DNS: 가장 간편한 데이터 유출 방법?

DNS(Domain Name System) 요청은 인터넷에서 발생하는 거의 모든 것의 출발점이기 때문에 공격자가 DNS 프로토콜을 활용하는 것은 놀라운 일이 아닙니다. 분산 서비스 거부 공격에 사용되는 DNS 증폭과 정상 DNS 요청을 악성 도메인으로 리디렉션하는 데 사용되는 DNS 하이재킹을 비롯하여 다양한 DNS 악용 방식이 있습니다. 보다 발전되고, 보다 집중적이며, 덜 발견되는 방법은 DNS 유출입니다. 

고처리량 DNS 터널링과 저처리량 DNS 유출 비교

고처리량 DNS 터널링과 저처리량 DNS 유출 모두에 사용되는 기본 기법은 대체로 유사하지만 둘 사이에는 상당한 차이가 있습니다. 유사성의 측면에서 두 기법 모두 DNS 프로토콜을 사용해 DNS 쿼리와 관련되지 않은 데이터를 전송하며, 이는 DNS 요청에 추가 데이터를 추가하여 수행됩니다. 두 기법은 대부분의 기업이 DNS의 중요한 역할 때문에 DNS 트래픽에 개입하지 않는다는 점을 활용합니다. 그러나 유사성은 여기까지입니다.

고처리량 DNS 터널링이 작동 중인 경우 하나 또는 몇몇 특정 도메인에 대한 DNS 트래픽 양이 크게 변합니다. 즉, 도메인에 대한 DNS 요청 길이가 증가하고 요청 간 시간이 짧아집니다. DNS 터널링은 비교적 정상적인 목적(예: Wi-Fi 페이월 우회)이나 악의적인 목적(예: 명령 및 제어[C2] 서버와의 통신)으로 사용될 수 있습니다. 그러나 DNS 터널링은 그 특성 때문에 탐지와 차단이 비교적 간단합니다.

반대로 저처리량 DNS 데이터 유출이 작동하는 경우 하나 또는 몇몇 도메인에 대한 트래픽 양이 크게 증가하지 않으며 요청 간 간격이 더 깁니다. 예를 들어 멀웨어에 감염된 엔드포인트는 매시간마다 절전 모드가 해제되어 짧은 추가 메시지가 포함된 DNS 요청을 C2 서버에 전송할 수 있습니다. 따라서 오탐 보안 알림 수를 늘리지 않고 저처리량 DNS 유출을 탐지하기가 매우 어렵습니다.

공격자가 저처리량 데이터 유출을 선호하는 이유는?

데이터 전송에 DNS를 사용할 때 가장 큰 제한 사항은 DNS 메시지 길이가 255바이트로 제한되고 이 중 많은 양이 UDP 제어 메시지로 사용될 수 있다는 점입니다. 그러나 앞서 언급했듯이 기업은 DNS 트래픽을 조작하는 것을 꺼립니다. 즉, 모니터링하지 않는 경우가 많습니다. 모니터링하더라도 고처리량 터널링만 식별할 수 있을 가능성이 매우 높습니다. 

따라서 신용 카드 번호처럼 매우 귀중한 데이터를 유출할 때 저처리량 데이터 유출은 매우 매력적인 공격 수단입니다. 카드 세부 정보를 유출하는 데 시간이 걸릴 수 있지만, 느리고 낮은 접근 방식은 기다릴 만한 가치가 있습니다.

DNS 유출 방어

저처리량 DNS 유출 멀웨어는 매우 위험하며 데이터 유출로 기업에 막대한 비용을 초래할 수 있기 때문에 최근 Akamai의 보안 연구팀은 문제에 대한 이해도를 높여 효과적인 탐지 기법을 구축하는 데 주력했습니다. 이 연구 내용의 상당 부분은 이 글에상세히 소개되어 있으므로 문제에 대한 이해도를 높이려는 분께 추천합니다.

DNS 데이터 유출 탐지 알고리즘은 이러한 연구를 통해 개발됐으며, 시간이 지나면서 지속적으로 개선되어 탐지 속도와 정확성이 높아지고 오탐 알림이 최소화됐습니다. 이 알고리즘은 클라우드 보안 웹 게이트웨이를 구축한 고객의 DNS 트래픽 로그를 지속적으로 분석하는 데 사용됩니다. 새로운 문제가 탐지되면 영향을 받는 고객에게 사전 알림을 보냅니다. 또한 유출과 관련된 도메인을 위협 인텔리전스에 추가하여 모든 고객을 보호합니다.

2022년 4월에 이 시스템은 DNS 유출 사례에서 알고리즘의 효과를 증명했습니다. 고객 트래픽 로그의 여러 도메인에 대한 DNS 트래픽이 폭주하는 것을 확인했습니다. 여기에서 유출된 데이터는 서브도메인에 대한 요청에 추가됐습니다. 가장 흥미로운 점은 알고리즘이 활동이 발생한 지 한 시간 내에 이를 탐지했으며, 비교적 적은 수의 서브도메인에 대한 요청(총 1,109개)을 기반으로 탐지했다는 사실입니다.