DNS 스푸핑이란 무엇인가요? DNS 스푸핑은 기업을 속이기 위해 일반적으로 사용되는 공격 전술입니다. DNS는 그 자체로 안전한 적이 없습니다. 1980년대에 설계되었기 때문에 인터넷이 아직 호기심에 불과하던 시절에는 보안이 가장 중요한 문제가 아니었습니다. 이로 인해 악의적인 공격자들은 시간이 지남에 따라 이 문제를 악용하여 DNS 스푸핑과 같은 정교한 DNS 기반 공격을 개발하게 되었습니다.
DNS 스푸핑 정의
DNS 스푸핑은 웹 브라우저의 웹사이트 요청을 가로채 다른 웹사이트로 사용자를 유도하는 데 사용되는 기술입니다. 이는 DNS 서버의 IP 주소를 변경하거나 도메인 네임 서버 자체의 IP 주소를 변경하여 수행할 수 있습니다.
DNS 스푸핑은 사용자를 속여 진짜 웹사이트처럼 보이는 가짜 웹사이트를 방문하도록 유도하는 피싱 사기에 자주 사용됩니다. 이러한 가짜 웹사이트는 신용카드 번호나 주민등록번호와 같은 개인 정보를 요구할 수 있으며, 범죄자는 이를 통해 신원 도용에 사용할 수 있습니다.
DNS 스푸핑 공격이란 무엇인가요?
DNS 스푸핑 공격은 공격자가 DNS 서버를 사칭하여 정상적인 서버가 보낸 것과 다른 DNS 쿼리에 대한 응답을 보내는 것을 말합니다.
공격자는 호스트의 허위 IP 주소 또는 기타 유형의 허위 정보를 포함하여 피해자의 쿼리에 대해 원하는 답변을 보낼 수 있습니다. 이는 사용자를 다른 웹사이트처럼 보이도록 설계된 웹사이트로 유도하거나 네트워크의 서비스에 대한 잘못된 정보를 제공하는 데 사용될 수 있습니다.
간단히 말해, 공격자는 사용자를 속여 사용자 모르게 유해한 웹사이트를 방문하도록 유도할 수 있습니다. DNS 스푸핑은 사용자에게 반환되는 DNS 레코드를 변경하여 악성 웹사이트로 리디렉션하려는 모든 시도를 말합니다.
다음과 같은 다양한 악의적인 목적으로 사용될 수 있습니다:
- 멀웨어, 랜섬웨어 및 피싱 사기 배포
- 사용자 정보 수집
- 다른 유형의 사이버 범죄를 조장하는 행위.
DNS 스푸핑은 어떻게 작동하나요?
DNS 서버는 사람들이 웹사이트에 연결할 수 있도록 도메인 이름을 IP 주소로 변환합니다. 해커가 사용자를 악성 사이트로 보내려면 먼저 DNS 설정을 변경해야 합니다. 이는 시스템의 취약점을 악용하거나 해커가 작동하는 조합을 찾을 때까지 수천 가지 조합을 시도하는 무차별 암호 대입 공격을 통해 수행할 수 있습니다.
1단계 - 정찰
성공적인 공격의 첫 번째 단계는 공격 대상에 대한 정보를 최대한 많이 알아내는 정찰입니다. 해커는 비즈니스 모델, 직원 네트워크 구조, 보안 정책을 연구하여 어떤 종류의 정보를 요청하고 어떻게 얻을 수 있는지 파악합니다.
2단계 - 액세스
공격 대상에 대한 충분한 정보를 수집한 후에는 취약점을 악용하거나 무차별 대입 방법을 사용하여 시스템에 액세스를 시도합니다. 시스템에 액세스한 후에는 시스템에 멀웨어를 설치하여 트래픽을 모니터링하고 민감한 데이터를 추출할 수 있습니다. 공격자는 합법적인 컴퓨터에서 보낸 것처럼 패킷을 전송하여 다른 곳에서 온 것처럼 보이게 할 수 있습니다.
3단계 - 공격
네임 서버는 이러한 패킷을 수신하면 캐시에 저장하고 다음에 누군가 이 정보를 쿼리할 때 사용합니다. 권한이 있는 사용자가 권한이 있는 웹사이트에 접속하려고 하면 권한이 없는 사이트로 리디렉션됩니다.
DNS 스푸핑 방법
공격자가 이를 수행할 수 있는 방법은 여러 가지가 있지만, 모두 사용자의 컴퓨터를 속여 대체 DNS 서버를 사용하도록 하는 데 의존합니다. 이를 통해 공격자는 요청을 가로채 원하는 웹사이트로 전송할 수 있습니다.
1. 중간자 공격
가장 일반적인 DNS 스푸핑 공격은 중간자(MITM) 공격이라고 합니다. 공격자는 이 유형의 공격에서 두 SMTP 서버 간의 이메일 통신을 가로채서 사용자의 모든 인터넷 트래픽을 읽습니다. 그런 다음 공격자는 도메인 이름 확인 요청을 가로채서 실제 네트워크가 아닌 자신의 네트워크를 통해 보냅니다. 공격자는 피싱 사이트에 속한 주소를 포함하여 원하는 모든 IP 주소로 응답할 수 있습니다.
