[오늘의 IT소식] 2/24 가비아 "네임서버 변조, 잠재 위험 상상 이상이다" 등

[IT동아]

지난 20일 아시아나항공 홈페이지가 해킹에 의해 위/변조되는 사건이 발생했다. 해커는 아시아나항공 도메인이 등록돼 있는 도메인 등록업체의 웹페이지 취약점을 파고들어, 파라미터 위변조 수법으로 로그인 임시 비밀번호를 등록인 이메일이 아닌 해커 이메일로 발송한 것으로 밝혀졌다. 이후 해커는 탈취한 로그인 계정으로 도메인 네임서버 정보를 변조해 아사아나항공 웹사이트를 복면 쓴 단체의 이미지로 도배했다. 이 사건으로 도메인 보유 기업들의 보안 상태 점검에도 비상이 걸렸다.

<해커에 의해 해킹된 아시아나항공 홈페이지>

도메인 정보 가운데 네임서버(DNS) 정보는 특정 네트워크에 속한 특정 호스트에 접속하기 위해 숫자 형식의 IP 주소가 아닌, '도메인 이름' 만을 이용해도 되도록 도메인 이름을 IP 주소로 변환하는 시스템이다. 악의적 목적으로 네임서버 정보에 접근할 경우, 단순히 올바른 서버에 접속하는 게 불가능한 수준을 뛰어 넘어 큰 혼란을 야기할 수 있다. 아시아나항공의 경우 피해가 웹사이트 위/변조 수준에 그쳤으나, 네임서버 정보 조작으로 일어날 수 있는 실제 피해는 훨씬 심각하다.

웹사이트에 허위 정보를 게시해 기업 신뢰도를 훼손시킬 수 있으며, 더 심각하게는 웹사이트에 접속하는 모든 사용자의 PC에 악성코드를 유포하는 것도 가능하다. 이 경우 사용자는 사이트에 접속하는 것만으로도 '좀비PC'가 되거나 랜섬웨어에 감염되는 등 심각한 피해를 입을 수 있다. 다만 네임서버 정보만으로는 고객 정보 등 서버에 저장된 정보를 직접 탈취하는 것은 불가능해, 이번 아시아나항공 사건 역시도 고객정보 유출과는 무관하다.

도메인 전문 기업인 가비아 정보보안실 안광해 실장은 "도메인 네임서버 위/변조는 도메인 등록업체 해킹, 기업 도메인 관리자의 관리계정 해킹, DNS 자체 취약점 해킹 등에 의해 위험에 노출될 수 있다. 접속자가 많고 정보 공유도 많이 일어나는 뉴스나 포털 사이트에 유사한 사고가 발생한다면 피해는 상상 이상일 것"이라 경고했다. 또한 "심각한 피해를 예방하기 위해서는 도메인 등록업체에게도 높은 보안 수준의 관리가 필요하다"고 덧붙혔다.

가비아는 주요 기업 도메인의 보호를 위해 네임서버 정보 변경 요청이 있을 시 서비스 담당 실무자가 직접 체크한 후 변경 사항을 적용하고 있다. 때문에 이번 사건처럼 해커가 위/변조를 해도 담당자가 기업에 변경 사실을 확인한 후 직접 승인을 하지 않는 이상 변경된 정보가 적용되지 않는다.

또한 가비아는 기업 도메인 관리 페이지를 별도의 주소로 분리 운영하며, 등록된 공인 IP주소에 한해서만 접속을 허용하고 있다. 접속 허용 IP주소는 최대 3개까지 등록할 수 있으며, 이 역시 도메인 담당 직원의 요청에 의해서만 추가, 변경 및 삭제가 가능하다. 아시아나항공 해킹의 취약점으로 지적된 계정 로그인의 경우에는, 모든 암호를 암호화해 관리하고, 암호 분실 시 지정된 담당자의 이메일로만 초기화가 가능하다.

한편 가비아는 .com/.net 시행사인 베리사인을 통해 도메인 정보에 잠금(rock)을 걸어두는 '레지스트리 락' 서비스도 도입할 예정이다. 이는 고객사로부터 도메인 정보 변경 요청이 있을 시 변경 내역과 변경 일시를 시행사에 전달해 처리한 뒤 다시 정보에 락을 걸어 보호하는 서비스다.

글 / IT동아 이문규 (munch@itdonga.com)