[News] 마스터카드 DNS 설정 오류, 5년간 미발견 상태로 방치

 

MasterCard DNS Error Went Unnoticed for Years – Krebs on Security

 

주요 소식 요약:

• 마스터카드의 DNS 서버 설정 오류가 2020년 6월부터 2025년 1월까지 약 5년간 지속
• 보안 연구원이 300달러를 들여 취약점이 있는 도메인(akam.ne) 선점하여 사이버 범죄자의 악용 방지
• 마스터카드는 보안 위험이 없었다고 주장했으나, 전문가들은 이메일 탈취 및 인증서 오용 등 심각한 보안 위협 가능성 지적

 

보안 연구원의 300달러 도메인 등록으로 드러난 글로벌 결제 기업의 치명적 보안 허점

 

결제 카드 기업 마스터카드가 최근 도메인 네임 서버 설정의 심각한 오류를 수정했습니다. 이 오류로 인해 누구나 미사용 도메인을 등록하여 기업의 인터넷 트래픽을 가로채거나 우회할 수 있었습니다.

 

2020년 6월 30일부터 2025년 1월 14일까지, mastercard.com 네트워크의 일부 트래픽을 처리하는 마스터카드의 핵심 인터넷 서버 중 하나가 잘못된 이름으로 설정되어 있었습니다. mastercard.com은 인터넷 인프라 제공업체 Akamai의 5개 공유 DNS 서버에 의존하고 있습니다. [DNS는 웹사이트 이름을 컴퓨터가 처리하기 쉬운 숫자 형태의 인터넷 주소로 변환하는 일종의 인터넷 전화번호부 역할을 합니다]

 

모든 Akamai DNS 서버 이름은 "akam.net"으로 끝나야 하지만, 그중 하나가 실수로 "akam.ne"로 잘못 설정되어 있었습니다.

이 작지만 잠재적으로 치명적인 오타는 최근 보안 컨설팅 기업 Seralys의 설립자 Philippe Caturegli에 의해 발견되었습니다. Caturegli는 서아프리카 국가 니제르의 최상위 도메인 관리 기관이 관할하는 akam.ne 도메인이 아직 등록되지 않았을 것이라고 예상했습니다.

 

Caturegli는 니제르 등록기관을 통해 도메인을 확보하는 데 300달러와 3개월의 시간이 걸렸다고 밝혔습니다. akam.ne에 DNS 서버를 활성화한 후, 그는 전 세계에서 하루 수십만 건의 DNS 요청이 자신의 서버로 들어오는 것을 확인했습니다. 마스터카드가 유일한 피해 기업은 아니었지만, 가장 큰 규모의 조직이었습니다.

 

그가 새로운 도메인에 이메일 서버를 활성화했다면, mastercard.com이나 다른 영향받는 도메인으로 향하는 이메일들을 수신할 수 있었을 것입니다. 이를 악용했다면, 영향받는 웹사이트의 트래픽을 수용하고 중계할 수 있는 웹사이트 암호화 인증서(SSL/TLS 인증서)를 얻을 수도 있었습니다. 심지어 영향받는 기업 직원들의 Microsoft Windows 인증 정보도 수동적으로 수신할 수 있었을 것입니다.

 

하지만 연구원은 이러한 시도를 하지 않았습니다. 대신 이 저자를 참조하여 도메인이 마스터카드의 것이라고 알렸습니다. 몇 시간 후 마스터카드는 실수를 인정했지만, 운영 보안에 실제 위협은 없었다고 밝혔습니다.

 

"우리는 이 문제를 조사했으며 시스템에 위험은 없었습니다"라고 마스터카드 대변인은 말했습니다. "이 오타는 이제 수정되었습니다."

 

한편 Caturegli는 Bugcrowd를 통해 요청을 받았습니다. Bugcrowd는 취약점을 발견하고 비공개로 업체와 협력하여 수정하는 보안 연구원들에게 금전적 보상과 인정을 제공하는 프로그램입니다. 메시지는 그가 akam.ne 도메인을 확보한 후 LinkedIn에 마스터카드 DNS 오류를 공개한 것이 윤리적 보안 관행에 맞지 않으며, 마스터카드가 게시물 삭제를 요청했다고 전했습니다.

