옛날 옛적 인터넷 왕국에서는 매일 밤 화려한 가면무도회가 열렸습니다. 참가자들은 모두 가면을 썼고 그 뒤의 진짜 얼굴은 비밀이었죠. 그 사람이 누군지 알기 위해선 DNS 마법사에게 물어봐야 했어요.

이렇게 DNS 마법사는 가면과 얼굴을 연결해 모두가 서로를 찾도록 도왔습니다. 그러던 어느 날, malware.party라는 수상한 가면을 쓴 사람이 나타났습니다.

수상한 가면은 그대로인데 가면을 쓰고 있는 사람이 바뀌는 마법 패스트 플럭스(Fast Flux)의 등장이었어요.

며칠 뒤에는 더욱 교묘한 마법이 등장했습니다. 가면 뒤 얼굴이 바뀌는 것은 물론, 이제는 그 사람이 누군지 알려주는 마법서가 바뀌는 겁니다.

이렇게 사람뿐 아니라, 그 정보가 담긴 마법서까지 계속 바뀌는 것을 더블 플럭스(Double Flux) 마법이라고 했답니다.

이 이야기가 그저 동화처럼 들리시나요?

안타깝게도, 이는 실제 인터넷에서 사용되는 위험한 기술입니다. 이야기처럼 사이버 범죄자들은 악성 웹사이트의 얼굴을 수시로 바꾸고 심지어 그 정보가 담긴 마법서까지 계속 변경하여 자신들의 실제 위치를 교묘하게 숨깁니다.

오늘 우리는 이 교묘한 ‘사이버 숨바꼭질’ 기술, 패스트 플럭스(Fast Flux)가 왜 그렇게 위험하며 미국 사이버보안 및 인프라 보안국인 CISA까지 나서서 공식적으로 그 심각성을 경고하는 이유는 무엇인지 알아보겠습니다.

📖 동화 속 요소, 실제로는 무엇일까요?

패스트 플럭스(Fast Flux) 너 정체가 뭐니?

패스트 플럭스(Fast Flux)는 하나의 도메인 이름에 연결된 DNS 정보(특히 IP 주소)를 아주 짧은 시간 안에 수십, 수백 개로 계속해서 변경하는 기술을 의미합니다.

마치 지능적인 범죄자가 경찰의 추적을 피하려고 계속해서 다른 차량으로 갈아타거나, 여러 비밀 은신처를 빠르게 옮겨 다니는 모습과 비슷하다고 생각하면 이해하기 쉽습니다.

이 기술의 주된 목적은 악성 서버의 실제 위치를 효과적으로 숨겨 추적을 불가능하게 만드는 것입니다.

패스트 플럭스는 어떻게 작동할까?

앞선 이야기 속 DNS 마법사가 가면 뒤 실제 얼굴을 알려주었듯, 실제 인터넷에서도 DNS는 사람이 읽기 쉬운 도메인 이름을 컴퓨터가 이해하는 IP 주소로 변환해 주는 핵심적인 역할을 합니다.

패스트 플럭스는 바로 이 DNS 시스템의 작동 방식을 교묘하게 악용합니다. 이 기술의 핵심은 ‘신속한 정보 교체’와 ‘짧은 정보 유효 기간(TTL)‘에 있습니다.

수많은 IP 주소와 짧은 TTL (정보 유효 기간)

공격자들은 자신의 악성 도메인 이름에 연결할 수많은 IP 주소를 미리 확보해 둡니다. 이 IP 주소들은 대부분 악성코드에 감염되어 공격자의 통제를 받는 소위 ‘좀비 PC’들의 주소입니다. 그리고 이 IP 주소 정보를 DNS 서버로 등록할 때, 해당 정보가 얼마나 오랫동안 유효한지를 나타내는 ‘TTL(Time To Live)’ 값을 의도적으로 매우 짧게(보통 5분 이내) 설정합니다. 일반적인 웹사이트의 TTL 값이 보통 몇 시간에서 하루 정도인 것에 비하면 극도로 짧은 시간입니다.

TTL 값이 짧으면, 전 세계의 다른 컴퓨터나 DNS 서버들은 해당 도메인의 IP 주소 정보를 더 자주 DNS에 문의하게 됩니다. 공격자는 이 문의가 들어올 때마다 미리 준비해 둔 다른 좀비 PC의 IP 주소를 알려주는 방식으로 끊임없이 IP 주소를 바꿔치기합니다.

