DNS 하이재킹이란? 탐지, 예방 및 완화

DNS 하이재킹은 공격자가 도메인 이름 시스템(DNS) 쿼리를 조작하여 사용자를 악성 웹사이트로 리디렉션하는 사이버 공격입니다. 이 수법은 피싱 공격, 신원 도용, 멀웨어 배포를 가능하게 합니다. DNS 하이재킹의 작동 방식을 이해하고 보안 조치를 구현하면 개인과 조직이 이러한 공격을 방지하는 데 도움이 될 수 있습니다.

DNS 하이재킹은 어떻게 작동하나요?

DNS DNS 는 도메인 이름을 IP 주소로 변환하여 사용자가 웹사이트에 액세스할 수 있도록 합니다. DNS 하이재킹 공격에서 해커는 레코드를 수정하거나 디바이스를 감염시키거나 통신을 가로채는 방식으로 DNS 설정을 손상시킵니다. 이러한 조작은 사용자를 사기성 사이트로 리디렉션하여 자신도 모르게 민감한 정보를 공유할 수 있습니다.

도메인 네임이 HelloWorld.com이라고 가정해 보겠습니다. DNS 하이재킹 공격을 받은 후 누군가 특정 브라우저(예: Chrome)에 HelloWorld.com을 입력하면 더 이상 회원님의 웹사이트로 연결되지 않습니다. 합법적인 사이트로 연결되는 대신 공격자가 제어하는 잠재적으로 악성일 수 있는 웹사이트로 라우팅됩니다. 이 사이트를 방문하는 사람들은 이 사이트가 귀하의 합법적인 도메인이라고 착각하고 민감한 정보를 입력하기 시작할 수 있습니다. 결과는 어떻게 될까요? 사용자의 데이터가 도용될 가능성이 있고 도메인에 대한 평판이 떨어집니다.

DNS 하이재킹 공격의 유형

DNS 하이재킹 공격에는 로컬 DNS 하이재킹, 라우터를 통한 DNS 하이재킹, MITM(중간자) 하이재킹 공격, 악성 DNS 서버의 네 가지 주요 유형이 있습니다. 

1. 로컬 DNS 하이재킹

로컬 DNS 하이재킹 공격에서 해커는 피해자의 PC에 트로이 목마 소프트웨어를 설치합니다. 그런 다음 공격자는 로컬 DNS 설정을 변경합니다. 이러한 변경의 목적은 대상 피해자를 악의적이고 위험한 웹사이트로 리디렉션하는 것입니다.

2. 중간자 공격

도중 중간자(MITM) 공격 중에 해커는 중간자 공격 기법을 사용할 수 있습니다. 목표는 DNS 서버와 사용자 간의 통신을 가로채서 조작하는 것입니다. 마지막 단계는 사용자를 잠재적으로 위험한 사기성 웹사이트로 유도하는 것입니다.

3. 라우터 DNS 하이재킹 

공격자가 라우터를 통한 DNS 하이재킹 방법을 사용하는 경우, 일부 라우터의 펌웨어가 취약하다는 점을 이용합니다. 또한 일부 라우터는 처음에 제공된 기본 비밀번호를 변경하지 않습니다. 이러한 보안 공백으로 인해 라우터는 해커가 DNS 설정을 수정하는 공격에 쉽게 희생될 수 있습니다. 

4. 로그 DNS 서버

또 다른 일반적인 DNS 하이재킹 공격 유형은 악성 DNS 서버입니다. 이 방법을 사용할 때 해커는 DNS 서버의 DNS 레코드를 변경합니다. 이를 통해 해커는 DNS 요청을 잠재적으로 위험한 가짜 웹사이트로 리디렉션할 수 있습니다. 

DNS 하이재킹 예시

DNS 하이재킹 위협의 급증

최근 Cloudflare의 기사 의 최근 기사에서는 Tripwire, FireEye, Mandiant와 같은 주요 사이버 보안 회사를 표적으로 삼은 DNS 하이재킹 공격이 갑자기 증가했다고 강조했습니다. 이 공격은 정부, 통신, 인터넷 기업 등 다양한 산업과 분야를 표적으로 삼았으며 중동, 유럽, 북아프리카, 북미 전역으로 확산되었습니다.

씨 터틀 DNS 하이재킹

2019년, Cisco Talos는 DNS 하이재킹 전술을 사용하여 정부 기관을 표적으로 삼은 대규모 사이버 스파이 공격을 발견했습니다. 이 공격은 중동과 북아프리카에 기반을 둔 통신사, 인터넷 서비스 제공업체, 도메인 등록기관은 물론 외교부, 정보기관, 군, 에너지 부문과 같은 정부 기관을 포함한 40개 이상의 조직을 공격했습니다.

