최근 언론을 통해 발표된 루트 DNS 서버에 대한 해킹 시도는 미국방부 산하 기관을 타겟으로 한 것이 아닌가 싶습니다. 지난 7일자 연합뉴스가 " 한국이 국제 해커들의 경유지?", 8일자 아이뉴스24가 "루트서버 공격에 좀비PC 수백만대 동원" 라는 제목으로 발표한 자료에 따르면 최상위 루트 DNS 서버에 대한 분산형 서비스 방해 공격(DDoS)이 한국을 거점으로 일어났다는 사실을 집중적으로 다루고 있습니다.
아쉽게도 보도자료에선 지난 6일에 3개의 루트 DNS 서버가 집중적으로 공격 당했다는 표현만 나와있을 뿐 구체적으로 어떤 서버가 공격당했는지에 대해선 다루고 있지 않은데요, RIPE net 에서 제공하는 DNS 서버 모니터링 서비스인 DNSMON 을 통해 당시 상황을 어느 정도 유추해볼 수 있습니다.
미국과의 시차를 고려해 지난 5일자와 6일자의 운영 상황을 살펴보면 아래와 같습니다.
1) 5일자 통계 자료
2) 6일자 통계 자료
직접 링크를 누르기 귀찮아하시는 분들을 위해 도표를 일부 발췌해서 보여드리면 아래와 같습니다.
< 정상적인 K 루트 서버 운영 현황 통계 >
대부분의 루트 서버가 K 루트 서버와 동일한 패턴을 보였습니다.
< 공격당시 G 루트 서버 운영 현황 통계 >
< 공격당시 L 루트 서버 운영 현황 통계 >
붉은 색에 가까울수록 요청이 많아서 제대로 요청을 처리하지 못하는 상황을 나타냅니다. K 서버를 비롯한 여타 root DNS 서버는 한가한 모습을 보여주는 반면, G 서버와 L 서버는 약 12시간 가까이 집중적으로 린치를 당하고 있습니다. 물론 초기 몇 시간 이후 점점 상황이 나아지는 모습을 보여주고 있긴 합니다만... G 서버는 미국방부(DoD) 산하의 root DNS 서버, L 서버는 ICANN 산하의 root DNS 서버입니다. 특히 ICANN 은 인터넷에서 매우 중요한 역할을 맡고 있죠.저 정도 상황이었으면 아마 미국방부 직원들은 낮 12시~2시 사이에는 인터넷을 못해서 업무가 마비되지 않았을까 싶네요.
저 12 시간 동안 중국 해커들은 미국방부 시스템에 대해 무엇을 했을까요? DNS 서버를 마비시킨 후 벌일 수 있는 해킹 작업의 종류는 상당히 많습니다. 평소라면 거의 뚫을 수 없는 시스템에 대해 Spoofing, Hijacking, Sniffing 을 통해 제어 권한을 얻게 되죠. 중국 해커들은 자신들이 보유한 Botnet 의 위치를 미국에 노출시키는 위험을 감수하고서라도 반드시 뚫어야 하는 어떤 시스템이 있었을 것입니다. 이렇게 Botnet 의 위치가 노출된다는 것은 해당 Botnet 을 포기해야 한다는 것을 의미하기 때문에, 해킹 대상이 된 시스템은 중국 해커들에게 매우 소중한 어떤 정보를 담고 있었다고 유추할 수 있습니다.
이 정보는 무엇일까요?
아쉽게도 보도자료에선 지난 6일에 3개의 루트 DNS 서버가 집중적으로 공격 당했다는 표현만 나와있을 뿐 구체적으로 어떤 서버가 공격당했는지에 대해선 다루고 있지 않은데요, RIPE net 에서 제공하는 DNS 서버 모니터링 서비스인 DNSMON 을 통해 당시 상황을 어느 정도 유추해볼 수 있습니다.
미국과의 시차를 고려해 지난 5일자와 6일자의 운영 상황을 살펴보면 아래와 같습니다.
1) 5일자 통계 자료
2) 6일자 통계 자료
직접 링크를 누르기 귀찮아하시는 분들을 위해 도표를 일부 발췌해서 보여드리면 아래와 같습니다.
< 정상적인 K 루트 서버 운영 현황 통계 >
대부분의 루트 서버가 K 루트 서버와 동일한 패턴을 보였습니다.
