이후 해커는 탈취한 로그인 계정으로 도메인 네임서버 정보를 변조해 아사아나항공 웹사이트를 복면을 쓴 단체의 이미지로 도배했다. 이로 인해 도메인 보유 기업들의 보안 상태 점검에도 비상이 걸렸다.
도메인정보 가운데 네임서버정보(DNS)는 특정 네트워크에 속한 특정 호스트에 접속하기 위해 일일이 숫자로 된 IP 주소를 기억하지 않고 도메인 네임만으로도 가능하게 하기 위해 도메인 네임을 IP 주소로 전환시켜 주는 시스템이다.
그런데 악의적인 목적으로 네임서버 정보에 접근할 경우, 단순히 사용자가 올바른 서버에 접속하는 것이 불가능한 수준을 뛰어 넘어 큰 혼란을 야기할 수 있다. 아시아나항공의 경우 피해가 웹사이트 위변조 수준에 그쳤으나, 네임서버 정보 조작으로 일어날 수 있는 실제 피해는 훨씬 심각하다.
웹사이트에 허위 정보를 게시해 기업에 대한 신뢰를 훼손시킬 수 있으며, 더 악의적인 목적으로 이용할 경우 웹사이트에 접속하는 모든 사용자의 PC에 악성코드를 유포하는 것도 가능하다. 이 경우 사용자는 사이트에 접속하는 것만으로도 좀비 PC가 되거나 랜섬웨어에 감염되는 등 심각한 피해를 입을 수 있다.
다만 네임서버 정보만으로는 고객 정보와 같이 서버에 저장된 정보를 직접 탈취하는 것은 불가능해, 이번 아시아나항공 사건 역시도 고객정보유출과는 무관하다.
안광해 가비아 정보보안실 실장은 “도메인 네임서버 위변조는 도메인등록업체 해킹, 기업 도메인관리자의 관리 계정 해킹, DNS 자체 취약점 해킹 등에 의해 위험에 노출될 수 있다”며 만에 하나 “접속자가 많고 정보 공유도 많이 일어나는 뉴스나 포털 사이트에서 유사한 사고가 발생한다면 피해는 상상 이상일 것”이라고 말했다.
또한 그는 “심각한 피해를 예방하기 위해서는 도메인등록업체들에게도 높은 보안 수준의 관리가 요구된다”며 국내 최대의 도메인등록업체인 가비아의 주요 기업 도메인 관리 방식을 일부 소개했다.
가비아는 주요 기업 도메인의 보호를 위해 네임서버 정보 변경 요청이 있을 시 서비스 담당 실무자가 직접 체크한 후 변경 사항을 적용하는 시스템을 채택하고 있다. 때문에 해커가 변조를 해도 담당자가 기업에 변경 사실을 확인한 후 직접 승인을 하지 않는 이상 변경된 정보가 적용되지 않는다.
또한 가비아는 기업도메인 관리페이지를 별도의 url로 분리 운영하며, 등록된 공인 IP에 한해서만 접속을 허용하고 있다. 접속 허용 IP는 최대 3개까지 등록할 수 있으며, 이 역시 도메인 담당 직원의 요청에 의해서만 추가, 변경 및 삭제가 가능하다.
아시아나항공 해킹에서 취약점으로 지적된 계정 로그인의 경우에는 모든 패스워드를 암호화해 관리하고, 패스워드 분실 시 지정된 담당자의 이메일로만 초기화가 가능하게끔 하고 있다.
한편, 가비아는 .com/.net 시행사인 베리사인을 통해 도메인 정보에 락(rock)을 걸어두는 ‘레지스트리 락’ 서비스도 도입할 예정이다. ‘레지스트리 락’ 서비스는 고객사로부터 도메인 정보 변경 요청이 있을 시 변경 내역과 변경 일시를 시행사에 전달해 처리한 뒤 다시 정보에 락을 걸어 보호하는 서비스다.
다행히 이번 아시아나항공 해킹 사고에서는 고객들이 입는 피해가 적었으나 향후 더욱 심각한 피해를 초래하는 해킹 위협을 막기 위해서는 도메인 서비스 업체들의 관리 책임이 더욱 막중해질 것으로 보인다. 이번 사건을 계기로 도메인업체는 물론, 도메인 보유 기업들도 도메인 정보 보안 방식에 대해 다시 한 번 점검에 나서야 할 것이다.
★정보보안 대표 미디어 데일리시큐!★