좀비 PC(플럭스 에이전트)의 역할

이렇게 빠르게 변경되는 IP 주소, 즉 ‘가면 뒤 얼굴’ 역할을 하는 것은 바로 ‘플럭스 에이전트(Flux-agent)‘라고 불리는 좀비 PC들입니다. 이 좀비 PC들은 사용자의 요청을 실제 악성 콘텐츠가 저장된 공격자의 핵심 서버(소위 ‘마더십’, Mothership)로 중계해 주는 ‘프록시(대리인)’ 역할을 수행합니다.

사용자는 평범한 웹사이트에 접속하는 것처럼 보이지만 실제로는 여러 좀비 PC를 거쳐 최종적으로 공격자의 숨겨진 서버와 통신하게 되는 것입니다. 모든 트래픽은 이 좀비 PC들을 통해 전달(리버스 프록시 방식)되므로 공격자의 진짜 서버(Mothership)는 효과적으로 은닉될 수 있습니다.

패스트 플럭스 마법의 종류도 있다구요?

앞선 이야기에서 두 가지 유형의 마법이 등장했던 것처럼 실제 패스트 플럭스도 주로 다음과 같이 구분할 수 있습니다.

단일 플럭스 (Single Flux)

‘malware.party’ 사례처럼 가장 기본적인 패스트 플럭스 방식입니다. 도메인 이름 자체는 고정되어 있지만 그 도메인 이름에 연결된 IP 주소(DNS의 A 또는 AAAA 레코드)만 아주 빠르게 계속해서 변경됩니다.

DNS 마법사가 “어? 방금 다른 님으로 바뀌었는데요!” 했던 상황과 같습니다. IP 주소 정보의 TTL 값을 매우 짧게 설정하여 접속 시도 시마다 다른 좀비 PC(IP 주소)로 연결될 확률을 높이는 전략입니다.

더블 플럭스 (Double Flux)

‘malware.multi’ 사례처럼 IP 주소뿐만 아니라 정보가 담긴 ‘마법서’에 해당하는 네임 서버(Name Server)까지 변경하는 한층 더 교묘하고 강력한 방식입니다.

여기서는 도메인의 IP 주소를 알려주는 네임 서버 자체의 주소(DNS의 NS 레코드)까지 계속해서 빠르게 변경됩니다. 어떤 도메인의 IP 주소를 알려면 먼저 “이 도메인 정보는 어떤 네임 서버에게 물어봐야 해?“라는 정보(NS 레코드)부터 알아야 하는데, 그 네임 서버 정보마저 계속 바뀌니 추적이 훨씬 더 복잡해지는 것입니다.

앞선 이야기에서 DNS 마법사가 “A 마법서를 봤더니 이젠 B 마법서를 보래요!” 했던 상황과 같습니다. 이때 역시 관련된 모든 DNS 정보(NS 레코드, A 레코드 등)의 TTL 값은 매우 낮게 설정됩니다.

왜 패스트 플럭스가 위험할까?

이제 이 ‘패스트 플럭스 마법’이 현실 세계에서 왜 그렇게 위험한지 구체적으로 살펴보겠습니다.

• 추적의 어려움: 가장 큰 문제입니다. IP 주소가 눈 깜짝할 사이에 계속 바뀌기 때문에 악성 사이트나 C&C(명령 제어) 서버의 실제 위치를 파악하기가 극도로 어렵습니다. 보안 전문가나 수사 기관이 특정 IP를 차단해도 공격자는 이미 다른 수많은 IP로 활동을 계속하고 있어 전통적인 IP 기반 차단 방식으로는 효과적으로 대응하기 어렵습니다.
• 끈질긴 생명력: 설령 플럭스 네트워크에 포함된 일부 좀비 PC(IP 주소)를 찾아내 차단하거나 치료한다고 해도 공격자는 수많은 다른 좀비 PC를 동원하여 악성 도메인 운영을 지속할 수 있습니다. 네트워크 전체를 무력화하지 않는 이상, 악성 도메인은 계속 살아남아 활동하는 매우 높은 복원력을 보여줍니다.
• 진짜 배후 숨기기: 패스트 플럭스는 피싱 사이트, 악성코드 유포지, 봇넷 C&C 서버 등 진짜 위험한 인프라를 효과적으로 숨겨주는 방패막이 역할을 합니다. 사용자나 보안 시스템은 계속 변하는 IP 주소 뒤에 어떤 위협이 도사리고 있는지 즉각적으로 파악하기 어렵습니다.

