아시아나 항공 홈페이지 해킹 사고를 통해 살펴본 도메인과 DNS 관리의 중요성

최근에 아시아나 항공 홈페이지의 해킹 사고가 있었고 페이팔 서비스의 파밍 사이트 내용도 언론을 통해서 알려졌다. 둘 다 도메인 및 DNS에 대한 보안 사고(페이팔의 경우 파밍이니 보안사고라고 부르기도 애매하기는 하지만)이기에 지금 회사에서 만들고 있는 서비스가 도메인 및 DNS 서비스이고 또 DNS 서비스를 이용한 DDoS 방어 서비스를 만들고 있고 그것에 대한 서비스 및 시스템 기획, 설계를 맡아서 진행하는터라 도메인 관련 보안 사고에 관심이 많아 내용을 보게 되었다. 먼저 아시아나 항공 홈페이지 해킹에 대해서 살펴보자.

해킹 사고의 개요

일단 아시아나 항공 홈페이지의 해킹 사고는 아시아나 항공 홈페이지 자체가 해킹당한 것은 아니고 해당 홈페이지로 접속하게 하는 도메인(naver.com, poem23.com 등의 주소가 도메인이다)에 문제가 생긴 경우로 도메인과 서비스 서버(아시아나 항공 홈페이지의 서비스 웹서버가 될 듯)의 IP를 관리하는 DNS 시스템에 문제가 생겨서 발생한 상황이다. 대략적인 내용을 보니 해커가 아시아사 항공 홈페이지의 도메인 주소(http://flyasiana.com)에 연결된 서비스 서버 IP를 해커가 설정해 놓은 다른 서버 IP로 변경을 해서 아시아나 항공 홈페이지에 접속했는데 다른 사이트가 나오는 상황이 벌어진 것이다. 이것에 대해서 자세히 알려면 DNS에 대해서 알아야 하는데 여기서 다 설명을 하려면 힘드니 위키의 내용을 참고하면 될 듯 싶다.

아시아나 항공 홈페이지 해킹 화면

뭐 언론에서는 개인정보 유출에 대해서 얘기를 하는데 일단 홈페이지 자체가 해킹을 당한 것이 아니라 홈페이지 주소에 연결되어 있는 사이트가 바뀐 것이기 때문에 아시아나 항공 홈페이지에서 관리하는 회원의 데이터베이스가 유출되거나 하는 상황은 아닐 것으로 보인다. 해킹된 사이트의 내용을 봐도 거기에 ID와 비밀번호를 입력하는 부분이 없어서 따로 피해자의 ID나 비밀번호를 수집하는 상황도 아니기 때문에 개인정보 유출에 대해서는 그렇게 걱정을 하지 않아도 될 듯 싶어 보인다(뭐 해커들이 아시아나 항공 홈페이지 자체를 해킹하고 그 다음에 DNS에 레코드 변경을 이용하여 주소를 바꿨으면 얘기가 달라지겠지만 그런 상황은 아닌 듯 싶으니).

홈페이지 서버 해킹이 아닌 DNS, 도메인 해킹 사고

이번 해킹의 핵심은 서비스 서버 자체의 보안도 중요하지만 그 서비스에 접속하기 위한 관문이 되는 도메인, 그리고 DNS에 대한 보안이 얼마나 허술한지에 대해서 알려주고 있다는 것이다. 많은 서비스 관리자들은 서비스를 제공하는 서버와 그 인프라에만 신경을 쓰지 인터넷망에서 접속을 할 때 처음 사용자가 웹브라우저를 통해 서비스 서버에 접속하는데 이르기까지의 중간단계에서 진행되는 부분이 얼마나 중요한지 생각을 하지 않는다. 물론 DNS 서비스를 따로 구매해서 사용하기 때문에 해당 DNS 업체가 다 알아서 관리할 것이라고 믿고(?) 자기네들의 안방(?)인 서비스 서버 쪽에만 집중하는 것일지도 모르겠다. 하지만 많은 DNS 서비스를 제공하는 업체들이 영세하고 DNS 서비스보다는 서버 호스팅 등의 사업을 겸해서 진행하면서 DNS 서비스는 부가 서비스 식으로 제공하는 경우가 많기 때문에 DNS 서비스 자체에 보안이나 성능 개선에 신경을 쓰는 경우가 그렇게 많지 않은 것이 현실이다. 하지만 이번 사고를 통해서, 그리고 미국에서 있었던 보안 사고 등을 통해서 확인할 수 있듯 도메인과 DNS는 인터넷 서비스가 메인이 되는 지금의 시대에 있어서 무척이나 중요한 요소이며 신경을 써야 할 요소다.

