댕글링 DNS는 인터넷에서 리소스를 찾는 데 사용되는 분산형 시스템인 DNS(도메인 이름 시스템) 내의 취약성으로 인해 발생하는 심각한 문제입니다. DNS는 google.com과 같이 사람이 읽을 수 있는 도메인 이름을 101.102.25.22와 같이 기계가 읽을 수 있는 IP 주소로 변환하여 원활한 연결을 보장합니다.
쉽게 액세스할 수 있도록 이름과 번호를 연결하는 전화번호부라고 생각하면 됩니다. 그러나 DNS 구성이 잘못되면 존재하지 않거나 사용되지 않는 리소스를 가리키는 DNS 레코드가 매달려 있어 도메인이 심각한 보안 위험에 노출될 수 있습니다. 이러한 문제를 해결하는 것은 안전한 온라인 상태를 유지하는 데 필수적입니다.
주요 요점
- 매달린 DNS 레코드는 존재하지 않거나 액세스할 수 없는 리소스를 가리키기 때문에 악용에 취약합니다.
- 일반적인 원인으로는DNS 구성 오류, 만료된 클라우드 리소스, 사용되지 않는 IP, 중단된 서비스 등이 있습니다.
- 매달린 DNS 레코드는 하위 도메인 탈취 공격으로 이어져 공격자가 악성 콘텐츠를 제공할 수 있게 합니다.
- DMARC, SPF, TLS-RPT, DKIM CNAME과 같은 이메일 인증 기록이 특히 위험에 노출되어 있습니다.
- 수동 탐지에는 DNS 레코드 감사, 구성 유효성 검사, 고아 서비스 식별이 포함됩니다.
- DNS 모니터링 시스템과 같은 자동화된 도구는 탐지를 간소화하고 오류를 줄입니다.
- PowerDMARC는 DNS 모니터링, 자동화된 하위 도메인 감지, 잘못된 구성을 확인할 수 있는 무료 PowerAnalyzer 도구를 제공합니다.
댕글링 DNS 레코드란 무엇인가요?
댕글링 DNS 레코드는 더 이상 존재하지 않거나 액세스할 수 없는 리소스를 가리키는 DNS 항목입니다. 인터넷의 사이버 범죄자들은 정보 유출에 취약하기 때문에 항상 이러한 DNS 항목을 찾고 있습니다. 이러한 항목 중 일부는 도메인에 대한 민감한 정보를 포함할 수 있어 위협 행위자가 이득을 취할 수 있는 데이터 금광이 될 수 있습니다.
댕글링 DNS로 이어지는 일반적인 시나리오
- DNS 구성 오류
도메인 네임 시스템은 상호 작용하려는 인터넷 리소스와는 별도로 구성됩니다. DNS에 추가된 DNS 레코드는 이러한 리소스를 가리키며 해당 리소스에 액세스할 수 있도록 도와줍니다. 경우에 따라 이전에 구성된 리소스가 호스트에 의해 구성이 해제될 수 있습니다. 예를 들어 도메인 소유자가 서버의 IP를 가리키도록 DNS 레코드를 구성한 경우입니다. 이 서버는 이제 더 이상 사용되지 않습니다. 이제 DNS 레코드는 더 이상 존재하지 않는 리소스를 가리키므로 "댕글링 DNS" 항목이라고 할 수 있습니다.
- 만료되거나 삭제된 클라우드 리소스
도메인 소유자가 사용하는 클라우드 서비스가 만료되거나 삭제되면 해당 서비스를 가리키는 모든 DNS 레코드는 당글리쉬 DNS 레코드가 됩니다. 이 DNS 레코드는 여전히 활성 상태로 유지되며 모든 공격자는 이 리소스를 사용하여 악성 콘텐츠를 제공할 수 있습니다.
