지난 6월에 인수 돼 시스코 보안 팀과 하나가 되어 일하는 오픈DNS(OpenDNS)를 기억하시나요?
오픈 DNS는 인수 직후부터 보안분야에서 활발한 활동을 이어왔는데요, 최근에는 해커들의 공격의 실마리를 찾고, 결국 공격자의 인프라 전체를 발견하도록 돕는 2개의 새로운 데이터 과학(data science) 모델을 발표했습니다.
‘스파이크랭크(Spike Rank, SPRank)’로 불리는 첫 모델은 네트워크 트래픽에서 발생하는 스파이크(spike)를 감지하도록 만들어졌습니다. 이는 요즘 사람들이 흔히 사용하는 사운드 하운드(Sound Hound)나 네이버 음악찾기 같은 ‘노래 찾기’ 애플리케이션의 음파 분석에서 볼 수 있는 수학적 개념을 적용한 것이라고 합니다. SPRank가 발견하는 스파이크는 공격 또는 공격 도구(exploit kit)의 사용 여부를 먼저 보여줍니다. 이런 스파이크는 추가적인 조사를 위한 단서가 되는데, 보통 하나의 IP 주소(single IP address) 또는 수상한 활동이 보이는 도메인을 찾는 데서 시작합니다.
SPRank로 감지한 네트워크 트래픽 스파이크 또는 ‘음파(sound waves)’의 예
물론 문제가 있는 하나의 IP 주소를 발견하는 것은 시작에 불과합니다.
대부분의 공격은 하나의 도메인 또는 IP 주소를 활용하지 않으니까 말입니다. 사실 시스코 보안 팀의 목표는 공격자들이 피해를 입히기 전에 공격을 막아내는 것이지요. 그러기 위해서는 해커가 사용하는 인프라 전체, 즉 이들이 공격 시 사용할 가능성이 있는 모든 IP 주소와 도메인들을 찾아내야 합니다. 여기에서 또 다른 발표 소식을 전해드리겠습니다! ^^
오픈DNS가 아직 사용되지 않은 IP 주소 및 도메인을 포함하는 해커들의 인프라 전체를 알아내는 데이터 모델, ‘프리딕티브 IP 스페이스 모니터링(Predictive IP Space Monitoring)’을 SPRank와 함께 발표했습니다. 이 모델은 SPRank가 제공하는 단서를 바탕으로 해커들이 사용하는 모든 IP 주소들을 속속들이 캐낼 전문 솔루션입니다.
하나의 IP 주소를 먼저 찾아낸 후, 해커가 사용하는 인프라 전체를 탐지한다는 개념은 뭔가 그럴듯 한데, 과연 그 효과는 어느 정도일지 궁금하시지요? 우선 함께 해커들이 어떻게 공격 준비를 하는지 안다면 왜 오픈DNS가 이런 데이터 모델을 소개했는지 훨씬 이해하기 쉬우실 것입니다.
지피지기면 백전불태’(知彼知己 百戰不殆): 해커들의 ISP 쇼핑 패턴 분석
해커들이 공격을 준비할 때 호스팅사와 ISP를 선택하는 기준은 클라우드 제공업체들과 다소 비슷하다고 합니다. 물론 일부 뚜렷한 차이는 있습니다. 새로운 공격 도구를 구성하기 위해 가장 먼저 하는 것은 아무래도 활동을 위한 IP 공간을 확보하는 것이지요. 이럴 때 해커들은 대체로 미국을 제외한 러시아, 체코 공화국, 벨리즈, 스위스 및 여타 유럽과 남미 국가들에서 호스트를 찾습니다. 그 이유는 해당 국가들에서는 자신의 정체와 활동을 보호할 수 있는 법이 존재하기 때문입니다.
해커들이 선호하는 호스팅 회사의 예
또 아무 ISP나 선택하지 않겠지요? 기본적으로 ISP 설정이 얼마나 쉬운지, 다양한 기능이 제공되는지 또 업타임은 어느 정도인지 고려할 것입니다. 그리고 무엇보다 중요한 것은 ISP들이 사용자 불만 또는 법적 규제 등에 얼마나 빠르게 대처하는지도 확인하는 것입니다. 뿐만 아니라 IP 남용에 대한 신고가 들어왔을 때 바로 해당 IP 도메인을 정지시키는지 아니면 고객 즉, 해커에게 먼저 경고를 하는지도 검토하겠지요? 몇몇 ISP들을 확인한 후 IP 공간 구입을 할 것입니다.
저렴한 도메인을 제공하는 호스팅 회사들
주목할 점 한 가지는 해커들은 주로 대량으로 IP 주소나 도메인을 구매한다는 것입니다. 가격도 저렴하고 설정하기도 쉬운 도메인과 IP 주소를 많이 보유하면 해커들에게 매우 유용한데요, 그 이유는 해커들은 공격을 위해 사용하는 IP 주소 또는 도메인이 아무 때나 정지되거나 차단될 수 있다는 가정하에 해킹을 하기 때문입니다.
해커들의 이런 작업 패턴을 분석한 오픈DNS 연구원들은 알아낸 내용을 바탕으로 인터넷 상의 위험 장소를 표시한 일종의 감식 지도를 만들었습니다. 물론 IP 주소, 호스팅 회사, 등록 정보, SSH 또는 IP에서 운영되는 웹 서버와 같은 특정 서비스 버전에 대한 정보, 운영체제 등을 기준으로 도메인을 분류하였고요. 또한 이 모든 정보를 바탕으로 오픈 DNS는 공격에 사용된 IP 주소와 도메인을 감지할 뿐만 아니라 동일한 해커들이 보유하고 같은 인프라에서 호스팅되는 사용 전 IP와 도메인도 미리 예측할 수 있게 되었습니다.
이처럼 해커들의 작업 방식은 주로 반복적인데, 다시 말하면 예측 역시 쉽다고 할 수 있겠지요?
시스템 관리자들과 마찬가지로 해커들은 온라인에서 공격할 때 실제로 효과가 있는 방법을 선택한 후, 공격을 개시할 수 있는 가장 빠른 경로를 택합니다. 또 자신의 공격이 언제든 차단되거나 셧 다운 될 수 있는 점을 인지하고 인프라와 악성 페이로드가 필요할 때 바로 사용할 수 있도록 미리 설정을 해놓습니다.
이처럼 반복적이고 예측 가능한 해커들의 행동에 대한 이해에 오픈DNS 고유의가시성을 자랑하는 ‘프리딕티브 IP 스페이스 모니터링’ 솔루션이 더해진다면 이것이야말로 제대로 된 선제적 보안 조치 아니겠습니까? ^^
새롭게 소개된 보안 모델에 대한 상세 정보와 작동 방법이 궁금하시면, 관련 발표자료또는 오픈DNS 시큐리티 랩스(OpenDNS Security Labs) 블로그를 확인하세요 ^^
이번 포스팅은 오픈DNS의 마케팅 매니저 오원 리스트럽(Owen Lystrup)이 작성한 How OpenDNS Predicts Attacks When Hacker Infrastructure Is Cheap and Plenty를 바탕으로 준비되었습니다.