일단 많은 기업들이 자사의 인터넷 서비스에 대해서 DNS를 도메인을 구매한 서비스 업체에서 제공하는 DNS로 이용하고 있다. 가비아나 카페24, 그 외에 많은 국내의 도메인 제공 업체들이 도메인 구매 시 기본적으로 DNS를 함께 제공하고 있는 것이 사실이다. DNS는 이른바 서비스로 제공해준다는 것이다. 물론 DNS만 전문적으로 제공하는 업체들도 있다(국내에는 DNSEver가 대표적인 업체이며 HydraDNS 서비스도 있다. 또 몇몇 도메인 제공 업체들이 DNS 서비스를 유로로 제공하는 경우도 있기도 하다). DNS를 전문적으로 제공하는 업체들은 그나마 DNS 서비스에 대한 보안을 나름 신경을 써서 구축을 해둔다. 하지만 다수의 도메인과 DNS를 함꼐 제공하는 업체들은 DNS 서비스의 성능이나 보안이 그렇게 좋은 편은 아니다. DNS 서비스는 생각보다 시스템 내부가 복잡하고 손이 많이 가는 규모가 나름 큰 서비스인데 많은 도메인 제공 업체들은 개인 도메인이 사용할 수 있는 수준의 DNS만 제공하는 경우가 있어서 그 수준에 맞는 성능과 보안을 제공한다. 그러다보니 기업 서비스에서 보안은 무엇보다도 중요한데 그 부분이 간과되고 있는 것이 현실이다.

그리고 나름 규모가 있는 서비스를 제공하는 기업이나 대기업들은 자체적으로 DNS를 만들어서 사용한다. 이런 경우에는 DNS에 대한 성능이나 보안은 나름 확보를 한다. 하지만 도메인은 그렇지 못하다. DNS 서비스는 자체적으로 구축할 수 있어도 도메인 구입 및 관리까지는 자체적으로 할 수 없다. 도메인은 국내의 경우 가비아나 카페24 등에서 KISA에서 인정 받아서 도메인 구매 및 관리를 대행한다. 해외에서는 Whois가 대표적인 도메인 구매 및 관리 대행 서비스다. 국내에 많은 도메인 제공 서비스들은 대부분이 가비아나 카페24에서 제공하는 API를 이용하여 서비스를 재판매하는 리셀러들이다(엄밀히 따지면 해외의 Whois 역시 리셀러로 Reseller Club이라는 서비스에서 리셀링을 해서 제공한다). 즉, 도메인 관리 자체는 어쩔 수 없이 도메인 서비스를 이용해야 하는 상황이다. 그러다보면 도메인 서비스 접속을 위한 ID와 비밀번호 관리가 무척이나 중요하고 그 안에 연결되어 있는 관리자 정보(이메일 등)에 대한 관리가 무척이나 중요하다. 이번 아시아나 항공 홈페이지 해킹 사고도 서버 자체의 해킹이 아닌 ID, 비밀번호 조화 과정 중 임시 비밀번호의 발급 및 전달 과정에서(보통 이메일로 전달이 된다) 해당 이메일을 해커가 가로채서 접속하고 서버의 주소(IP주소)를 변경함으로 야기된 상황이다. 이메일은 보통 암호화되지 않고 평문으로 전달되기 때문에 중간에 가로채면 다 보이는 문제점이 있다. 그 다음에 아마도 아시아나 항공 홈페이지 도메인에 연결되어 있는 네임서버를 해커들이 운영하는 네임서버로 바꿨을 것이다(이렇게 되면 DNS 서비스에서 아무리 보안을 잘해도 무용지물이 된다. 해당 도메인에 대해 접속하는 네임서버가 자기네들 DNS로 오지 않기 때문이다). 그 안에서 자기네들의 서버로 연결시켰을 가능성이 높다. 도메인 및 DNS의 연결 구조를 알면 얼추 유추가 가능한 방식이다.