2. DNS 캐시 중독
공격자는 네트워크에서 봇넷 또는 손상된 디바이스를 사용하여 DNS 쿼리에 대한 잘못된 응답을 전송하여 로컬 캐시를 잘못된 정보로 오염시킵니다. 이는 DNS(도메인 이름 시스템) 하이재킹 및 중간자 공격에 사용될 수 있습니다.
3. DNS 하이재킹
공격자는 도메인 이름의 권한 있는 네임 서버인 것처럼 보이도록 자신의 IP 주소를 변경합니다. 그런 다음 이 도메인에 대한 정보를 요청하는 클라이언트에 위조된 DNS 응답을 보내 공용 DNS 서버를 올바르게 사용하는 대신 공격자가 제어하는 IP로 연결할 수 있습니다. 이 공격은 라우터나 방화벽에 보안 조치를 구현하지 않은 고객을 대상으로 가장 흔히 발생합니다.
DNS 스푸핑을 방지하는 방법은?
DNS 스푸핑 탐지 메커니즘 구현
이 문제를 해결하기 위해 제안된 솔루션 중 하나가 DNSSEC입니다. DNSSEC는 레코드에 대한 인증 및 무결성을 제공하고 DNS 서버에서 권한이 없는 데이터를 제공하는 DNS의 확장입니다. 전송 중에 응답이 변조되지 않도록 보장합니다. 또한 클라이언트와 서버 간의 데이터 트래픽에 대한 기밀성을 제공하므로 유효한 자격 증명을 가진 사람만 암호를 해독할 수 있습니다.
철저한 DNS 트래픽 필터링 수행
DNS 트래픽 필터링은 네트워크의 모든 수신 및 발신 트래픽을 검사하는 프로세스입니다. 이를 통해 네트워크에서 의심스러운 활동이 발생하지 않도록 차단할 수 있습니다. 이 기능을 제공하는 방화벽 또는 기타 보안 소프트웨어를 사용하여 이 작업을 수행할 수 있습니다.
DNS 서버에 정기적으로 패치 적용
운영 체제, 애플리케이션, 데이터베이스에 정기적으로 보안 업데이트를 적용하세요.
가상 사설망(VPN) 사용
HTTPS 연결에 액세스할 수 없는 경우, 신뢰할 수 있는 VPN을 사용하세요. VPN은 컴퓨터와 액세스 중인 웹사이트 또는 서비스 사이에 암호화된 터널을 생성합니다. 양방향으로 트래픽을 암호화하기 때문에 ISP가 사용자가 방문하는 웹사이트와 송수신하는 데이터를 볼 수 없습니다.
방화벽 사용
인터넷에 연결되는 모든 시스템에 방화벽을 설치하세요. 방화벽은 네트워크 관리자가 명시적으로 허용하지 않은 모든 들어오는 연결을 차단합니다.
이메일 인증 프로토콜 사용
다음을 사용할 수 있습니다. MTA-STS 를 사용하여 DNS 스푸핑을 완화할 수 있습니다. HTTPS를 통해 다운로드된 MTA-STS 정책 파일에 저장된 항목은 DNS를 통해 쿼리된 MTA의 MX 레코드와 비교됩니다. 또한 MTA는 MTA-STS 정책 파일을 캐시하므로 DNS 스푸핑 공격을 실행하기가 더 어려워집니다.
TLS-RPT를 사용 설정하여 수신자가 이메일 주소로 SMTP TLS 보고서를 전송할 수 있도록 함으로써 전달성 문제를 모니터링하고 해결할 수 있습니다. 이렇게 하면 암호화되지 않은 연결에서 발생하는 문제를 파악하는 데 도움이 됩니다.
DNS 쿼리 로깅 및 모니터링 활성화
DNS 쿼리의 로깅 및 모니터링을 사용 설정하여 DNS 서버에 대한 무단 변경을 추적할 수 있습니다.
마지막 말
DNS 스푸핑은 웹사이트 방문자와 소유자 모두에게 매우 불편할 수 있습니다. 공격자가 DNS 스푸핑 공격을 수행하는 주된 동기는 개인적 이득 또는 멀웨어 전송입니다. 따라서 웹사이트 소유자는 최신 보안 조치를 사용하는 신뢰할 수 있는 DNS 호스팅 서비스를 선택하는 것이 중요합니다.
또한 웹사이트 방문자는 "주변을 잘 살펴야 합니다." 방문하려고 했던 웹사이트와 현재 탐색 중인 웹사이트 사이에 불일치가 발견되면 즉시 해당 웹사이트를 떠나 합법적인 웹사이트 소유자에게 알려야 하기 때문입니다.
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일