< 공격당시 G 루트 서버 운영 현황 통계 >
< 공격당시 L 루트 서버 운영 현황 통계 >
붉은 색에 가까울수록 요청이 많아서 제대로 요청을 처리하지 못하는 상황을 나타냅니다. K 서버를 비롯한 여타 root DNS 서버는 한가한 모습을 보여주는 반면, G 서버와 L 서버는 약 12시간 가까이 집중적으로 린치를 당하고 있습니다. 물론 초기 몇 시간 이후 점점 상황이 나아지는 모습을 보여주고 있긴 합니다만... G 서버는 미국방부(DoD) 산하의 root DNS 서버, L 서버는 ICANN 산하의 root DNS 서버입니다. 특히 ICANN 은 인터넷에서 매우 중요한 역할을 맡고 있죠.저 정도 상황이었으면 아마 미국방부 직원들은 낮 12시~2시 사이에는 인터넷을 못해서 업무가 마비되지 않았을까 싶네요.
저 12 시간 동안 중국 해커들은 미국방부 시스템에 대해 무엇을 했을까요? DNS 서버를 마비시킨 후 벌일 수 있는 해킹 작업의 종류는 상당히 많습니다. 평소라면 거의 뚫을 수 없는 시스템에 대해 Spoofing, Hijacking, Sniffing 을 통해 제어 권한을 얻게 되죠. 중국 해커들은 자신들이 보유한 Botnet 의 위치를 미국에 노출시키는 위험을 감수하고서라도 반드시 뚫어야 하는 어떤 시스템이 있었을 것입니다. 이렇게 Botnet 의 위치가 노출된다는 것은 해당 Botnet 을 포기해야 한다는 것을 의미하기 때문에, 해킹 대상이 된 시스템은 중국 해커들에게 매우 소중한 어떤 정보를 담고 있었다고 유추할 수 있습니다.
이 정보는 무엇일까요?
덧글
DNS서버가 살아있는 것과 막혀있는 것이 차이가 큰가보네요..?
coderant 2007/02/09 17:57 # 답글
Botnet를 노출해가면서 얻고자 했던것이 무엇이었을까요? root DNS 서버 공격을 개인이 주도하기에는 넘 힘들거라 생각됩니다. 조직적으로 움직이지 않으면. 암튼 뭔가 큰거를 시도하려고 했던 것은 사실인 것 같습니다. 정보의 부제란 참으로 힘들군요
주세홍 2007/02/12 14:46 # 삭제 답글
swbae님께서 분석한 내용을 기반으로 했을때,크게 3가지 시나리오가 생각나네요..
첫째, 정부기관 단위 시스템의 침해 시나리오..
상위 DNS를 스푸핑하여 정부기관의 단위 시스템들의 장악을 시도했을 수 있을 것 같습니다..물론 사전에 단위시스템에 어느정도 사전 작업(?)을 해 놓았겠지요..이 경우 치밀한 사전 준비와 조직적인 시나리오 준비를 했을 것입니다..그런데, 이 경우 사전에 계획이 노출될 확률이 높지요..그래서 첫번째 시나리오는 가능성이 희박하다고 생각합니다..그리고, 이런 시나리오를 예방하기 위해 국방부나 정부기관 네트워크에서 자체 DNS 서버를 두고 DNS 쿼리가 외부로 나가지 않게 네트워크를 구성했을 가능성이 클 것 같기에 첫번째 시나리오는 성공 확률이 더 희박할 것 같습니다..물론 전체 네트워크가 다 그렇치는 않겠지만요..
둘째, 정부기관 사용자들에 대한 침해 시나리오..
정부기관 사용자들(공무원이나 업무사용자들)에 대해서 PC레벨의 침해도 가능했을 것 같습니다..제가 생각하기에 가능성이 큰 부분인데, 일단 사용자들에게 좋은 정보(?)가 많이 있을 것이고, 불특정다수 보다는 몇몇 특수인들을 타겟으로 했을 수 있을 것 같습니다..이 경우도 사전 준비가 많이 필요했을 텐데, 아마 사전 발각 가능성은 훨씬 적지 않을까 싶네요..물론 VPN등의 안전한 환경이 있을텐데, 뭔가가 가능했을 통제공동이 있을 수 있기 때문에 이부분이 의심이 됩니다..
셋째, 단순한 키디의 장난일 시나리오..
최근 중국신문에서 한국을 대상으로 게임아이디 추출 트로이얀을 다량으로 뿌린 키디가 잡혔다는 기사를 봤습니다..중국의 조직적인 세력이나 정부의 비호아래 타국의 정보망에 대한 분석 및 전자전 준비 가능성이 농후하지만, 아직도 중국은 게임에 목마른 키디나 갱들의 포션이 더 큰 것 같습니다..(물론 표면적으로요..)이 경우에는 특별히 걱정할 것이 없어보이는데, 그래도 공격자는 뭔가 목표를 하고 공격을 했을 것이고, 목표를 달성했는지는 그들만이 알 수 있겠죠..
아..간만에 음모론을 생각하니 머리가 빠게질 것 같습니다..ㅡㅡ;;