- 사용되지 않는 IP
회사는 서비스를 새로운 공급업체로 마이그레이션하면서 이전 IP는 더 이상 사용하지 않을 수 있습니다. 하지만 이전 DNS 레코드를 업데이트하거나 제거하는 것을 잊어버립니다. 이러한 이전 레코드는 하위 도메인 탈취 공격에 취약하며 매우 쉽게 악용될 수 있습니다.
- 서비스 폐기 또는 중단
이메일 서버, 호스팅 계정 또는 타사 서비스 제공업체가 중단되거나 사용 중지되었지만 MX, A 및 CNAME 레코드와 같은 DNS 레코드는 여전히 활성 상태로 구성되어 있는 경우입니다. 공격자는 이러한 활성 댕글링 DNS 레코드를 악용하여 중단된 서비스를 사칭할 수 있습니다.
매달린 DNS 레코드의 위험
댕글링 DNS와 같은 숨겨진 DNS 취약점은 도메인 악용 및 사이버 위협으로 이어질 수 있습니다.
하위 도메인 탈취 공격이란 무엇인가요?
공격자는 구성이 해제된 리소스를 가리키는 댕글링 DNS 엔트리를 탐지하면 즉시 기회를 포착합니다. 공격자는 댕글링 DNS 레코드가 가리키는 (하위) 도메인을 장악하여 전체 트래픽을 공격자가 제어하는 도메인으로 라우팅하고 해당 도메인의 콘텐츠 및 리소스에 대한 완전한 액세스 권한을 갖습니다.
공격자가 도메인/서브도메인을 하이재킹할 경우의 후속 영향:
구성이 해제된 도메인 또는 서버는 도메인 소유자가 제어할 수 없는 공격자가 조작하는 악성 리소스의 번식지가 될 수 있습니다. 즉, 공격자가 도메인 이름에 대한 지배력을 완전히 행사하여 불법 서비스를 실행하고, 의심하지 않는 피해자를 대상으로 피싱 캠페인을 시작하고, 시장에서 조직의 좋은 이름을 훼손할 수 있습니다.
DNS 레코드가 매달릴 위험이 있나요?
대답은 '예'입니다. 다음 이메일 인증 레코드는 댕글링 DNS 문제에 취약할 수 있습니다:
다음과 같은 이메일 인증 프로토콜 DMARC 와 같은 이메일 인증 프로토콜은 DNS에 TXT 레코드를 추가하여 구성할 수 있습니다. 도메인의 이메일에 대한 정책을 구성하는 것 외에도 DMARC를 활용하여 도메인, 공급업체 및 이메일 소스에 대한 다양한 정보를 전송하는 보고 메커니즘을 활성화할 수도 있습니다.
- SPF 기록
일반적으로 사용되는 또 다른 이메일 소스 확인 시스템입니다, SPF 는 이메일의 승인된 발신 소스 목록이 포함된 TXT 레코드로 DNS에 존재합니다.
- TLS-RPT
SMTP TLS 보고서(TLS-RPT)는 통신하는 두 이메일 서버 간의 TLS 암호화 실패로 인한 배달 가능성 문제에 대해 도메인 소유자에게 JSON 보고서 형식으로 알림을 보내기 위해 MTA-STS와 함께 구성된 추가 보고 메커니즘입니다.
- DKIM CNAME 레코드
CNAME 레코드는 도메인 이름 별칭을 생성하여 한 도메인을 다른 도메인을 가리킵니다. CNAME을 사용하여 하위 도메인을 하위 도메인과 관련된 모든 정보 및 구성이 포함된 다른 도메인을 가리킬 수 있습니다.
예를 들어 하위 도메인 mail.domain.com 은 CNAME의 별칭입니다. info.domain.com. 따라서 서버가 조회할 때 mail.domain.com 을 조회하면 info.domain.com.
Your DKIM 인증 시스템은 종종 DNS에 CNAME 레코드로 추가됩니다.
