개요

2025년 4월, 미국 NSA, CISA, FBI가 공동으로 발표한 사이버 보안 권고문(Fast Flux:A National Security Threat)에서 “Fast-Flux Network”가 주요 위협으로 다시 지목되었다. 해당 기법은 2007년 Storm botnet에서 처음 포착된 이후, 수많은 악성코드 캠페인에서 C2(Command and Control) 서버를 숨기고 탐지를 우회하기 위한 주요 수단으로 활용되어 왔다.

Fast-Flux는 기존 도메인 기반 인프라의 동작 방식을 악용하여 공격자의 C2 인프라를 탐지하기 어렵게 만들며, 국내외 보안 기업들이 이를 탐지하고 차단하는 데 큰 어려움을 겪고 있다. 본 글에서는 Fast-Flux 기술의 동작 원리와 공격자가 이를 어떻게 구성하는지 살펴보고, 실제 악용 사례에 대해 소개한다.

 

Fast-Flux란

일반적인 도메인 기반 통신 구조는 하나의 도메인이 하나 또는 소수의 고정된 IP 주소에 매핑되어, 사용자 요청 시 항상 동일한 서버로 연결된다. 이를 통해 사용자는 복잡한 숫자 형태의 IP 주소를 기억할 필요 없이, 의미 있는 도메인 이름을 통해 해당 서버와 통신할 수 있게 된다.

[그림 1] 도메인을 통한 IP 조회 및 통신 구조

 

이에 반해 Fast-Flux는 공격자가 보유한 도메인이 단시간 내에 다수의 IP 주소로 변동되도록 DNS 설정을 조작하는 기법이다. 

이를 통해 보안 장비가 IP를 차단하더라도 곧 새로운 IP가 할당되어 통신이 유지된다. DNS TTL 값을 수 초에서 수 분으로 줄여, 해당 도메인을 조회할 때마다 IP가 바뀌는 구조를 만든다.

[그림 2] 도메인 – IP 간 매핑

 

공격자는 Fast Flux Network를 형성하기 위해서 대규모의 프록시 노드를 운영하는데, 이들은 흔히 감염된 일반 사용자 PC나 임의 생성된 가상 컨테이너 환경일 수 있다. 공격자가 소유한 다수의 프록시 노드나 좀비 호스트가 DNS 응답에 참여하며, 도메인 조회 시 노드의 IP 주소가 노출되는데 이를 통해 실제 C2 서버는 그들 뒤에 숨어있는 구조를 취함으로써 C2 은닉 효과도 달성할 수 있다.
각 프록시 노드는 도메인의 A 레코드로 설정되며, 실제 C2 서버와 통신하여 명령을 중계한다.

Fast-Flux 기법은 크게 두 가지 방식으로 구분된다. DNS의 A 레코드만을 회전시키는 단일 구조의 Single-Flux와 A 레코드 뿐 아니라 NS(Name Server) 레코드까지 함께 회전시키는 Double-Flux로 구분된다. 이 둘은 구현 복잡도와 탐지 회피 성능에서 차이가 있으며, 공격자의 목적과 인프라에 따라 선택적으로 운용될 수 있다.

 

Single-Flux

Single-Flux는 DNS의 IP 목록인 A 레코드만 빠르게 회전시키는 기법을 의미한다. 도메인은 지속적으로 IP 목록을 바꿔가며 응답하고, 각 IP는 공격자의 프록시 서버 또는 좀비 호스트로 연결된다. 이러한 설정은 하나의 IP 주소가 차단되거나 다운되더라도 다른 IP 주소를 통해 해당 도메인에 계속 접근할 수 있다.

[그림 3]은 공격자 관점에서 Single-Flux 환경을 구성한 예시이다.

[그림 3] Single-Flux 구성도⁽¹⁾

 

Single Flux와 같은 동작 방식은 CDN(Content Delivery Networks) 및 Load Balancers와 같은 동적 호스팅 환경에서 성능 향상을 위한 합법적인 목적으로도 사용될 수 있어 방어자 관점에서 해당 구조의 네트워크를 탐지하더라도 쉽게 차단을 할 수 없도록 만든다.

사용자 입장에서 Fast Flux로 구성된 도메인에 대한 IP 조회 시 어떠한 형태로 조회되는 지 확인할 필요가 있다. 이를 위해 가상 환경을 통한 Single Flux DNS Server를 구성하였다. [그림 4]와 같이 도메인 “attack.lab”에 대한 IP 조회 시 사용자가 정보를 요청할 때마다 서로 다른 IP 주소 목록이 응답되는 것을 확인할 수 있다.

[그림 4] 도메인 IP 조회 시 IP 회전

 

Double-Flux

Double-Flux는 A 레코드뿐만 아니라 NS(Name Server) 레코드까지 빠르게 교체하는 방식으로 이뤄진다. 도메인을 해석하는 네임서버(NameServer) 자체도 프록시 노드로 위장되며, 이중 위장 구조를 통해 탐지 우회 능력이 높아지는 이점을 지닌다. 실제로 GameOver Zeus와 같은 고도화된 봇넷이 이 방식을 활용했다.

[그림 5]는 공격자 관점에서 Double-Flux 환경을 구성한 예시이다.

