다. 보안팀은 Enterprise Threat Protector가 유출 동작을 매우 빠르게 탐지한 것에 만족했습니다. 

DNS가 여전히 보안 사각 지대입니까?

앞서 언급했듯이 많은 조직은 인터넷 트래픽을 실수로 훼손할 수 있다는 이유로 DNS 조작을 꺼립니다. 이러한 위험 없이 DNS 트래픽에 대한 가시성을 확보하고 보호하는 한 가지 접근 방식은 모든 DNS 요청을 살펴보고 실시간 위협 인텔리전스 데이터베이스와 비교하는 DNS 보안 서비스를 구축하는 것입니다. 

따라서 안전한 DNS 트래픽은 정상적으로 진행되지만 악성 트래픽은 차단됩니다. 더불어 DNS 로그를 거의 실시간으로 검사하여 저처리량 DNS 데이터 유출을 파악할 수 있습니다. 

DNS 요청: Akamai는 정밀한 탐지 기능을 제공합니다

Akamai는 정확한 수치를 추구합니다. 따라서 다른 Akamai DNS 통계에 비해 유출을 탐지하는 데 DNS 요청이 얼마나 많이 필요한지 알아보기로 했습니다. Akamai는 매일 7조 개의 DNS 요청을 전송하며, Akamai의 인터넷 보안 서비스는 28억 개의 악성 DNS 요청을 선제적으로 차단합니다. 

다시 말해 유출과 관련된 1,109개의 DNS 요청은 일일 DNS 요청의 0.000000015842857%, 악성 DNS 요청의 0.00003960714286%입니다. 즉 건초 더미에서 바늘을 찾아내는 것과 마찬가지입니다.

자세히 보기

얼마나 빨리 DNS 트래픽에 대한 가시성과 통제를 강화하여 위험을 줄일 수 있는지 알아보려면 akamai.com/etp에서 60일 무료 체험판을 신청하세요.

 



Jim Black

Written by

Jim Black

May 27, 2022

짐 블랙(Jim Black)은 Akamai 엔터프라이즈 보안 사업부의 시니어 제품 마케팅 매니저입니다. 그는 통신, 모바일 및 보안 분야에서 기술 경력을 쌓으며 제조, 고객 지원, 비즈니스 개발, 제품 관리, PR 및 마케팅 분야에서 일해왔습니다.