DNS 공격의 유형: 작동 방식 및 보호 방법

블로그

DNS 공격은 데이터 유출, 피싱, 서비스 중단으로 이어질 수 있습니다. 일반적인 DNS 공격 유형과 사이버 위협으로부터 도메인을 보호하는 방법에 대해 알아보세요.

by Milena Baghdasaryan

읽기 시간: 6
DNS 공격의 유형: 작동 방식 및 보호 방법
목차-

도메인 이름 시스템(DNS)은 사람이 읽을 수 있는 도메인 이름을 기계가 읽을 수 있는 IP 주소로 바꿔 사용자와 웹사이트가 원활하고 매끄럽게 상호 작용할 수 있도록 합니다. 디지털 커뮤니케이션에서 DNS의 중요성이 높기 때문에 종종 공격의 희생양이 되어 데이터 침해와 서비스 중단으로 이어집니다.

2022년 전 세계 조직의 88%가 DNS 공격의 희생자가 되었으며, 각 사건은 평균 $942,0001의 비용이 들었습니다. 기업이 점점 더 디지털 플랫폼에 의존함에 따라 DNS 취약성을 이해하고 완화하는 것이 네트워크 보안을 유지하고 민감한 데이터를 보호하는 데 매우 중요해졌습니다.

주요 요점 

  • DNS 공격은 네트워크의 도메인 이름 시스템 서비스의 안정성이나 기능을 표적으로 삼는 것을 목표로 합니다.
  • 일반적인 DNS 공격 유형에는 DNS 스푸핑(캐시 포이즈닝), DNS 하이재킹, DNS 터널링, DNS 증폭 공격, 하위 도메인 인수, NXDOMAIN 공격, 중간자(MITM) DNS 공격 등이 있습니다.
  • DNS 공격은 재정적, 평판적, 보안적 측면에서 파괴적인 결과를 초래할 수 있습니다. 
  • DNS 공격을 방지하거나 완화하기 위해 취할 수 있는 조치는 다양합니다. 여기에는 DNSSEC를 구현하고 안전한 DNS 리졸버를 사용하는 것부터 DNS 구성을 정기적으로 모니터링하고 업데이트하는 것까지 포함됩니다.

DNS 공격이란?

DNS 공격은 주어진 네트워크의 도메인 이름 시스템 서비스의 안정성이나 기능을 표적으로 삼는 공격을 말합니다. 그러나 더 광범위한 목적은 사용자를 의심스럽고 종종 해로운 웹사이트로 리디렉션하거나 민감한 정보 에 대한 무단 액세스를 얻는 것입니다. 

일반적인 DNS 공격 유형

1. DNS 스푸핑(캐시 포이즈닝)

2020년에 " SAD DNS " 라는 주요 DNS 캐시 포이즈닝 취약점이 발견되었습니다. 수백만 대의 기기에 영향을 미쳤고 광범위한 패치가 필요했습니다. 하지만 DNS 스푸핑 또는 캐시 포이즈닝은 정확히 무엇일까요? 이는 DNS 리졸버의 캐시를 거짓 정보로 손상시키는 악의적인 기술입니다. 이러한 속임수로 인해 DNS 쿼리가 잘못된 응답을 반환하고 사용자를 사기성 웹사이트로 오도합니다.

DNS 시스템이 손상되면 웹 트래픽이 의도하지 않은 목적지로 라우팅되지만 진짜 웹사이트는 실제 IP 주소를 그대로 유지합니다.

DNS 캐시의 취약성은 저장된 데이터를 독립적으로 검증할 수 없기 때문에 발생합니다. 결과적으로 잘못된 DNS 정보는 Time to Live(TTL)가 만료되거나 수동으로 제거될 때까지 캐시에 남아 있습니다. 

2. DNS 하이재킹

도메인 네임 서버 하이재킹은 해커가 의도적으로 DNS 쿼리가 해결되는 방식을 변조하고 조작하는 DNS 공격 유형을 말합니다. 결과적으로 사용자는 악성 웹사이트로 이동하게 됩니다. 공격자는 사용자 PC에 맬웨어를 설치하거나, 라우터를 제어하거나, DNS 연결을 가로채는 등 여러 가지 방법 중 하나를 선택하여 공격을 성공적으로 수행합니다.

공격자는 또한 피싱이나 파밍 목적으로 DNS 하이재킹을 사용합니다. 초기 합법적인 웹사이트의 DNS를 하이재킹한 후, 피해자에게 로그인 자격 증명을 입력하라는 메시지가 표시되는 유사하지만 가짜 웹사이트로 사용자를 유도합니다. 국민에 대한 검열을 실시하는 일부 정부나 정부 기관은 DNS 하이재킹을 사용하여 시민을 국가 승인 사이트로 리디렉션합니다.

3. DNS 터널링

DNS 터널링은 DNS 프로토콜을 이용하여 포트 53을 통해 DNS가 아닌 트래픽을 전송하며, 종종 방화벽과 보안 조치를 우회합니다. 이 기술은 데이터 유출이나 명령 및 제어 통신에 사용될 수 있습니다. 연구에 따르면 조직의 46%가 DNS 터널링 공격을 경험했습니다.