[그림 5] Double-Flux 구성도⁽²⁾

 

악용 사례

Storm botnet (2006~2007)

Storm botnet은 Fast-Flux 기술이 본격적으로 사용된 초기 사례 중 하나이다. 이 봇넷은 이메일을 통해 악성 링크를 대량 배포하고, 도메인에 연결된 IP를 수백 개 이상 빠르게 회전시켜 수사기관이나 보안 시스템의 탐지를 어렵게 만들었다. 이 시기부터 TTL을 극단적으로 낮춘 Fast-Flux 기법이 본격적으로 등장하였으며, 해당 사례에 대한 상세 내용은 “Storm Botnet | Encyclopedia MDPI”에서 확인할 수 있다.

 

GameOver Zeus (2014)

GameOver Zeus는 금융 정보를 탈취하는 고도화된 악성코드로, 단순한 P2P 통신 구조를 넘어 Fast Flux 기반 NS 레코드까지 주기적으로 회전하는 Double-Flux 기술을 적극 도입하였다. 특히 감염된 시스템 수가 수백만 대에 달했으며, FBI와 Europol이 국제 합동 작전을 수행하여 이를 해체하기 전까지 글로벌 위협으로 자리매김했다. GameOver Zeus 변종이 도메인 생성 알고리즘(DGA)과 Fast Flux를 함께 활용한 사례는 Trend Micro(US)의 New Zeus Gameover Employs DGA and Fast Flux Techniques 보고서에 상세히 기술되어 있다.

 

Gamaredon (2022~2024)

러시아 계열의 APT 조직 Gamaredon은 2022년부터 2024년까지 Fast-Flux Network를 통해 NATO 국가들을 대상으로 장기간 정찰 및 정보 수집 작전을 전개하였다. 이들은 단순한 IP 변동 뿐만 아니라 ASN 및 IP 주소 대역 다양성을 활용하여 탐지를 어렵게 만들었으며, 장기간 운영이 가능한 인프라를 구축하였다. 단순한 사이버 범죄 그룹이 아닌, 국가 지원형 조직이 Fast-Flux를 지속적으로 운영한 사례로, 해당 인프라의 기술적 특성과 운영 방식에 대한 세부 분석은 Silent Push의 From Russia with a 71: Uncovering Gamaredon’s fast flux infrastructure. 보고서에서 확인할 수 있다.

 

BPH Service

Bulletproof Hosting, 일명 BPH은 법 집행 또는 보안 기관의 요청을 무시하고, 악성 활동을 지원하는 인터넷 호스팅 서비스를 의미한다. BPH 제공자들은 Fast Flux를 핵심 서비스로 제공하며, 공격자들은 이러한 서비스를 악성 마켓, 피싱 사이트, 스팸 발송 인프라 등 다양한 불법 활동의 기반 인프라로 활용하고 있다.

[그림 6] Fast Flux 서비스 제공 페이지⁽³⁾

 

이들은 고객의 서버를 직접 노출시키지 않기 위해 ‘더미 인터페이스(Dummy Interface)’를 사용한다. 이 방식은 DNS 질의에 응답하는 중간 노드를 허위로 구성하여, 실제 공격 인프라는 숨기고 중간 노드만이 블랙리스트에 오르도록 유도한다.

실제로 다수의 BPH 서비스들은 사용자 별로 독립된 IP 풀을 제공하고, 글로벌 도메인 등록 시스템을 활용하여 인프라의 위치를 전 세계에 분산시킨다. 이를 통해 단일 노드나 단일 도메인을 차단하더라도 전체 공격 인프라의 운영에는 지장이 없도록 구성된다. 이러한 방식은 Fast Flux의 은닉성과 회복성을 더욱 강화시키며, 악성 인프라의 장기 운영을 가능하게 만든다.

 

결론

Fast-Flux 기법은 단순한 도메인-IP 매핑 구조를 교란하는 수준을 넘어, 탐지 회피와 인프라 은닉이라는 목적을 위해 정교하게 구성된 공격 기법이다. 공격자들은 이를 통해 IP 기반 차단 우회를 실현하며, 기존 보안 체계의 맹점을 활용하고 있다.

이를 효과적으로 대응하기 위해선 탐지와 차단, 두 가지 관점에서의 기술적 역량을 강화하고, 조직 내부의 DNS 정책을 정비해야 한다. 예를 들어 TTL 기반 분석, A/NS 레코드의 이상 탐지, IP 분포 분석과 같은 탐지 기법이 활용될 수 있다. 아울러, 내부 DNS 리졸버의 정책 변경(캐싱 강화), 외부 DNS 사용 제한, 위협 인텔리전스 연동 등의 차단 전략도 병행되어야 한다.

또한 단기적인 차단보다는 장기적 인프라 추적과 전반적인 보안 체계 내 DNS 기반 공격 탐지 역량 향상이 필요하며, 빠르게 회전하는 도메인 구조 속에서도 실체를 추적할 수 있는 가시성과 분석 능력을 배양해야 한다. 이를 통해 Fast Flux 기반 공격으로부터의 피해를 예방할 수 있다.

 

출처

(1) Created with reference to Figure 1 in the contents of CSA-FAST-FLUX.PDF

(2) Created with reference to Figure 2 in the contents of CSA-FAST-FLUX.PDF

(3) Fast Flux Bulletproof Hosting Accept Bitcoin – Host’s Book