 

Caturegli는 Bugcrowd 계정은 있지만 프로그램을 통해 제출한 적이 없으며, 이 문제를 마스터카드에 직접 보고했다고 말했습니다.

"나는 Bugcrowd를 통해 이 문제를 공개하지 않았습니다"라고 Caturegli는 답했습니다. "공개 발표 전에, 우리는 마스터카드나 고객에 대한 위험을 완화하기 위해 자비로 영향받는 도메인을 등록하여 악용을 방지했습니다. 이는 우리의 윤리적 보안 관행과 책임있는 공개에 대한 헌신을 보여줍니다."

 

대부분의 조직은 최소 두 개의 권한있는 도메인 네임 서버를 가지고 있지만, 일부는 너무 많은 DNS 요청을 처리해야 해서 추가 DNS 서버 도메인으로 부하를 분산해야 합니다. 마스터카드의 경우 5개이므로, 공격자가 그중 하나의 도메인만 장악해도 전체 DNS 요청의 1/5 정도만 볼 수 있다고 생각할 수 있습니다.

 

하지만 Caturegli는 많은 인터넷 사용자들이 Cloudflare와 Google 같은 공개 트래픽 포워더나 DNS 리졸버에 어느 정도 의존하고 있다고 지적했습니다.

"따라서 이러한 리졸버 중 하나가 우리의 네임서버를 조회하고 결과를 캐시하기만 하면 됩니다"라고 Caturegli는 말했습니다. 긴 TTL(네트워크에서 데이터 패킷의 수명을 조정할 수 있는 설정)로 DNS 서버 레코드를 설정하면, 공격자의 감염된 대상 도메인 지시사항이 대형 클라우드 제공업체들에 의해 전파될 수 있습니다.

 

"긴 TTL로, 트래픽의 1/5보다 훨씬 더 많은 부분을 우회할 수 있습니다"라고 그는 말했습니다.

연구원은 신용카드 대기업이 그에게 감사를 표하거나, 최소한 도메인 구매 비용을 보상해주기를 바랐습니다.

"우리는 명백히 이 평가에 동의하지 않습니다"라고 Caturegli는 마스터카드의 공식 성명에 대해 LinkedIn 후속 게시물에서 작성했습니다. "하지만 여러분이 판단하도록 하겠습니다 - 여기 문제를 보고하기 전에 기록한 DNS 조회 기록이 있습니다."

 

Caturegli가 발견한 잘못 구성된 DNS 서버는 마스터카드의 서브도메인 az.mastercard.com과 관련이 있었습니다. 마스터카드가 이 서브도메인을 정확히 어떻게 사용하는지는 불분명하지만, 그들의 명명 규칙은 도메인이 Microsoft의 Azure 클라우드 서비스의 프로덕션 서버에 해당한다고 시사합니다. Caturegli는 모든 도메인이 Microsoft의 인터넷 주소로 연결된다고 말했습니다.

"마스터카드처럼 되지 마세요"라고 Caturegli는 LinkedIn 게시물을 마무리했습니다. "위험을 무시하지 말고, 마케팅 팀이 보안 공개를 처리하도록 하지 마세요."

 

마지막 주목할 점: akam.ne 도메인은 이전에도 등록된 적이 있습니다 - 2016년 12월 um-i-delo@yandex.ru 이메일 주소를 사용한 누군가에 의해서입니다. 러시아 검색 거인 Yandex는 이 사용자 계정이 모스크바의 "Ivan I."의 것이라고 보고합니다. DomainTools.com의 수동 DNS 기록은 2016년부터 2018년 사이 이 도메인이 독일의 인터넷 서버에 연결되어 있었고, 2018년에 만료되었음을 보여줍니다.

이는 Caturegli의 LinkedIn 게시물에 달린 전 Cloudflare 직원의 댓글이 흥미로운데, 그는 2017년에 조직들이 AWS DNS 서버를 "awsdns-06.net" 대신 "awsdns-06.ne"로 잘못 입력했을 수 있는 유사한 오타 도메인에 대한 보고서를 공동 작성했다고 링크를 걸었습니다. DomainTools는 이 오타 도메인도 Yandex 사용자(playlotto@yandex.ru)에게 등록되어 있었고, 같은 독일 ISP - Team Internet (AS61969)에서 호스팅되었다고 보고합니다.