4. DNS 증폭 공격

DNS 증폭은 인터넷 전화번호부 작동 방식을 조작하는 것을 목표로 하는 분산 서비스 거부(DDoS) 공격입니다. 표준 DNS 쿼리를 환영받지 못하고 원치 않는 트래픽의 홍수로 변환합니다. 이러한 공격에서 해커는 개방형 DNS 리졸버를 악용하여 공격 볼륨을 증폭시켜 대상 시스템을 압도하고 교란합니다. 해커는 피해자의 위조된 IP 주소를 통해 작고 간결한 쿼리를 보내 의도한 피해자처럼 보이게 합니다. 이로 인해 서버는 대상에게 큰 응답을 전송하게 되며, 바로 이러한 유형의 공격을 "증폭"이라고 부르는 이유입니다.

5. 하위 도메인 인수

2021년 연구에 따르면 상위 50,000개 Alexa 도메인 중 15%가 하위 도메인 인수에 취약한 것으로 나타났습니다. 하위 도메인 인수는 해커가 대상 도메인의 하위 도메인을 제어하는 공격을 말합니다. 이는 주로 하위 도메인에 도메인 이름 시스템(DNS)에 정식 이름(CNAME)이 있지만 호스트가 콘텐츠를 제공하지 않는 경우 발생합니다. 이는 후자가 아직 게시되지 않았거나 시스템에서 제거되었기 때문입니다. 두 가지 경우 모두 해커는 자체 가상 호스트를 통해 하위 도메인에 액세스한 다음 악성 콘텐츠를 호스팅하기 시작할 수 있습니다.

6. NXDOMAIN 공격

DNS NXDOMAIN은 DNS 서버를 무효 또는 허위 레코드 요청으로 압도(또는 범람)시켜 웹에서 서버를 사라지게 하려는 일종의 범람 공격입니다. DNS 서버는 존재하지 않는 레코드를 찾는 데 시간을 낭비하기 때문에 실제적이고 합법적인 레코드를 검색하는 데 필요한 시간과 능력을 잃게 됩니다. 

결과적으로 DNS 서버의 캐시는 불법적이고 가짜 요청으로 인해 넘쳐나고, 클라이언트는 더 이상 검색 중인 서버와 로드맵에 액세스하거나 찾을 수 없습니다. 

7. 중간자 공격(MITM) DNS 공격

중간자 공격(MitM)은 범죄자 가 취약한 웹 기반 프로토콜을 악용하고 디지털 커뮤니케이션 채널에서 엔터티 간에 개입하여 중요한 민감하거나 재정적인 데이터에 액세스하는 사이버 공격 유형을 말합니다. 2021년 이후 MITM으로 손상된 이메일은 35% 이상 증가했습니다 .

DNS 공격의 영향

사업 및 재정적 결과

2019년에 금융 서비스 기관은 각 DNS 공격 후 서비스를 복구하는 데 평균 1,304,790달러를 지출했는데 , 이는 전년 대비 40% 증가한 수치입니다. 공격당 평균 비용은 이제 100만 달러 를 넘습니다 .

평판 손상 

즉각적인 재정적 영향 외에도 DNS 공격은 평판에 심각한 피해를 입히고, 고객 신뢰를 떨어뜨리고, 장기적으로는 사업 손실을 초래할 수 있습니다.

피싱 및 맬웨어 위협 증가

DNS 공격은 또한 다른 사이버 위협을 용이하게 합니다. 예를 들어, 성공적인 DNS 하이재킹은 피싱 캠페인의 효과를 극적으로 높일 수 있습니다.

DNS 공격으로부터 보호하는 방법

악용된 DNS 취약점은 심각한 결과(예: 맬웨어 관련 감염, 데이터 침해, 서비스 중단, 금전적 손실)로 이어질 수 있습니다. 해커는 DNS 서버를 악용하여 사용자를 위험하고 유해한 웹사이트로 유도하고, 민감한 데이터를 훔치거나, 일부 중요한 서비스를 사용할 수 없게 하거나 작동하지 않게 만듭니다.

DNS 공격을 방지하기 위해 취할 수 있는 몇 가지 중요한 단계는 다음과 같습니다. 

DNSSEC(도메인 이름 시스템 보안 확장) 구현

DNSSEC를 사용하여 DNS 응답을 암호화하여 인증하고 검증합니다. DNSSEC(Domain Name System Security Extensions)는 브라우저에 웹 주소를 입력할 때 올바른 합법적인 웹사이트로 리디렉션되도록 보장하는 보안 확장을 말하며, 이를 통해 가짜, 불법적, 잠재적으로 악의적인 웹사이트로부터 보호합니다. 또한 DNS 포이즈닝, 스푸핑 및 기타 형태의 무단 사용으로부터 보호합니다. 현재 DNS 레코드에 암호화 서명을 추가하는 확장 모음을 포함합니다. 

PowerDMARC의 DNSSEC 검사기 도구를 사용하면 DNSSEC가 활성화되었는지 여부를 빠르고 효과적으로 확인할 수 있습니다 . 수동 오류의 위험 없이 DNSSEC 구현의 정확하고 신뢰할 수 있는 상태를 제공합니다.

