파이어아이, 글로벌 DNS 하이재킹 공격 통한 대규모DNS 기록 조작 확인
상태바
파이어아이, 글로벌 DNS 하이재킹 공격 통한 대규모DNS 기록 조작 확인
  • 고수연 기자
  • 승인 2019.01.16 10:39
  • 댓글 0
이 기사를 공유합니다

목표 삼는 기관의 네트워크에 직접 접속하지 않아도 정보 탈취 가능

보안기업 파이어아이는 자사 맨디언트(Mandiant) 사고 대응 및 정보 팀들이 중동, 북아프리카, 유럽, 북미의 정부, 통신 및 인터넷 인프라 기업의 수많은 도메인에 영향을 미친 ‘DNS 하이재킹(DNS hijacking)’ 공격 시도 사례를 탐지했다고 16일 밝혔다.

이러한 유형의 DNS 기록 조작과 허위 SSL 인증서는 다수의 기관에 영향을 미쳐왔다. 예를 들면 통신 및 ISP 서비스 제공업체, 인터넷 인프라 제공업체, 정부, 주요 민간 업체 등이 포함된다. 공격자가 목표로 삼는 기관의 네트워크에 직접 접속하지 않아도 소중한 정보를 탈취할 수 있기에 적절히 대응하기 쉽지 않다.

파이어아이 측은 “현재 이러한 공세를 특정 그룹과 연계시킬 수는 없으나, 초기 조사에 따르면 공격 세력이 이란과 연결되어 있는 것으로 보인다”며, “이번 공격은 전례없는 규모로 전 세계에서 공격 대상을 겨냥했으며, 상당한 성공을 거둔 것”으로 평가했다.

또한 파이어아이 측은 “이번 공격이 일부 전통적인 전술을 활용하고는 있으나, 규모를 조절하며 DNS 하이재킹을 시도하고 있다는 점에서 다른 이란계 활동과는 구별된다”며, “공격 세력이 이러한 기법을 사용하여 초기 발판을 구축하고, 향후 보다 다양한 방식으로 전개될 가능성이 높다”고 덧붙였다.

이에 관련하여 파이어아이 측은 ▲도메인 관리 포털 상에서 다중 인증 시스템(multi-factor authentication)을 실행 ▲A 기록과 NS 기록 변경 검증 ▲도메인 관련 SSL 인증서를 검색하여 악성 인증서 폐기 ▲OWA/Exchange 로그의 소스 IP 검증 ▲내부 조사를 실시하여, 공격세력 접속 파악 등의 대비책을 제안했다.

고수연 기자  lycaon@greened.kr

▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.