네트워크

BYOD·IoT 시대, DNS 인프라는 ‘안녕하신가?’

이유지

기업 내에서 BYOD(Bring Your Own Device)가 도입되고, 다양한 기기·사물이 인터넷에 연결되는 사물인터넷(Internet of Things) 시대가 도래하면서 DNS(Domain Name System) 인프라 아키텍처를 재점검해야 한다는 지적이 나오고 있다.

조직 내에서 인터넷에 연결된 엔드포인트의 수가 많지 않았던 시절에는 DNS 장애나 구성오류, 취약점 등의 문제가 심각하게 대두되지 않았다. 하지만 연결된 기기와 애플리케이션이 급증하는 요즘 환경에서는 DNS 서비스의 가용성과 성능, 보안성이 보다 민감한 화두가 되고 있다.

점점 증대되는 DNS 가용성, 성능, 보안의 중요성

DNS는 인터넷 기반 기술이자 네트워킹 인프라에서 가장 중요한 요소 가운데 하나다. 사용자가 브라우저에 입력한 도메인 네임을 IP주소로 변환해 ‘인터넷의 전화번호부’의 역할을 수행하기 때문이다. 사용자 단말은 DNS를 통해 인터넷에서 찾고자 하는 서비스나 사이트를 발견하고 접속할 수 있다.

DNS 과부하는 애플리케이션 사용 성능을 저하시킬 수 있다. 만일 DNS가 다운되면 애플리케이션은 제 기능을 수행하지 못하게 된다. 기업의 비즈니스, 브랜드 신뢰성에도 악영향을 미칠 수 있다.

트래픽이 급증하거나 공격자가 대량의 DNS 쿼리 요청을 서버로 발송해 DNS 서버에 과부하가 걸린다면 응답이 중단되고 방문자들은 웹사이트를 이용할 수 없게 된다. 때문에 DNS를 항상 가용하며 빠른 응답이 가능한 상태로 유지하는 것이 중요하다.

애버딘그룹 조사에 따르면, 조직은 데이터센터가 다운될 경우 시간당 13만8000달러의 손실이 발생한다. DNS 장애는 웹 인프라 다운타임의 41%를 차지하는데, 이같은 다운타임은 고객들에게 부정적인 영향을 미쳐 손실을 야기하고 이메일같은 기업 자원에 접속하는 직원들에게도 불편을 끼칠 수 있다.

DNS는 최근 사용자들의 웹 사용 증가로 중요성이 더욱 부각되고 있다. DNS 쿼리의 수는 매년 지속적으로 급증하고 있다. 각종 스마트기기에서 웹과 애플리케이션 사용이 증가하고 있고 클라우드 환경이 늘어남에 따라 그 증가세는 더욱 빨라질 것으로 예상되고 있다.

웹페이지상에 여러 아이콘, URL, 콘텐츠를 가져오려면 DNS를 조회해야 한다. 복잡한 사이트를 로딩하기 위해서는 수백개의 DNS 쿼리가 요구되며, 단순한 스마트폰 앱도 로딩하려면 많은 DNS 쿼리를 필요로 한다.

인터넷에서 중요한 역할을 수행하는 DNS는 공격자들의 타깃이 되기 때문에 가장 취약한 지점이기도 하다. 대표적인 DNS 대상 공격은 분산서비스거부(DDoS)이다. 이같은 공격은 DNS 서버가 장애지점이 될 때까지 플루딩 공격을 감행할 수 있다.

전통적인 DNS 인프라 한계 봉착, 확장 비용부담 증가하고 취약성 유발

전통적인 DNS 구축방법들은 여러 계층의 인프라를 필요로 한다. DNS 쿼리 폭주와 DNS DDoS 공격에 대응하기 위해 지금까지 채택해온 방법은 DNS 서버를 확장하는 것이었다.

하지만 일반 업무 운영에는 필요치 않는 DNS 서버를 늘리는 방법은 많은 비용이 발생하고, 변경을 위한 수작업을 필요로 한다. 빈번한 유지보수나 패치 작업은 또 다른 취약성을 유발한다.

대표적인 DNS 리졸버인 BIND(Berkeley Internet Naming Daemon)은 비영리기관인 ISC(Internet Systems Consortium)에 의해 진행된 오픈소스 프로젝트로, 전세계 DNS 서버의 약 80% 비중을 차지할 정도로 널리 보급돼 있다. 하지만 취약성, 패치 및 업그레이드로 인해 여러차례 대규모 유지보수를 수행해야 한다. 무료로 다운로드할 수 있지만 서버와 운영체계(OS)가 필요하며, 일반적으로 5만 RPS(Responses per Second)로만 확장할 수 있어 DNS 급증에 취약하다.

DNS 정지나 DNS 쿼리 급증에 대비하기 위해서는 근본적으로 현재의 DNS 인프라를 재평가할 필요가 있다. 앞으로 다가오는 기기의 ‘홍수’에 충분히 대비하고 처리할 수 있도록 준비해야 한다.

지연시간을 비즈니스상 용인되는 한도로 유지하면서 시스템이 처리할 수 있는 초당 최대 쿼리 수(Query Per Second, QPS)를 테스트 및 검증해야 한다. 초당 연결과 쿼리 개수에 기반해 지연시간에 대한 계획을 세워 어느 시점부터 DNS가 성능 문제의 일부로 등장하게 될지 파악해야 한다.

한 전문가는 “인터넷의 역할이 계속 확장되고 점점 더 많은 수의 기기와 사용자들이 자신의 애플리케이션에 접속하고 있는데 DNS를 간과한다면 이는 결정적인 문제가 될 것”이라며 “자신의 DNS가 점점 더 증가하는 부하를 충분히 처리할 수 있을 것이라고 단순 가정하는 것은 매우 위험한 발상이고 반드시 실패를 초래할 것”이라고 경고했다.

한편으로 DNS 쿼리 폭증에 대응하기 위해 추가 DNS 인프라를 구입하는 것보다 효율적인 방안으로 애플리케이션딜리버리컨트롤러(ADC) 활용이 제시된다.

성능과 보안성을 갖추고 있으며 엔드투엔드 DNS 딜리버리 기능이 제공되는 ADC 장비를 네트워크의 DMZ 내에 설치해 DNS 요청을 대신 처리하도록 하는 방안이다.

DNS 딜리버리 솔루션은 자원의 활용도를 최대화하는 동시에 현재 및 미래의 네트워크 아키텍처, 디바이스 및 애플리케이션을 지원하기에 충분히 민첩하고 강력한 DNS 기반을 구축할 수 있도록 만들 수 있다는 것이 관련업계의 설명이다.

대표적인 ADC 업체인 F5네트웍스는 “DNS 대기시간을 줄여 웹 애플리케이션 성능을 향상시키고 DDoS 공격을 완화해 기업의 IT자산과 브랜드 신뢰성을 보호할 수 있는 DNS 솔루션을 지원한다”며 “지능형 DNS 스케일 레퍼런스 아키텍처는 기업들이 최적의 애플리케이션 및 서비스를 제공할 뿐만 아니라 DNS 인프라를 통합해 데이터센터 비용을 절감할 수 있는 방안이 될 것”이라고 밝혔다.

<기획취재팀>

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널