앉은 오리 DNS 하이재킹

새로운 DNS 공격 전술로 알려진 "앉아있는 오리"라는 새로운 DNS 공격 전술이 2024년에 발견되었습니다. 이 공격은 도메인 이름 시스템의 취약점을 악용하여 등록된 여러 도메인을 표적으로 삼아 하이재킹하는 방식입니다. 이 공격은 피해자 자신의 계정에 액세스하지 않고 등록기관이나 DNS 공급업체를 통해 수행되었습니다. 이 대규모 공격으로 인해 백만 개 이상의 등록 도메인이 위험에 처해 탈취당할 위기에 처했습니다.

DNS 하이재킹과 DNS 중독의 차이점은 무엇인가요?

DNS 하이재킹은 DNS 레코드를 조작하여 사용자를 리디렉션하는 반면, DNS 포이즈닝(또는 캐시 포이즈닝)은 악성 데이터를 DNS 캐시에 주입하여 일시적으로 사용자를 오도하는 것입니다. 하이재킹은 지속적이지만 포이즈닝은 캐싱 메커니즘을 악용하는 데 의존합니다.

DNS 하이재킹 공격은 어떻게 탐지하나요?

DNS 하이재킹의 징후

1. 예기치 않은 웹사이트 리디렉션: 웹사이트 URL이 리디렉션된 웹사이트와 일치하지 않는 경우 DNS 하이재킹의 징후일 수 있습니다.
2. 피싱 로그인 페이지: 조악해 보이고 로그인 자격 증명과 같은 민감한 정보를 요구하는 의심스러운 랜딩 페이지는 악의적인 의도의 신호입니다.
3. 느리게 로드되는 웹 페이지: 잘못 디자인되거나 느리게 로드되는 웹사이트 페이지는 악의적이거나 가짜일 수 있습니다.
4. 예상치 못한 팝업 광고: 신뢰할 수 있는 웹사이트를 탐색하는 동안 예기치 않은 팝업 광고가 표시되는 경우 DNS 하이재킹의 신호일 수 있습니다.
5. 멀웨어 감염에 대한 알림: 바이러스 악성코드 감염에 대한 갑작스러운 경고는 공포를 조장하는 사기의 신호일 수 있습니다.

DNS 설정을 확인하고 DNS 하이재킹을 테스트하는 도구

PowerDMARC의 무료 DNS 레코드 검사기

이 무료 도구는 다음과 같은 이메일 인증 DNS 레코드를 확인합니다. SPF, DKIM, DMC, MTA-STS, TLS-RPT, BIMI 등 다양한 DNS 항목과 함께 확인합니다. DNS 레코드 관리와 이메일 인증 구성 모니터링 및 자동화에 가장 적합합니다.

Google 관리자 도구 상자 파헤치기

Google 관리자 도구 상자 Dig는 A, MX, CNAME, TXT 및 기타 레코드에 대한 DNS 쿼리를 실행합니다.

명령줄 디그 도구와 유사한 방식으로 작동하지만 브라우저에서 작동하며 Google의 DNS 서버에서 직접 결과를 가져옵니다.

명령줄 DNS 도구

NSlookup, Dig, Host, Whois와 같은 여러 명령줄 DNS 도구는 터미널이 필요하지만 DNS 설정에 대한 자세한 인사이트를 제공합니다. 이러한 도구는 다음과 같은 다양한 작업에 사용할 수 있습니다: 

• DNS 서버를 쿼리하여 다양한 레코드 유형 찾기
• 여러 메일 서버에서 DNS 확인 추적
• 도메인 이름을 IP 주소로 확인
• 도메인 등록 세부 정보 검색

DNS 하이재킹을 방지하는 방법

이름 서버 및 확인자를 위한 완화 조치

• 네트워크에서 불필요한 DNS 확인자를 비활성화하세요.
• 다단계 인증 및 방화벽을 사용하여 네임 서버에 대한 액세스를 제한하세요.
• 무작위 소스 포트와 쿼리 ID를 사용하여 캐시 중독을 방지하세요.
• 알려진 취약점을 정기적으로 업데이트하고 패치하세요.
• 권한 있는 이름 서버와 확인자를 분리합니다.
• 무단 수정을 방지하기 위해 구역 이동을 제한합니다.

최종 사용자를 위한 완화 조치

• 무단 액세스를 방지하기 위해 라우터 기본 비밀번호를 변경하세요.
• 바이러스 백신 및 맬웨어 방지 소프트웨어를 설치하여 위협을 탐지하세요.
• 브라우징할 때 암호화된 VPN 연결을 사용하세요.
• Google Public DNS(8.8.8.8) 또는 Cisco OpenDNS와 같은 대체 DNS 서비스로 전환하세요.

사이트 소유자를 위한 완화 조치

• 2단계 인증으로 DNS 등록기관 계정을 보호하세요.
• 도메인 잠금 기능을 활용하여 무단 DNS 변경을 방지하세요.
• DNSSEC(도메인 이름 시스템 보안 확장)를 사용하도록 설정하여 DNS 응답을 인증합니다.
• PowerDMARC를 사용하여 도메인 스푸핑 및 피싱 시도를 방지하는 DMARC, SPF 및 DKIM을 적용하세요.