이제는 도메인과 DNS에도 신경을 써야 할 때

하고 싶은 얘기는 이거다. 서비스 관리자는 서비스 서버와 그 내부 인프라만 생각하는 경향이 있는데 이제는 그것만이 전부가 아닌 DNS도 신경써야 하고 도메인 관리도 신경을 써야 하는 상황이 왔다는 것이다. 실제로 파밍의 경우 도메인 이름이 비슷하기는 하지만 차이가 있다. 예를 들어 naver.com을 navar.com, never.com 등으로 naver.com과 비슷하게 보이도록 도메인을 만들고 사이트를 비슷하게 꾸며서 유인을 한다. 하지만 도메인 이름을 자세히 보면 이게 아니다라는 것을 알 수 있다. 요즘 구글에서 한참 얘기하고 있는 HTTPS의 안전 표시도 나름 한몫 할 수 있을지도 모르고(그런데 이번에 페이팔 사태를 보면 꼭 그럴꺼 같지도 않다. 이 얘기는 다음 포스트에 ^^). 하지만 아시아나 항공 홈페이지 해킹 사고처럼 원래의 주소 자체가 해킹을 당해 내부의 주소가 변경되었다면 얘기는 달라진다. 일반 사용자들은 주소가 동일하기 때문에 의심을 거의 하지 않는다. 이번에는 해커가 별다른 행위를 하지 않고 메시지를 전달하는 수준으로 그쳤지만 만약 아시아나 항공 홈페이지와 거의 흡사하게 만들고 거기에 ID, 비밀번호를 넣는 부분까지 넣었다고 한다면 사용자는 어지간해서는 그냥 ID와 비밀번호를 해커에게 강탈당하는 상황이 오게 된다. 도메인 및 DNS의 해킹과 파밍의 연속 공격에는 어지간히 의심을 잘하는 사람들도 왠만하면 속을 수 밖에 없는 상황이 된다는 것이다. 이것은 결국 서비스 자체가 해킹당하는 것과 마찬가지의 피해를 입게 된다. 즉, 이제는 도메인과 DNS 관리에 신경을 써야 하는 상황이라는 얘기다.

그리고 보안 업체들도 단순히 서비스 서버 보안에만 집중하지 말고 도메인 관리와 DNS 관리에 대한 보안 방법을 연구해서 서비스나 솔루션으로 내놓을 필요가 있다. 아니면 서비스 관리자들은 DNS나 도메인 관리를 전문적으로 보안까지 포함해서 제공해주는 업체를 찾을 필요가 있다. 아예 없는 것이 아니기에 말이다(아카마이도 DNS 보안 얘기를 하고 있고 위에서 언급한 HydraDNS도 DNS 및 도메인 관리 및 보안 서비스를 함께 제공하고 있다). 그리고 언론에서도 단순히 서비스 서버 해킹, 개인정보 유출과 같은 보안 사고에만 집중할 것이 아니라 이런 도메인이나 DNS의 관리, 특히 보안에 대해서 좀 심층적인 기사들이 나와줬으면 하는 바람이다.

(페이팔에 대한 내용은 다음 포스팅에서 얘기하도록 하자)