이스라엘의 보안 연구원들이 발견한 닉슨즈어택 취약점, 주요 소프트웨어와 서비스에 영향 있어
DNS 통한 트래픽 증폭 공격 가능해...최대 1620배까지 부풀려 표적 서버 마비시킬 수 있어

[보안뉴스 문가용 기자] 일부 대형 DNS 서비스 및 소프트웨어 제공 업체들이 심각한 DNS 관련 취약점을 해결하기 위해 팔을 걷어붙였다. 익스플로잇에 성공하게 되면 꽤나 위중한 디도스 공격을 할 수 있게 해주는 취약점이라고 한다.


이 취약점은 현재 닉슨즈어택(NXNSAttack)이라고 불리고 있으며, 이스라엘의 텔아비브 대학과 헤르츨리야 IDC 대학의 연구원들이 처음 발견한 것으로 알려져 있다. 닉슨즈어택 취약점은 DNS 프로토콜 내에 존재하며, 모든 재귀적 DNS 리졸버(recursive DNS　resolver)에서 발견되고 있다.

엔엘넷 랩스(NLnet Labs)에서 만든 언바운드(Unbound), 바인드(BIND), 놋 리졸버(Knot Resolver), 파워DNS(PowerDNS)와 같은 DNS 소프트웨어들과, 구글, 마이크로소프트, 클라우드플레어, 아마존, 오라클, 베리사인, IBM, 국제인터넷주소관리기구가 제공하는 DNS 서비스들이 이 취약점의 영향을 받는다.

이 소식에 취약점의 영향권 아래 있는 조직들(DNS 서비스 제공자나 DNS 소프트웨어 개발사)은 서둘러 패치를 진행했다. 하지만 독립적으로 DNS 리졸버를 운영하고 있던 모든 조직들이라면 각자 업데이트 방법을 찾아내야 한다.

현재 닉슨즈어택 취약점에 대한 CVE 번호는 벤더들마다 조금씩 다르게 부여하고 있다. 정리하자면 다음과 같다.
1) 바인드 : CVE-2020-8616
2) 언바운드 : CVE-2020-12662
3) 놋 리졸버 : CVE-2020-12667
4) 파워DNS : CVE-2020-10995

디도스 공격을 꾀하는 공격자들은 DNS 증폭(DNS amplification)이라는 방식을 사용해 작은 요청문을 대형 페이로드로 전환시킨다. 이를 통해 공격 표적이 된 서버를 마비시키는 것이다. 디도스 공격자 입장에서는 효율이 매우 높은 공격으로 알려져 있고, 따라서 DNS 생태계에서는 이런 공격을 막기 위해 패치 개발과 적용을 부지런히 하는 편이다.

이번에 발견된 닉슨즈어택 취약점의 경우도 원격의 공격자가 네트워크 트래픽을 증폭시킬 수 있다는 점에서 기존 DNS 증폭 공격과 비슷한 결과를 초래할 수 있다고 한다. 공격자가 취약한 리졸버에 특정 DNS 요청문을 전송하면, 이 리졸버가 피해자의 DNS 서버를 향해 다량의 쿼리를 보내게 된다. 원 요청문에 비해 최대 1620배 증폭된 페이로드를 전송하는 게 가능하다고 한다.

이스라엘의 연구원들은 이 문제가 상당히 심각한 상황을 초래할 수 있다고 보고 닉슨즈어택 전용 웹사이트를 만들어 운영 중에 있다. 이 사이트(http://www.nxnsattack.com/)에 접속하면 닉슨즈어택에 관한 세부 기술 내용이 포함된 보고서도 다운로드 받을 수 있다.

놋 리졸버의 개발사인 CZ.NIC도 블로그 게시글(https://en.blog.nic.cz/2020/05/19/nxnsattack-upgrade-resolvers-to-stop-new-kind-of-random-subdomain-attack/)을 통해 닉슨즈공격 취약점이 어떤 식으로 작동하는지 공개했다.

3줄 요약
1. DNS 프로토콜에서 닉슨즈어택이라는 심각한 취약점 발견됨.
2. 이에 DNS 소프트웨어와 서비스 제공 업체들, 일제히 패치 시작.
3. 독자적으로 DNS 리졸버 운영하고 있다면, 위 연구 보고서를 통해 독자적으로 해결해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>