CISA의 경고

바로 이러한 심각성 때문에 미국 사이버보안 및 인프라 보안국(CISA)은 2025년 4월 3일, Fast Flux: A National Security Threat(AA25-093A)라는 제목의 사이버 보안 권고를 발표했습니다. 이 권고는 패스트 플럭스의 위험성을 강력히 경고하는 내용을 담고 있습니다. CISA는 권고를 통해 악성 행위자들의 핵심 전술을 지적했습니다. 바로 탐지를 회피하고 불법 인프라를 보호하기 위해 패스트 플럭스를 적극 활용한다는 점입니다. CISA는 이 기술의 구체적인 악용 사례도 상세히 설명했습니다. 패스트 플럭스는 지속적인 피싱 캠페인, 광범위한 악성코드 유포, 그리고 봇넷 C&C 서버의 은밀한 운영에 결정적인 역할을 합니다.

이처럼 미국 최고 수준의 사이버 보안 기관이 직접 나서 구체적인 위협 분석과 대응 방안까지 제시하며 경고했다는 사실은 중요합니다. 이는 패스트 플럭스가 더 이상 동화 속 마법 같은 기술적 호기심의 대상이 아니라는 것을 의미합니다. 현실에서 적극적으로 악용되는 매우 중대하고 실질적인 사이버 안보 위협인 것입니다.

우리는 어떻게 해야 할까?

솔직히 말해, 일반 사용자가 패스트 플럭스를 직접 탐지하고 막아내는 것은 매우 어렵습니다. 마치 무도회장에서 끊임없이 바뀌는 가면 뒤 얼굴을 실시간으로 모두 확인할 수 없는 것과 같습니다.

이는 주로 보안 기업, ISP(인터넷 서비스 제공업체), 그리고 CISA와 같은 정부 기관들이 정교한 DNS 트래픽 분석, 패턴 인식, 위협 정보 공유 등을 통해 대응해야 하는 문제입니다. CISA 권고에서도 이러한 전문적인 대응 방안들을 제시하고 있습니다.

하지만 우리가 할 수 있는 가장 중요하고 효과적인 대응은 바로 기본적인 보안 수칙을 철저히 지켜 스스로를 보호하고 나도 모르게 공격자의 ‘가면 뒤 얼굴’, 즉 좀비 PC가 되지 않도록 예방하는 것입니다.

사용자 수준의 예방 조치

• 운영체제(OS) 및 모든 소프트웨어를 항상 최신 상태로 업데이트하기
• 출처가 불분명한 이메일의 첨부 파일이나 링크는 절대 열지 않기
• 신뢰할 수 없는 웹사이트 방문 및 불법 콘텐츠 다운로드 자제하기
• 계정별로 강력하고 고유한 비밀번호 사용 및 주기적으로 변경하기
• 가능한 모든 서비스에 다중 인증(MFA) 설정하기

마무리하며

패스트 플럭스는 사이버 범죄자들이 마치 가면무도회 속 정체불명의 손님처럼 자신의 진짜 모습을 숨기고 악의적인 활동을 지속하기 위해 사용하는 매우 교묘하고 효과적인 기술입니다.

최근 발표된 CISA의 권고(“Fast Flux: A National Security Threat”)에서도 강조하듯이, 이는 현재 진행형인 심각한 사이버 위협입니다.

끊임없이 변화하며 숨어버리는 특성 때문에 탐지와 차단이 어렵다는 점은 인터넷 왕국 전체의 안전을 위협하는 요소입니다.

우리가 직접 패스트 플럭스라는 ‘마법’과 싸울 수는 없겠지만 기본적인 보안 습관을 생활화하여 악성코드 감염을 예방하고 스스로를 지키는 것이 무엇보다 중요합니다.

항상 사이버 위협에 대한 경각심을 늦추지 않고 안전한 인터넷 환경을 함께 만들어가야 합니다.

참조

• Fast Flux: A National Security Threat - CISA

• Fast flux - Wikipedia