보안 DNS 리졸버 사용

DNS 리졸버를 구성하면 웹을 탐색하는 사람(최종 사용자라고도 함)에게 보안 솔루션을 제공하는 데 도움이 됩니다. DNS 리졸버에는 스마트 콘텐츠 필터링을 포함한 풍부한 기능 세트가 포함될 수 있으며, 이는 스팸과 바이러스를 퍼뜨리고 다른 형태의 사이버 공격에 연루된 웹사이트를 차단하는 데 도움이 될 수 있습니다. 일부 DNS 리졸버는 잠재적으로 악의적인 봇넷과 통신하는 것을 막기 위해 봇넷 보호 기능을 제공할 수도 있습니다.

DNS 구성을 정기적으로 모니터링하고 업데이트합니다.

PowerDMARC의 DNS 타임라인 기능은 다음을 포함하여 DNS 레코드에 대한 포괄적이면서도 세부적인 개요를 제공합니다.

  • DMARC, SPF 및 DKIM DNS 레코드
  • BIMI , MTA-STS 및 TLS-RPT 레코드
  • MX, A, AAAA, PTR, FcrDNS, NS, TXT, CNAME 레코드 등 

이 도구는 이해하기 쉬운 형식으로 각각의 변화를 포착하고, 포괄적인 모니터링을 위해 관련 타임스탬프를 제공합니다.

DNS 타임라인 기능은 또한 비교를 위해 이전 및 새 레코드를 나란히 표시합니다. 이 시스템을 사용하면 레코드 유형(SPF 또는 DMARC), 도메인 또는 하위 도메인, 시간 범위 및 기타 주요 구별 요소에 따라 DNS 변경 사항을 필터링할 수 있습니다. 보안 점수 기록 탭은 도메인의 보안 등급을 이해하기 쉬운 시각적 표현을 제공하여 시간이 지남에 따라 발생하는 모든 변경 사항을 추적합니다. 

DDoS 방지 솔루션 배포

안티 DDoS 솔루션에는 온프레미스 안티 DDoS 하드웨어, 클라우드 기반 안티 DDoS 서비스, NTA(즉, 네트워크 트래픽 분석기), 바이러스 백신 소프트웨어 및 웹 애플리케이션 방화벽이 포함될 수 있습니다. 이러한 솔루션은 DDoS 공격을 탐지하고 완화하여 시스템을 악의적인 행위자로부터 보호합니다. 

이메일 인증을 통한 이메일 보안 강화

이메일 인증 프로토콜은 피싱, 스팸, 스푸핑 공격을 포함한 다양한 유형의 무단 사용으로부터 이메일을 보호합니다. 특정 DNS 기반 공격을 완화하는 데 간접적으로 기여할 수 있습니다. 방법은 다음과 같습니다.

  • 공격자는 종종 피싱 공격에서 스푸핑된 도메인을 사용합니다. DMARC는 인증을 시행하여 공격자가 악의적인 이메일에서 귀하의 도메인을 사용할 위험을 줄입니다.
  • 합법적인 출처만 귀하의 도메인을 사용하여 이메일을 보낼 수 있도록 함으로써, 이메일 인증을 통해 공격자가 피싱 캠페인을 위해 악성 DNS 레코드를 삽입할 가능성이 줄어듭니다.
  • 이러한 기능은 DNS 변조 및 하이재킹을 방지하는 DNSSEC와 같은 DNS 기반 보안 조치와 함께 작동합니다.
  • 다음과 같은 프로토콜 MTA-STS 및 DANE과 같은 프로토콜은 DNS를 사용하여 TLS를 통한 보안 이메일 전송을 시행하여 중간자(MitM) 공격으로부터 보호합니다.

추가 권장 사항

  • DNS 소프트웨어에 대한 포괄적인 패치 관리 프로세스를 활용합니다.
  • 액세스를 제한하고 DNS 서버 구성을 정교화합니다.
  • 비정상적인 활동과 잠재적인 공격을 너무 늦기 전에 식별하기 위해 DNS 트래픽을 실시간으로 주의 깊게 검사하고 감독하세요.
  • DNS 인프라의 취약성 수준을 확인하기 위해 정기적으로 검사를 실시하세요.

마지막 말

DNS 공격은 주어진 시스템의 안정성과 보안을 위협할 수 있으므로 즉시 두려움과 공황을 유발할 수 있습니다. 재정적, 평판적, 안전적 측면을 포괄하는 영향 범위는 다양한 회사에 매우 놀라운 일일 수도 있습니다. 그러나 공격을 받을 때 압도당하지 않고 대신 공격을 예방하고 완화할 수 있는 조치와 메커니즘을 구현하는 것이 중요합니다.

CTA

Milena Baghdasaryan의 최신 글 (전체 보기)
DMARC가 중요한 이유는 무엇인가요? [2025 업데이트]DMARC가 중요한 이유"550 5.7.367 발신자에게 릴레이 권한이 없음" 오류 메시지 수정