[칼럼] DNS서비스로 누리는 네트워크 보안 (2)


이번 칼럼 시리즈를 통해 DNS가 무엇인지, 그리고 DNS 서비스로 누릴 수 있는 네트워크 보안의 놀라운 보안탐지 기능은 무엇이 있는지 소개해 드리겠습니다~^^


1. DNS서비스로 누리는 네트워크 보안(1)

2. DNS서비스로 누리는 네트워크 보안(2) 


지난 칼럼에서는 도메인 네임 서비스로 어떻게 나쁜 웹사이트를 차단하는지 살짝 소개해드렸습니다.

그럼 오늘은 나쁜 서비스들을 어떻게 찾아내는지 정리 해볼까 합니다. 먼저 인터넷을 사용하려고 하면 아주 많은 사용자들이 IP주소보다는 도메인명을 기반으로 시작한다고 설명 드렸습니다. 기억나시지요?


앞서 소개해드렸던 시스코 OpenDNS는 전세계를 기반으로 도메인 네임 서비스를 제공하고 있습니다그래서 평균 매일 8억건 이상이라는 어마어마한 숫자의 도메인네임에 대한 요청을 처리하고 있지요. OpenDNS 연구팀은 이 엄청난 트래픽을 단순한 도메인 네임 서비스로 내버려두지 않은 것이지요. 대신 어떤 도메인에 서비스가 얼마나 되고 있는지 그 요청들은 주로 어느 지역에서 오는 것인지 도메인 네임 서비스에 필요한 트래픽을 기반으로 유용한 정보들을 들여다보기 시작했습니다. 기존에 '이 서버는 나쁜것같아!'라는 평판 기반의 처리를 했다면, 이제는 이 거대한 트래픽을 통해 유해 사이트를 도출해보면 어떨까?’라는 생각에 도달하게 된 것입니다.

 

그래서! 트래픽의 패턴을 연구하기 시작했습니다. 모든 공격 트래픽은 그들의 공통 패턴이 있고, 공격 전에 역시 보이는 특정 패턴이 있다는 가정하에 그 패턴을 수학적인 기법을 도입하여 찾아보기 시작한 것이지요.



수학적 기법 도입 서치의 결과

 

결과를 보니 생각보다 가정이 너무 정확했습니다!


SPRank를 통해 OpenDNS는 매시간 수 백 개의 유해 사이트를 발견하고, 사전에 차단하도록 함으로써 일반 보안 솔루션들의 3배의 성능과 정확도로 보안 서비스를 제공할 수 있게 됩니다.



여기서 토막 상식! Spike Rank(SPRank)란?


Spike Rank란 음원 서비스 사업가들이 고품질의 음원 제공을 위해 사용하는 음질 분석 로직을 트래픽 패턴 분석에 적용한 방법입니다단순한 패턴으로는 더 상세한 감지가 어렵기 때문에 음질을 분석하는 패턴과 트래픽의 패턴을 함께 보는 방식이지요.


업계에서는 음질 분석 기술을 트래픽 분석에 매칭한 놀라운 사례로 소개하고 있답니다.

 

그런데! 여기서 보안에 대한 패턴 연구는 멈추지 않았습니다. 도메인 서비스를 기반으로 패턴을 살펴 보다 보니 놓치는 부분들이 있음을 발견하게 된 것이지요. 실제 몇몇 유해 사이트들은 합법적으로 인증된 웹사이트 뒤에 숨어서 자신들의 악의적인 목적을 완수하려고 노력하고 있습니다. 찾기가 쉽지 않은 것입니다


그리고 어떤 침해툴들은 도메인명을 사용하지 않고 IP주소를 직접 기재하여 해커들의 서버와 통신하게 만들어서 기존의 도메인 네임 기반의 분석을 살짝 피해가기도 하더란 것이지요. 그래서 다시 좀 더 복잡하고 다양한 해커들의 공격을 사전에 인지할 수 있는 방법에 대해 고민하기 시작합니다.

 


뛰는 해커 위에 나는 연구자들


연구원들의 밤낮 없는 연구의 결과로 범죄자들이 현장에 남기는 지문과 같은 트래픽의 지문 패턴을 발견하게 되었지요. 그리고 해커들이 주로 공격 서비스를 위해 사전에 확인하는 변경할 수 없는 정보들을 데이터베이스로 구축했습니다예를 들면, 해커들은 공격이 차단될 경우를 대비해 IP주소나 도메인명을 여유 있게 확보하고 있다는 특징이지요. 그리고 공격이 감지되었을 때 본인들의 신분이 노출되지 않도록 개인 정보 보호를 엄격하게 관리하는 호스팅 서비스 업체를 선호하는 것입니다. 그리고 문제가 발견되어 외부에서 확인을 시도할 때 사전에 알려 서비스를 신속하게 내릴 수 있는 환경을 원하는 것이지요


트래픽 패턴은 물론 해커들의 성향을 모두 아울러, 단순히 현재 공격이 일어나는 특정 서버나 도메인을 발견하고 차단하는 것을 넘어, 해커가 사용할 가능성이 있는 구성 환경에 대한 제반 정보를 사전에 예견할 수 있게 됩니다. 이 방법을 OpenDNS 보안연구팀은 IP Space 모니터링 예견법(Predictive IP Space Monitoring)으로 업계에 소개하였습니다. 이 방법을 통하여 공격이 시작되기 전에 해커들의 사전 움직임을 파악하고 문제가 발생되지 않도록 처리할 수 있게 된 것이지요. 실제로 최근에 매년 3백억원 이상의 손해를 발생시킬 수 있었던 해커들의 공격을 이러한 패턴을 활용해 시스코 Talos이 사전에 차단한 예가 있습니다.^^

 

OpenDNS 보안랩의 최고 담당자는 SPRank IP Space 모니터링 방법을 연동함으로써 앞으로도 진화되는 해커들의 패턴을 사전에 인지하고 차단하는 보안의 인공 지능을 구축했다고 설명하고 있습니다.

 

계속해서 배우고 계속해서 찾아내고 계속해서 업데이트하는 것

그게 바로 OpenDNS의 새로운 모델입니다” 

-OpenDNS 보안랩 디아 마좁(Dhia Mahjoub) 박사

 

점점 더 교묘해지고 있는 해커들, 그리고 그 해커들로부터 안전한 네트워크 서비스를 제공 하려는 연구원들의 싸움은 지금도 계속되고 있습니다. OpenDNS 보안팀의 새로운 발상과 끊임없는 연구는 분명 더 안전한 네트워크 환경을 만들어가는데 든든한 지킴이가 되어줄 것이라 믿어봅니다.

 

이젠 보안 걱정은 OpenDNS에게 맡겨보면 어떨까요?


이 칼럼을 SlideShare에서 다운받으실 수 있습니다! 





Cisco IT Connect

시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드!


이 글은 시스코 보안이 공동집필한 칼럼입니다.


 

  



저작자 표시 비영리 동일 조건 변경 허락
신고
크리에이티브 커먼즈 라이선스
Creative Commons License