[디지털데일리 김보민기자] 주요국 보안 당국이 네트워크 방어 취약점을 악용하는 '패스트 플럭스(Fast Flux)' 기술을 주의해야 한다고 경고했다.

12일 보안 업계에 따르면, 미국 사이버보안·인프라안보국(CISA)는 이달 3일 패스트 플럭스에 대한 사이버보안 권고문을 발표했다. 이번 권고문은 미국 CISA·국가안보국(NSA)·연방수사국(FBI), 호주 사이버보안센터(ACSC), 캐나다 사이버보안센터(CCCS), 뉴질랜드 국가사이버보안센터(NCSC-NZ)가 공동으로 조사한 내용을 담았다.

조사에 따르면, 패스트 플럭스는 도메인네임시스템(DNS)을 활용해 악성 서버 위치를 은폐하는 기술이다. 인터넷프로토콜(IP) 등 단일 도메인과 연결된 DNS 기록을 빠르게 변경해 탐지는 물론, 차단까지 어렵게 만드는 것이 특징이다.

해커들은 악성코드를 유포하고, 명령제어(C2) 서버를 숨기거나 피싱 웹사이트를 호스팅하기 위해 패스트 플럭스를 사용하고 있다. 차단 영역을 촘촘하게 만들더라도, 지속적으로 DNS 기록을 변경해 공격을 가하고 있는 셈이다. CISA는 "현재 많은 네트워크는 패스트 플럭스를 탐지하고 차단하는 과정에서 방어 체계에 허점이 있다"며 "이 기법은 국가 안보에 심각한 위협을 가하며, 사이버 공격자들이 탐지를 회피하도록 하고 있다"고 진단했다.

권고문에 따르면 공격자는 패스트 플럭스 기술을 두 가지 방법으로 구현하고 있다. 대표적으로 '단일 플럭스' 방식이 있다. 단일 플럭스는 하나의 도메인을 여러 IP 주소에 연결해, IP 주소 하나가 차단되더라도 다른 IP를 통해 해당 도메인에 계속 접근할 수 있도록 보장하는 방식이다. 특정 피싱 IP가 차단되더라도, 다른 IP로 재생이 가능하다는 의미다. 권고문은 "콘텐츠 전송 네트워크 등 동작 호스팅 환경에서는 합법적인 목적으로 사용될 수도 있다"고 설명했다.

두 번째 방식으로는 '이중 플럭스'가 있다. 이 기법은 DNS 서버 자체를 주기적으로 변경하는 방식을 취한다. 네임서버 등 DNS 기록을 모두 사용하는 것이 특징이다. 두 기술 모두 손상된 호스트를 사용하는데, 이 경우 인터넷 전반에 걸쳐 프록시 또는 중계지점 역할을 하는 봇넷 형태로 나타나기 때문에 네트워크 방어자가 악성 트래픽을 식별하고 인프라를 차단한 뒤 법적 조치를 취하기 어려워진다.

권고문은 패스트 플럭스가 봇넷을 빠르게 순환하고 복원하기 때문에 악성 서비스를 중단하기가 어렵다고 강조했다. 아울러 IP 차단을 무력화할 뿐만 아니라, DNS 자체를 바꾸기 때문에 익명성이 보장돼 공격자가 누군지를 특정하기 어렵다고 부연했다.

한편 권고문은 기업 등 조직이 패스트 플럭스를 탐지하기 위해 사이버보안 체계를 강화하고, PDNS 등 서비스를 사용하도록 권장했다. 아울러 DNS 및 IP 차단, 싱크홀링, 모니터링, 로깅 등 방어 기능을 구현하는 데 집중해야 한다고 밝혔다.