2007년 07월 24일

논란이 되고 있는 ISP 의 Botnet 제거 방법

타임워너/AOL 산하의 브로드밴드 서비스 회사인 COX 에서 봇넷 제거를 위해 DNS 하이재킹 기법을 사용하고 있어 논란이 불거지고 있습니다.

COX 는 자사 고객이 IRC 서버에 접속하려는 시도가 있으면, 원래 서버인 'aaa.bbb.ccc.ddd' 가 아닌 자사의 decoy IRC 서버로 접속하게 하여, 악성코드를 자동으로 치료한 후 원래의 IRC 서버로 접속하게 한다고 합니다.

(작동 화면 예제)


국내 기업이나 ISP 들도 자주 활용하는 기법이죠. 기업 내 사용자가 패치가 안된 상태로 웹 사이트에 접속을 시도하면 자동으로 인트라넷 사이트로 접속하여 패치가 적용되도록 하는 경우, ISP 의 접속 프로그램이 안깔려있는 컴퓨터가 인터넷 접속을 시도하면 미리 마련된 웹 페이지로 접속하여 설치를 유도하는 경우 등을 경험해보셨을 겁니다 (솔루션에 따라 기술적 매커니즘은 다름).

우리에겐 너무나 친숙해서 별 감흥이 없는 주제인데, COX 의 DNS 하이재킹을 두고 네트워크 전문가들 사이에서 큰 논란이 벌어졌습니다.

논의되고 있는 내용을 요약하면 다음과 같은 3가지 종류의 비판이 주를 이루고 있습니다.
1. "의도야 어떻든 간에 DNS 프로토콜의 정상적인 매커니즘을 방해하는 DNS Hijacking 기법을 사용하는 것이 정당한가?"
2. "이 기법을 악용하여 개인의 프라이버시 침해가 가속화되는건 아닌가?"
3. "COX 의 방해로 인해 다른 IRC 서비스 회사가 정상적인 서비스를 못하게 되는거 아닌가?"

참고 자료
1. http://blog.wired.com/27bstroke6/2007/07/isp-seen-breaki.html
2. http://it.slashdot.org/it/07/07/23/2140208.shtml

by 헐랭이 | 2007/07/24 12:36 | 보안 정보 | 트랙백 | 덧글(3)

트랙백 주소 : http://swbae.egloos.com/tb/1607543
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented by 구르미 at 2007/07/25 19:09
작년 모 세미나에서 KISA 관계자가 IRC Botnet 의 대응 방안으로 위와 유사한 기법을 소개한 것이 기억이 납니다. (졸면서 들어서. ㅋㅋ잘못된 것일 수 있음)

내용인즉, KISA에 접수된 IRC Botnet 공격서버 목록을 ISP측에 협조 공문을 보내어, ISP 측에서
피해서버(victim)가 공격서버가 아닌 KISA가 마련한 서버에 접근도록 유도하는 방법으로 요약할 수 있겠네요.
(KISA 측으로 접근한 피해서버(victim)의 패턴을 분석하는 것으로 알고 있는데? 맞나요?)

이러한 것이 사생활 침해에 어떤 영향을 끼칠지 굼금하군요.

위와 같은 정책을 보안상 시행하고 있다면, 사용자에게 공고 해야할 의무는 없는 것인가요?
흠 개인적으로 궁금했던 주제인데 위와 같은 글이 포스팅 되어 있어 감히 글을 남깁니다.ㅋㅋ
좋은 하루 되세요.
Commented by 광개토대마왕 at 2007/07/27 09:41
구르미 님이 말씀하신것은 DNS Sinkhole기법을 말씀하시는것 같습니다. COX에서 실행하는 것과 비슷한 기법입니다. 궁금하신것들은 DNS Blackhole 이나 DNS Sinkhole에 대해 찾아 보시면 될듯 합니다.
Commented by gold0100 at 2007/08/02 13:14
KISA 의 DNS Sinkhole 은 가입자가 악성 도메인 접속 시도시 KISA가 마련한 서버로 redirect 시키는 방법으로 위 내용과 다른 부분은 1.KISA 가 확인한 악성 도메인 목록에 접속하려 하는 경우에만 redirect됨, 2.이때 사용자 PC에는 어떠한 변화도 없음(.remove 등 명령 수행하지 않음) 입니다.

:         :

:

비공개 덧글

◀ 이전 페이지          다음 페이지 ▶