2020-04-07 13:20 (화)
포털·호스팅 등 상당수 사이트 DNS영역전송 취약점 노출!
상태바
포털·호스팅 등 상당수 사이트 DNS영역전송 취약점 노출!
  • 길민권
  • 승인 2012.03.28 10:03
이 기사를 공유합니다

DNS 영역전송으로 서버 IP와 ID 노출…피해 발생 우려!
DNS 영역전송의 취약점이 발견됐다. 국내 대부분 사이트에 DNS 영역전송에 대한 보안이 돼 있지 않은 상황이다. 이로인해 서버의 IP와 아이디가 노출되고 있어 공격자 입장에서는 다양한 공격이 가능하다.
 
해당 취약성을 발견한 안용중학교 3학년 김동완 학생은 “이 취약점은 대부분 사이트에서 악용이가능하다. 국내 대부분 사이트는 DNS 영역전송에 대해 보안이 돼 있지 않다”며 “DNS 영역전송 취약점은 여러모로 사용이 가능하다. 호스팅해준 IP와 아이디 노출 등 개인정보들이 노출되고 호스팅 업체 말고 일반 서버에서 한다면 모든 IP들이 노출되기 때문에 공격자에게 큰 도움이 될 수 있다”고 경고했다.
 
DNS 영역전송 취약점이 이용자들에게 주는 피해는 어떤 것들이 있을까. 김 군은 “예를들어 모 호스팅업체에 호스팅된 서버를 크래킹하려고 할 때, IP와 ID가 노출 돼 있기 때문에 비밀번호를 브루트포싱 한다면 심각한 피해가 될 것으로 예상된다”며 “각 서버들은 빨리 패치를 해서 예방하길 바란다”고 설명했다.
 
김동완 학생은 DNS 영역전송 취약점을 입증하기 위해 모 포털 사이트와 호스팅사이트 한 곳을 대상으로 테스트했으며 국내 상당수 사이트들이 이러한 문제점을 가지고 있다는 것을 알게 됐다고 한다.
 
테스트 과정을 살펴보면, DNS 영역전송이란 주 서버에 응답을 줘서 DNS 테이블을 가져오는 것이다. DNS 영역전송은 nslookup 명령어를 사용하여 한다. 일단 모의 테스트에선 휴대폰 핫스팟 기능을 이용해 사설 IP DNS 테이블을 만든다. 일단 nslookup 명령어를 이용해 DNS의 기본주소를 바꾼다. 그리고 집합 쿼리의 유형을 바꾼다. NS=네임서버. 서버 명령어를 이용해 기본 서버를 ns.xxxxxxx.com(모 호스팅 사이트)으로 바꿔준다. 그리고 ls –d로 모든 레코들을 나열하면 호스팅 업체의 모든 가입자와 호스팅해준 IP들이 뜨는 것을 볼 수 있다.
 
이렇게 되면 어떤 공격이 가능할까. 김동완 학생은 “이 취약점을 이용하면, 모 호스팅 사이트에 모든 호스팅 가입자 목록이 뜨게 된다. 그럼 호스팅하고 있는 주소 중 특정한 곳을 타깃으로 크래킹을 하려고 할 때, 대부분 메일서버를 ID로 사용하고 있다. 그렇게 되면 공격자는 거기서 루트권한을 획득하기는 아주 간단해 진다”며 “비밀번호를 브루트포싱(무차별대입)공격을 걸어버리면 10분 안에 서버 해킹이 가능하다”고 경고했다.
 
김 군은 DNS영역전송 취약점을 막는 방법에 대해 “DNS 영역전송은 DNS 테이블 다시말해 존파일을 불러온다. 쿼리응답을 할 때 응답을 무시하면 된다”며 “또한 서버를 2대로 쓰는 방법이 있다. 서버 한대는 내부서버, 나머지 한대는 외부서버 방식으로 하면 방어가 가능하다”고 조언했다.
 
김동완 학생은 중학교 1학년때부터 보안공부를 시작했다고 한다. 김 군은 “페이스북을 만든 마크 주커버그를 롤모델로 삼고 있으며 그를 보고 보안에 관심을 가지게 되었다”며 “현재 보안공부는 주로 C API프로그래밍 관련 책을 통해 공부를 하고 있다”고 소개했다.
 
최근 관심을 가지고 공부하는 보안분야는 리버스 엔지니어링과 API 분야라고 한다. 컴퓨터 공부와 학업을 병행하기가 쉽지 않을 텐데 김 군은 “아무래도 컴퓨터 공부와 병행하다 보니 힘들지만 이럴 때 일수록 더욱 열심히 해야겠다고 생각하고 있다”며 “현재 한국 디지털 미디어 고등학교 자기추천전형을 희망 하고 있다. 그리고 장래희망은 모의해커”라고 밝혔다.

또한 "이번 취약점 연구에 대해 큰 도움 주신 해커스쿨 푸른하늘(B1u3Sky) 장기려님에게 감사드린다"고 전했다.
[데일리시큐=길민권 기자]