이더리움 15만달러 도난…DNS·BGP 취약점 악용

"구글·아마존DNS, IX서버 동원해 피싱사이트 방문 유도"

컴퓨팅입력 :2018/04/26 15:26

인기 암호화폐지갑 서비스 '마이이더월렛' 이용자들의 이더리움 15만달러(약 1억6천만원)어치가 도난되는 해킹사고가 발생했다. 공격자는 마이이더월렛 서비스가 아니라 인터넷의 근간을 이루는 라우팅프로토콜 및 도메인네임시스템(DNS)의 취약점을 파고들었다.

25일(현지시간) 미국 온라인미디어 쿼츠는 마이이더월렛 이용자들의 이더리움 15만달러치가 도난됐으며 공격자는 해당 서비스를 이용하려는 이들의 인터넷 트래픽 경로를 재지정하는 수법을 동원한 것으로 보인다고 보도했다. [☞원문보기]

공격자는 마이이더월렛 이용자와 서비스를 연결하는 기본적인 2가지 인터넷 기술, 보더게이트웨이프로토콜(BGP)과 DNS의 취약점을 악용했다. 그 자체는 평범한 수법이지만 공격자가 아마존, 구글, 인터넷서비스업체에 걸쳐 이 공격을 실행했다는 점이 눈길을 끈다.

온라인미디어 더버지는 지난 24일 보안아키텍트 케빈 버몬트의 네트워크보안 블로그 포스팅을 인용한 보도를 통해 BGP 및 DNS 취약점을 악용한 공격 과정을 소개했다. [☞원문보기]

암호화폐지갑서비스 마이이더월렛 이용자들의 이더리움 15만달러치가 도난당하는 사고가 발생했다. 공격자는 BGP와 DNS의 취약점을 악용해 이용자들을 러시아 소재 서버의 피싱사이트로 끌어들였다.

보도에 따르면 전날밤 마이이더월렛 이용자들은 접속 중인 웹사이트 서버 보안인증서의 검증이 깨졌음을 뜻하는 '서명되지 않은 SSL인증서' 경고를 접했다. 해당 인증서 경고를 지나친 이용자들은 정상적인 서버가 아니라 러시아에 있는 다른 서버로 접속됐는데 이는 공격자가 이용자의 지갑을 털기 위해 만든 환경이었다.

마이이더월렛 측은 미국 온라인커뮤니티 '레딧'을 통해 해킹 공격이 발생했음을 확인했다. 공지를 통해 "마이이더월렛닷컴 사이트 이용자들을 피싱 사이트로 리다이렉트하고자 몇몇 DNS 등록 서버를 하이재킹한 것으로 보인다"며 "이는 마이이더월렛 플랫폼상의 보안결함 때문이 아니라 공개 DNS서버에서 결함을 찾아냈기 때문"이라고 설명했다. [☞원문보기]

이런 얘기다. 인터넷에서 접속해야 하는 서버 위치를 지정하려면 숫자로 된 IP주소를 알아야 한다. 기억하기 어려운 숫자를 기억하기 편한 문자열과 연결해 주는 게 DNS다. 웹사이트 접속시 도메인을 이용하면 DNS서버를 거치기 때문에, DNS서버가 도메인에 IP주소를 제대로 연결해주지 않으면 해당 웹사이트 서버엔 문제가 없더라도 이용자들에게 가용성이나 보안 문제가 생긴다.

더버지는 공격자가 해킹시점에 러시아 소재 서버를 마이이더월렛닷컴 웹사이트 도메인에 연결된 정상 서버처럼 보이게 위장했다고 설명했다.

이 수법에 피해를 입은 이용자 대다수는 구글이 제공하는 공개 DNS 서비스(8.8.8.8)를 사용 중이었다. 이 잘못된 도메인 연결은 구글의 DNS 서비스가 아마존웹서비스(AWS)에서 제공하는 '루트53(Route 53)'이란 DNS 시스템과 이뤄진 위조 통신을 거쳐 발생했다. AWS 측은 "루트53 시스템이 해킹된 건 아니었다"며 "업스트림 인터넷서비스제공자(ISP) 한 곳이 침해당했고 이 ISP가 그와 피어링된 다른 네트워크로 루트53 IP주소 서브셋을 어나운스하는데 쓰였다"고 설명했다.

AWS 측 설명대로라면 공격자는 'BGP 하이재킹'이라 불리는 수법을 동원한 수 있다. 이는 네트워크에서 트랜짓(transit) 단계 트래픽을 가로채 잘못된 라우팅 정보를 퍼뜨리는 방식을 가리킨다. 이런 공격을 수행하려면 ISP 또는 다른 인터넷인프라 사업자가 운영하는 BGP 서버를 해킹해야 한다.

사고를 분석한 케빈 버몬트의 설명에 따르면 이번 해킹 피해 대상은 데이터센터설비 공급업체 에퀴닉스가 미국 시카고에 소재한 인터넷회선연동(IX)업체의 IBX데이터센터에 공급한 서버였다. 공격자는 이 서버를 사용한 중간자(MITM)공격으로 DNS 트래픽 경로를 바꿨다. 그리고 2시간동안 아마존 루트53로 향하는 전세계 인터넷 트래픽을 가로챌 수 있었다. 그사이 이런 일이 벌어졌다는 걸 거의 아무도 눈치채지 못했다. [☞원문보기]

관련기사

케빈 버몬트는 해당 공격 방식을 추적한 경험을 바탕으로 "BGP와 DNS의 보안 취약점은 익히 알려져 있고 이전에도 그걸 악용한 공격이 있었다"면서도 "이 사례는 두 취약점을 결합한 공격 중 내가 목격한 최대 규모"라며 취약한 인터넷 보안의 문제점을 부각시켰다.

더버지는 마이이더월렛이 그 여파로 서비스 운영에 문제가 생겼음을 확인한 유일한 곳이지만, 잘못된 리다이렉트 동작에 영향을 받은 다른 서비스가 다수 있을 것이라고 지적했다.