아시아나 항공 홈페이지 해킹

2017년 2월 20일 새벽 아시아나 항공 홈페이지가 핵티비즘 공격을 받아 다운되었다.

아시아나 항공은 자체 서버가 아닌 DNS 서버를 관리하는 외주 호스팅 업체가 공격 받았다고 주장한다.

도메인에 설정된 네임 서버 정보를 임의로 변경하여 홈페이지 변조 뿐 아니라, 도메인으로 운영 중인

모든 서비스가 중단되는 피해를 입었다. 고객의 개인정보는 유출되지 않았지만, 도메인을 해외 IP로

변조시킨 DNS 서버 공격으로 6시간동안 변조된 홈페이지가 사용자들에게 노출되어

정상 서비스를 제공하지 못했다.

 

-- 핵티비즘 공격 --

해킹과 행동주의의 합성어로, 정치적 해킹을 뜻한다.

 

-- DNS --

호스트 네임( www.naver.com / www.google.co.kr )을 해당하는 IP 주소로 변환하는 것

--  DNS의 질의 방법 --

반복적 질의

1. 로컬 DNS에게 원하는 호스트의 IP 주소를 요청

( 로컬은 해당 정보를 가지고 있지 않다면 루트 DNS 서버에게 요청받은 IP 물어봄 )

2. 루트 DNS는 최상위 DNS 서버( TLD )가 알것이라고 로컬 DNS에게 알려줌

3. 로컬 DNS는 다시 최상위 DNS 서버에게 요청( 최상위 DNS 서버는 책임 DNS 서버가 알것이라고 알려줌 )

4. 로컬 DNS는 다시 책임 DNS 서버에게 요청( 해당 IP 주소 알려줌 )

5. 로컬 DNS는 받아온 정보를 사용자에게 알려주고 자신의 DNS 레코드에 저장

( 똑같은 요청에 대한 신속한 처리를 위해 )

 

재귀적 질의

1. 로컬 DNS에게 원하는 호스트의 IP 주소를 요청

( 로컬은 해당 정보를 가지고 있지 않다면 루트 DNS 서버에게 요청받은 IP 물어봄 )

2. 루트 DNS는 최상위 DNS 서버( TLD )에게 요청받은 IP 물어봄

3. 최상위 DNS 서버는 책임 DNS 서버에게 물어봄

4. 책임 DNS 서버가 최상위 DNS 서버에게 IP 알려줌

5. 최상위 DNS 서버가 루트 DNS 서버에게 IP 알려줌

6. 루트 DNS 서버가 로컬 DNS 서버에게 IP 알려줌

7. 로컬 DNS 서버는 사용자에게 해당 IP를 알려주고 자신의 DNS 레코드에 저장

( 똑같은 요청에 대한 신속한 처리를 위해 )

 

-- DNS Spoofing --

희생자에게 전달되는 DNS 응답을 위조하거나 DNS 서버에 위조된 IP 주소가 저장되게 하여

희생자가 의도하지 않은 주소로 접속하게 하는 공격

 -> UDP Connectionless 특성이 가지는 취약점을 이용

-> 연결 상태에 있지 않으므로 DNS 질의에 대한 결과를 요청할 때 부여한 Transaction ID와

목적지 주소, 포트만 일치하면 먼저 들어온 응답을 신뢰한다는 특성 이용

-- 연결형 / 비연결형 차이 --

연결형( Connection )

송신자와 수신자 사이의 논리적인 연결을 확립하고 데이터를 전송하는 방법

패킷들의 순서가 맞지 않을 위험이 적고 오류 발생 시 재전송을 하여 신뢰성 있는 전송

ex. TCP

 

비연결형( Connectionless )

송신자와 수신자 사이에 연결을 확립하지 않고 데이터를 전송하는 방법

오류 확인을 하지 못하므로 신뢰성 없는 전송, 연결확립에 걸리는 시간이 없어 전송 속도 빠름

ex. IP, UDP