이러한 각 항목에는 조직 도메인, 이메일 데이터, IP 주소 및 이메일 전송 소스에 대한 중요한 정보가 포함되어 있습니다. 종종 간과할 수 있는 구문 오류로 인해 오랜 기간 동안 감지되지 않을 수 있는 레코드가 매달려 있을 수 있습니다. 호스트가 중단한 도메인을 가리키는 DKIM CNAME 또는 SPF 레코드가 있는 도메인도 동일한 문제를 일으킬 수 있습니다.
참고: 참고: 다음 사항에 유의해야 합니다. MX, NS, A 및 AAA 레코드도 댕글링 DNS 문제에 취약합니다.. 이 글에서는 이러한 영향을 미치는 이메일 인증 레코드에 대해서만 다루고 해결 방법에 대한 솔루션을 제공했습니다.
매달린 DNS 레코드를 찾는 방법은 무엇인가요?
초기 단계에서 프로비저닝되지 않은 리소스를 가리키는 DNS 레코드를 식별하면 브랜드를 보호하는 데 도움이 될 수 있습니다. 이 작업은 수동과 자동의 두 가지 방법으로 수행할 수 있습니다.
1. 수동 댕글링 DNS 탐지
시간이 많이 걸리지만 수동 감사는 오래된 DNS 레코드를 발견하는 데 도움이 될 수 있습니다:
- DNS 항목을 감사하세요: DNS 관리 시스템의 모든 DNS 레코드를 사용 중인 환경의 활성 리소스와 비교하여 교차 확인합니다. 존재하지 않는 서비스나 IP를 가리키는 항목이 있는지 확인하세요.
- DNS 구성의 유효성을 검사합니다: 다음과 같은 도구를 사용합니다. nslookup 또는 dig 와 같은 도구를 사용하여 각 레코드를 쿼리하고 해당 리소스가 프로비저닝되고 활성 상태인지 확인합니다.
- 고아 서비스가 있는지 확인합니다: 관련 DNS 항목을 제거하지 않고 종료되었을 수 있는 타사 호스팅, 클라우드 플랫폼 또는 CDN 제공업체와 같은 서비스를 조사하세요.
수동 방법은 철저하지만 인적 오류가 발생하기 쉽고 규모가 크거나 복잡한 DNS 구성이 있는 도메인의 경우 관리가 어려울 수 있습니다.
2. 자동화된 댕글링 DNS 탐지
DNS 모니터링 도구는 이러한 상황에서 유용할 수 있습니다. 도메인 및 하위 도메인의 명단, 즉 도메인과 관련된 모든 관련 데이터를 체계적으로 모아 수시로 쉽게 모니터링할 수 있는 하나의 플랫폼이라고 생각하면 됩니다.
PowerDMARC 가 바로 그 역할을 합니다. 도메인 모니터링 도구에 가입하면 등록된 모든 루트 도메인을 한데 모은 맞춤형 대시보드에 액세스할 수 있습니다. 이제 새로운 기능을 통해 사용자가 수동으로 등록할 필요 없이 시스템에서 감지한 하위 도메인을 자동으로 추가할 수 있습니다.
도메인 레코드를 무료로 확인하세요!
도메인 모니터링을 위한 풀타임 서비스를 이용하고 싶지 않다면 다음을 수행할 수 있습니다. 도메인 확인 PowerAnalyzer 도구를 사용하여 도메인을 확인할 수 있습니다. 무료입니다! 도메인 이름을 입력하고 '지금 확인'을 클릭하면 모든 DNS 레코드 구성과 감지된 잘못된 구성을 빠르게 해결하는 방법에 대한 팁과 함께 확인할 수 있습니다.
- 야후 재팬, 2025년 사용자를 위한 DMARC 도입 권장 - 2025년 1월 17일
- 악성코드 확산을 위해 SPF의 잘못된 구성을 악용하는 MikroTik 봇넷 - 1월 17, 2025
- DMARC 인증되지 않은 메일이 금지됨 [해결됨] - 2025년 1월 14일