도메인 생성 알고리즘의 예시로 명령 및 제어 인프라에 대해 대량의 고유 도메인 이름을 생성하는 데 사용된 Conficker 웜의 DGA가 있습니다.
DGA(Domain Generation Algorithm)는 대량의 새 도메인 네임을 생성하는 프로그램입니다. 사이버 범죄자와 봇넷 운영자는 도메인 생성 알고리즘을 사용해 멀웨어 공격을 실행하는 데 사용하는 도메인을 자주 변경합니다. 해커는 이 기술을 통해 특정 도메인 이름과 고정 IP 주소를 차단하는 멀웨어 탐지 솔루션을 피할 수 있습니다.
사이버 범죄자들이 도메인 생성 알고리즘을 사용하는 이유는 무엇일까요?
공격자는 멀웨어를 사용해 기업 IT 환경 내의 수많은 컴퓨터나 디바이스를 감염시킵니다. 공격자는 이러한 멀웨어에 감염된 머신이나 봇에 명령을 내리고, 일반적으로 감염된 시스템 내에서 호스팅되는 컴퓨터인 C2(Command and Control) 서버를 사용해 머신이나 봇으로부터 정보를 수집할 수 있습니다. 봇으로 구성된 네트워크, 즉 봇넷은 스팸을 전파하거나, 민감한 데이터를 훔치거나, DDoS(Distributed Denial-of-Service) 캠페인과 기타 사이버 공격을 수행하는 데 사용될 수 있습니다.
이러한 악성 활동을 방지하기 위해 사이버 보안 서비스 및 솔루션 은 C2 서버와 감염된 디바이스 간의 통신에 관련된 머신과 웹 사이트의 IP 주소를 식별해 네트워크 보안 공급업체의 위협 인텔리전스를 기반으로 해당 IP 주소로 오가는 모든 트래픽을 차단합니다. 사이버 범죄자는 공격을 계속하기 위해 지속적으로 도메인을 전환함으로써 차단 목록, 서명 필터, 보안 게이트웨이, 평판 시스템, 침입 방지 시스템, 기타 보안 기술의 탐지를 피하해야 합니다.
사이버 범죄자는 DGA를 사용해 수많은 도메인 이름을 생성하는 방법으로 탐지 엔진이 따라잡기 어려울 만큼 빠르게 도메인을 전환할 수 있습니다.
도메인 생성 알고리즘은 어떻게 작동하나요?
도메인 생성 알고리즘은 일련의 문자를 사용해 공격자가 C2 서버와 통신할 수 있는 접점 역할을 할 수 있는 수천 개의 도메인 이름을 빠르게 생성하는 애플리케이션입니다. 이러한 알고리즘은 매일 수만 개의 DGA 도메인 이름을 생성할 수 있으며, 대부분은 등록되지 않은 도메인 이름입니다. 해커는 등록된 도메인을 숨기기 위해 미등록 도메인을 사용하므로 서명과 IP 평판을 사용하는 검사 엔진의 탐지를 쉽게 피할 수 있습니다. 이 알고리즘은 클라이언트와 소스 측에서 모두 실행됩니다. 공격자와 C2 서버 모두에게 알려진 시드로 시작해 어떤 도메인이 생성되고 어떤 도메인이 멀웨어의 통신 채널로 등록될지 양쪽 다 알 수 있습니다. 해당 도메인이 보안 시스템에 의해 식별되어 차단될 경우, 공격자는 해커와 멀웨어 또는 봇넷이 모두 알고 있는 패턴에 따라 다음 도메인으로 빠르게 전환해 C2 서버와의 연결을 유지할 수 있습니다.
DGA의 종류에는 무엇이 있을까요?
해커들은 탐지를 회피하면서 악성 도메인을 생성하는 능력을 높이기 위해 다양한 종류의 DGA를 개발했습니다.
- PRNG(Pseudorandom Number Generator) DGA는 가장 일반적인 방법으로, 공격자와 멀웨어가 모두 예측할 수 있는 도메인 시퀀스를 생성하기 위해 임의의 시드(주로 시스템 날짜 및 시간)를 사용합니다.
- 문자 기반 DGA는 무작위 시드를 사용해 문자나 숫자로 도메인 이름을 생성합니다. 이러한 DGA는 가장 쉽게 탐지할 수 있습니다.
- 사전 기반 DGA는 단어를 무작위로 조합해 읽을 수 있는 것처럼 보이는 도메인을 생성하며, 정상적인 도메인처럼 보이기 때문에 보안 시스템에서 탐지하기가 더 어렵습니다.
- 고충돌 DGA는 정상적인 도메인 이름처럼 보이도록 설계되었으며 .com, .net, .org 같은 TLD(Top-Level Domain)와 짝을 이룹니다. 고충돌 DGA를 사용하면 생성된 도메인이 이미 등록되어 있을 가능성이 높아져 ’충돌’이 발생하므로 탐지 프로세스에 혼란을 가중시킬 수 있습니다.
기업은 DGA 도메인을 어떻게 탐지할 수 있나요?
기업이 멀웨어를 방지하기 위해 취하는 조치는 DGA도 방지할 수 있습니다. 도메인 생성 알고리즘은 멀웨어의 수준을 높이는 데 사용되므로 대부분의 안티 멀웨어 솔루션은 이러한 위협에 대한 기본적인 방어 기능을 제공합니다. 모범 사례는 다음과 같이 구성됩니다.
- 최적의 패치 주기를 도입해 소프트웨어를 최신 상태로 유지함으로써 공격자가 소프트웨어 취약점을 악용해 방어 체계를 뚫고 멀웨어를 설치하지 못하도록 합니다.
- 사용자가 멀웨어 공격의 일부일 수 있는 잠재적인 악성 링크, 웹 사이트, 이메일을 인식할 수 있도록 보안 인식 교육을 실시합니다.
- URL 필터링을 사용해 사용자가 악성으로 알려진 웹 사이트에 접속하거나 링크를 클릭하지 못하도록 합니다.
- 보안 솔루션을 배포해 사용자가 악성 첨부 파일을 열거나 첨부 문서에서 매크로를 활성화하지 못하게 합니다.
- 방화벽을 검사 없이 통과하는 경우가 많은 DNS 트래픽을 사용하는 C2 서버와 멀웨어 간의 통신을 식별하고 차단해 DGA 탐지를 지원할 수 있는 DNS 보안 솔루션을 선택합니다.
- 머신 러닝과 빅 데이터를 사용해 비정상적인 활동을 식별하고 악성 사이트를 차단하는 안티 DGA 기술을 배포합니다.
자주 묻는 질문(FAQ)
도메인 생성 알고리즘에 사용될 수 있는 세 가지 요소는 시간, 무작위 시드, 수학적 계산입니다.
DGA는 감염된 머신와의 통신에 사용되는 도메인을 지속적으로 변경할 수 있어 보안 연구자나 법 집행 기관이 인프라를 추적하고 중단시키는 것을 어렵게 만들기 때문에 사이버 범죄자에게 유용합니다.
도메인 생성 알고리즘과 단어 목록의 주요 차이점은 DGA가 특정 요소를 기반으로 알고리즘적으로 도메인 이름을 생성하는 반면, 단어 목록은 멀웨어나 봇넷이 통신 목적으로 사용할 수 있는 미리 결정된 도메인 이름으로 구성된 정적 목록이라는 점입니다. DGA는 단어 목록에 비해 가변성과 예측 불가능성이 더 높습니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.