도메인네임시스템(DNS)의 통신 내용을 암호화해주는 'DoH(DNS over HTTPS)' 기능을 해킹에 악용한 사례가 발견됐다.
DNS는 각 사이트의 주소를 IP 주소로 변환해 기기 간 통신을 지원하는 시스템이다. DNS통신 요청이 암호화 없이 이뤄지는 경우 해당 정보가 유출되면 사용자가 어떤 웹사이트에 접근하는지 제3자가 알 수 있게 된다. DoH는 이를 막기 위해 DNS 통신 요청을 암호화해주는 기술이다.
글로벌 보안 기업 카스퍼스키의 악성코드 분석가인 빈센트 디아즈는 지난주 참여한 웨비나에서 이란 지능형지속위협(APT) 그룹으로 알려진 '오일리그'가 DoH를 통해 데이터를 유출한 사실을 발견했다고 밝혔다.
디아즈에 따르면 오일리그가 해킹에 악용한 도구는 'DNS익스필트레이터(DNSExfiltrator)'다. DNS익스필트레이터는 소스코드 공유 사이트 깃허브에 오픈소스 프로젝트로 등록돼 있으며, 구글 또는 클라우드플레어의 DoH 서버를 이용할 수 있다고 언급돼 있다. 해커가 이 도구를 사용해 유출하고자 하는 데이터를 암호화한 뒤 DoH 프로토콜을 사용해 은밀히 데이터를 외부로 빼돌렸다는 분석이다.
미국지디넷은 모든 보안 제품이 DoH 프로토콜을 모니터링할 역량을 갖추고 있지 않고, 기본적으로 암호화가 적용돼 있어 현재 데이터 유출 경로로 이상적이라고 분석했다.
디아즈는 오일리그가 DNS익스필트레이터 툴킷을 악용해 코로나19 관련 도메인 데이터를 지난 5월 유출했다고 밝혔다. 이는 로이터가 정체 불명의 이란 해커가 제약 회사 길리어드를 공격했다고 보도하면서 언급한 시기와 일치한다. 다만 두 사건이 같은 것인지는 명확히 밝혀지지 않은 상황이다.
관련기사
- 애플도 'DNS 암호화' 지원한다2020.06.29
- 내 웹브라우저에서 DoH 활성화하는 방법2020.02.28
- 파이어폭스, DoH 기본 설정으로 제공2020.02.27
- "초당 2만8천명 접속"…KISA, 차세대 국가 DNS 만든다2020.04.26
보안 기업인 탈로스, NS포커스, 팔로알토네트웍스 등이 발표한 보고서에 따르면 오일리그는 지난 2018년에도 DNS 기반의 데이터 유출을 시도한 공격 캠페인 'DNSpionage'를 전개한 바 있다.
미국 지디넷은 이에 대해 APT 그룹이 공격에 DoH를 악용한 사례로 처음 보고된 것이라고 언급했다. 다만 DoH를 악용한 맬웨어는 지난해 7월 처음 등장했다고 덧붙였다. 중국 인터넷·보안 기업 치후360의 네트워크 위협 분석 전문 자회사 넷랩은 보고서를 통해 분산서비스거부(DDoS) 봇넷 공격의 일환으로 DoH를 배포하는 리눅스 기반 맬웨어 '고들루아(Godlua)'가 발견됐다고 밝혔다.