공용 와이파이 사용 중 DNS 하이재킹을 피하는 방법은 무엇인가요?

• 보안되지 않은 Wi-Fi 네트워크에 연결하지 마세요.
• VPN을 사용하여 인터넷 트래픽을 암호화하세요.
• 알 수 없는 네트워크에 대한 자동 연결을 비활성화합니다.
• 민감한 정보에 액세스하기 전에 DNS 설정을 확인합니다.

DNS 하이재킹을 해결하는 방법

1. DNS 하이재킹의 징후 식별하기 

애초에 DNS 하이재킹의 피해자인지 여부를 확인하는 것이 중요합니다. 이 단계에서는 이전 섹션에서 설명한 DNS 하이재킹을 식별하는 징후를 살펴볼 수 있습니다. 확인이 완료되면 다음 단계로 넘어갈 수 있습니다. 

2. 라우터의 DNS 설정 재설정 

다음 단계는 라우터에 로그인하여 일반적으로 'WAN' 또는 '인터넷 설정' 아래에서 DNS 설정을 확인하는 것입니다. DNS가 낯선 IP를 가진 공급업체로 설정되어 있다면 즉시 Cloudflare 또는 Google DNS와 같은 안전한 공급업체로 변경하여 하이재킹을 방지해야 합니다. 설정을 변경한 후에는 새 DNS 설정을 저장하고 라우터를 다시 시작해야 합니다. 

3. DNSSEC 구성

DNSSEC는 일부 유형의 DNS 하이재킹 공격에 대한 유용한 방어책이 될 수 있지만, 전부는 아닙니다. 이 프로토콜은 DNS 응답을 인증하고 DNS 스푸핑을 방지하는 데 도움이 됩니다. 그러나 DNSSEC는 직접 DNS 서버 하이재킹을 완화할 수 없으며 적절한 구현이 필요하다는 점에 유의해야 합니다. 프로토콜을 구성한 후에는 PowerDMARC의 DNSSEC 검사기 를 사용하여 레코드를 확인하여 올바르게 구현되었는지 확인하세요.

4. 악성 소프트웨어 및 파일 제거

사기로부터 DNS를 보호하려면 멀웨어를 탐지하고 제거하는 데 도움이 되는 멀웨어 방지 기능을 사용하세요. 또한 브라우저 확장 프로그램과 새로 설치한 모든 확장 프로그램을 검토하는 것도 좋은 방법입니다. DNS 설정을 변경할 수 있는 의심스러운 것을 발견하면 즉시 제거할 수 있습니다.

5. DNS 캐시 지우기 

DNS 캐시를 지우는 것은 장치에 저장된 손상되거나 악의적인 DNS 항목을 제거하므로 DNS 하이재킹을 방지하는 데 중요합니다.

6. 보안 기능 사용 

비밀번호를 변경하여 라우터에 보안 기능을 사용하도록 설정하세요. 방화벽을 활성화하여 보안을 강화하고 원격 관리를 비활성화하여 해커가 라우터에 원격으로 액세스하지 못하도록 하세요. 지원되는 경우 DoH 또는 DoT와 같은 보안 DNS 서비스를 사용할 수도 있습니다. 

7. 향후 공격 모니터링 및 예방 

라우터의 DNS 설정을 정기적으로 검토하고 모니터링하여 향후 공격을 예방하고 탐지할 수 있습니다. PowerDMARC의 예측 위협 인텔리전스 분석 기능은 공격 패턴과 추세를 예측하여 기존 및 향후 사이버 공격에 대한 경고를 트리거하는 탁월한 모니터링 도구입니다.

요약

DNS 하이재킹은 데이터 도난, 피싱, 멀웨어 감염으로 이어질 수 있는 심각한 사이버 보안 위협입니다. DNS 설정을 모니터링하고, 보안 DNS 서비스를 사용하고, 보안 조치를 구현하면 이러한 공격의 피해자가 될 위험을 줄일 수 있습니다.

DNS 이상을 감지하고 방지하는 PowerDMARC의 실시간 모니터링 및 적용으로 도메인의 보안을 보장하여 DMARC, SPF 및 DKIM을 실시간으로 모니터링하고 적용하세요. 지금 DNS 보안을 확인하세요 지금 확인하세요!

• 정보
• 최신 게시물

아호나 루드라

도메인 및 이메일 보안 전문가 PowerDMARC

Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 써온 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.

아호나 루드라의 최신 포스트 (전체 보기)

• QR 피싱이란 무엇인가요? QR 코드 사기를 탐지하고 예방하는 방법 - 2025년 4월 15일
• nslookup, dig 또는 PowerShell을 사용하여 SPF 레코드를 확인하는 방법은 무엇인가요? - 2025년 4월 3일
• Outlook에서 DMARC 적용: Microsoft의 새로운 발신자 요구 사항 설명! - 2025년 4월 3일