-
반응형
DNS 캐시 조작(DNS cache poisoning)은 DNS 스푸핑(spoofing)이라고도 하며 도메인이름시스템(domain name system, DNS) 취약점을 악용하여 인터넷 트래픽을 원래 목적지가 아닌 가짜 서버로 돌리는 사이버공격수법을 의미한다. DNS 조작은 최초 발생지에서 다른 DNS 서버로 전파될 수 있다는 점에서 위험하며 실제로 DNS 오류 전파로 인해 2010년 중국 국가방화벽(The Great Firewall of China) 시스템이 미국의 인터넷 트래픽을 검열하는 기이한 사태가 발생한 적이 있다.
DNS 작동원리
컴퓨터가 google.com과 같은 이름의도메인에 접속하려면 우선 그 컴퓨터를 담당하는 DNS 서버에 접속해야 한다. 인간의 언어로 된 google.com과 같은 주소는 컴퓨터가 직접 인식할 수 없으며 173.194.67.102처럼 숫자로 된 주소로 변환시켜야 컴퓨터가 이를 인식하여 접속할 수 있기 때문이다. 인터넷에는 접속처리의 효율성을 위해 수많은 DNS 서버가 존재하는데 인터넷서비스공급자(internet service provider, ISP)마다 외부 서버로부터 자체 서버에 정보를 수집 및 보관(캐시, cache)하여 운용한다. 사용자 컴퓨터 또한 자체적으로 로컬 DNS 캐시를 보관하고 있으며 따라서 한 차례만 DNS 정보를 수집하고 나면 다시 이를 실행할 필요 없이 캐시를 열람하면 된다.
DNS 캐시 조작
공격자가 DNS 서버를 장악할 경우 이렇게 보관된 DNS 캐시는 조작될 수 있다. 예를 들어 google.com이라는 도메인이름에 해당하는 IP주소를 실제 구글 서버의 주소가 아닌 IP주소를 공격자가 보유한 서버의 주소로 변경시키며 이에 따라 DNS 서버는 사용자에게 google.com에 대한 허위주소를 배정하게 되는 것이다. 공격자는 이러한 DNS 캐시 조작을 활용하여 자신이 운영하는 악성 피싱웹사이트 등으로 사용자를 끌어들일 수 있다. 또한 위에서 언급했듯 여러 DNS 서버들은 서로 정보를 공유하기 때문에 이러한 DNS 캐시 조작은 전염될 수도 있다. 최초 조작된 DNS 서버로부터 여러 ISP가 정보를 전달받는다면 조작된 정보가 이들 ISP에도 전파되어 보관될 수 있으며 가정 라우터와 컴퓨터 DNS 캐시 역시 DNS 정보 수집을 실행할 때 이렇게 조작된 정보를 전달받아 보관하게 된다.
중국 국가방화벽 사고사례
이상의 문제는 해커 한두 명의 피싱에서 그치지 않고 대규모 사고를 일으킨 적이 있다. 중국 국가방화벽은 국가수준 인터넷 검열체계로 DNS 수준에서 인터넷 트래픽을 차단한다. 예를 들어 트위터(twitter.com)와 같이 중국에서 차단된 웹사이트는 그 DNS 기록이 중국 내 DNS 서버에 의도적으로 다르게 기록되며 그 결과 정상적인 경로로는 트위터에 접속할 수가 없게 된다. 중국은 검열 목적으로 국내 DNS 서버 캐시를 조작하는 경우라고 할 수 있다. 2010년 중국 외부의 인터넷서비스공급자(internet service provider, ISP)가 자체 DNS 서버의 정보를 실수로 중국 DNS 서버로부터 가져오도록 설정하여 중국 측 기록을 보관하는 일이 발생했다. 이어 다른 ISP도 자체 DNS 정보를 그 ISP로부터 넘겨받아 보관했다. 이렇게 DNS 캐시 오기가 계속 전파되며 결국 미국 내 인터넷 사용자들이 미국 ISP를 경유하여 트위터, 페이스북, 유투브 등의 주요 웹사이트에 접속하지 못하는 사태가 벌어지기에 이르렀다. 이는 중국의 국가방화벽이 국외로 유출되어 결과적으로 대규모 DNS 조작 공격이 이루어진 사례로 평가된다.
Chris Hoffman, HTG Explains: What is DNS Cache Poisoning?, 1. 9. 2015.
http://www.howtogeek.com/161808/htg-explains-what-is-dns-cache-poisoning/
번역‧요약: madfox
참고링크
반응형
