Shield NS53, NXDOMAIN 공격으로부터 오리진 DNS 인프라 보호
DNS: 지속적인 공격을 받고 있는 중요한 인터넷 인프라
테일러 스위프트(Taylor Swift) 이벤트의 최신 정보를 검색하기 위해 ‘142.250.80.14’를 입력하거나, 사용자의 온라인 경험을 보호하고 강화하는 방법을 배우기 위해 ‘2600:1406:3a00:281::b63’을 입력해야 한다고 상상해 보세요. 다행스럽게도, 글로벌 DNS(Domain Name System)는 Google, Akamai, 그리고 테일러 스위프트와 같이 사람이 쉽게 기억할 수 있는 단어와 이름을 컴퓨터가 이해하는 IP 주소 항목으로 변환합니다. 이는 DNS를 당사 디지털 상호 작용과 경험에 필수적이고 근본적인 요소로 만들어 줍니다. 기업의 DNS 시스템이 다운되면 온라인 보안도 중단됩니다.
따라서, 사이버 범죄자가DDoS(Distributed Denial-of-Service) 공격의 표적으로 DNS 시스템을 지속적으로 공격하는 것도 당연합니다. Akamai의 내부 DDoS 위협 인텔리전스에 따르면, 2023년 4분기 전체 DDoS 공격 표적 중 64% 이상이 DNS 구성요소였습니다(그림 1).
그림 1: 2023년 4분기 DDoS 공격 표적의 64% 이상을 차지한 DNS 구성요소(출처: Akamai DDoS 위협 인텔리전스)
이러한 공격 유형 중 하나로 NXDOMAIN 또는 DNS 리소스 고갈 공격이 있습니다. 그림 2는 선도적인 글로벌 금융 서비스 기업의 DNS 인프라가 2024년 1분기에 며칠 동안 지속적으로 NXDOMAIN 트래픽의 표적이 된 사례를 보여줍니다. Akamai는 DNS 공격을 0초 만에 차단하고 DNS 고객의 인프라가 어떠한 영향도 받지 않도록 성공적으로 보호했습니다.
그림 2: 선도적인 금융 서비스 회사의 DNS 인프라에서 며칠에 걸쳐 지속적으로 NXDOMAIN 트래픽 캠페인이 발생했습니다
2023년 10월부터 2024년 3월까지 상위 50개 금융 서비스 고객을 대상으로 DNS 쿼리 트렌드를 분석한 결과, Akamai가 처리하고 차단한 DNS 쿼리의 약 40%가 불법적인 NXDOMAIN 쿼리였습니다(그림 3). NXDOMAIN 쿼리의 양은 2023년 12월에 최고 60%에 달했으며, 이는 사이버 범죄자가 휴가 기간에 금융 회사의 DNS 인프라를 다운시키려는 시도로 보입니다. Akamai는 강력한 DNS 보안 솔루션을 통해 이러한 시도를 성공적으로 차단했습니다.
그림 3: 상위 50개 금융 서비스 고객에 대한 DNS 쿼리 중 약 40%를 차지한 불법적인 NXDOMAIN 쿼리
계속 증가하는 지속적인 DNS 공격에 대한 방어는 고객, 최종 사용자 및 직원에게 원활한 디지털 경험을 제공하려는 기업과 정부 기관에게 시급한 과제가 되었습니다.
일반적인 DNS 리소스 고갈 공격의 구조
DNS 리소스 고갈 공격은 NXDOMAIN 공격, PRSD(Pseudo-Random Subdomain) 공격, DNS 물 고문 공격, DNS 플러드 공격 등 여러 가지 이름으로 알려져 있습니다. 기술 및 대중 담론에서 언급되는 다양한 이름을 이해하기 위해 사이버 범죄자가 이러한 종류의 공격을 어떻게 설계하는지 개략적으로 살펴보기 전에 먼저 DNS의 일반적인 작동 방식부터 살펴보겠습니다.
DNS의 일과
사용자가 브라우저의 URL(Uniform Resource Locator) 표시줄에 www.akamai.com/ko와 같은웹 주소(도메인 이름) 또는 www.ir.akamai.com(투자자 정보 페이지용)과 같은 하위 도메인 이름을 입력하면 보이지 않는 곳에서 그림 4의 단계가 수행됩니다.
클라이언트 쿼리 |
→ ← |
DNS 리커시브 리졸버 (주로 ISP에서 제공) |
→ ← |
DNS 최상위 도메인(TLD) 네임서버 |
→ ← |
회사의 권한 도메인 네임서버 |
그림 4: URL 표시줄에 웹 주소를 입력할 때 보이지 않는 곳에서 수행되는 단계.
DNS 리커시브 리졸버는 종종 이전 응답의 캐시에서 사용자 쿼리에 응답합니다. 캐시 응답을 사용할 수 없는 경우 요청은 오리진 권한 도메인 네임서버로 전달됩니다. 네임서버가 특정 DNS 요청에 대한 IP 주소에 응답할 수 없는 경우, "NXDOMAIN" 또는 "존재하지 않는 도메인" 응답을 리졸버에게 반환합니다.
DNS 리소스 고갈 공격이 진행되는 동안 사이버 범죄자는 기업의 DNS 인프라에 대량의 무작위 하위 도메인 쿼리를 퍼부어 초당 수백만 개의 쿼리를 실행시킵니다(그림 5).
이 공격의 목적은 정상적인 사용자의 쿼리를 처리하지 못하도록 DNS 인프라 스택의 오리진 구성요소인글로벌 서버 부하 분산 장치(GSLB), 방화벽, 네임서버 등을 불법적인 쿼리로 과부하 상태로 만드는 것입니다. 이러한 애플리케이션 레이어(레이어 7) DNS DDoS 공격은 TCP 및 UDP 패킷을 사용할 수 있으며 종종 스푸핑 없이 DNS 서버의리소스를 고갈시키기도 합니다.
그림 5: 사이버 범죄자는 종종 봇넷을 사용하여 DNS 리소스 고갈 공격을 실행합니다. 이 공격은 초당 수백만 건의 불법 쿼리로 DNS 인프라를 과부하 상태로 만듭니다.
리소스 고갈 공격을 시작하기 위해 사이버 범죄자가 사용하는 주요 기법
고유한 쿼리
공격자는 존재하지 않거나 거의 접속하지 않는 도메인 이름에 대해 DNS 쿼리를 만듭니다. 각 쿼리는 고유한 것으로 나타나도록 설계되어 있으므로 DNS 서버나 업스트림 리졸버는 이러한 쿼리를 본 적이 없습니다.
반복 없음
공격자는 탐지 및 방어를 피하기 위해 각각의 불법적인 DNS 요청이 이전 DNS 요청과 다르게 만듭니다. 그러면 업스트림 리졸버가 이전에 동일한 쿼리를 접하지 않았을 수 있으므로 요청과 응답을 캐싱하는 것을 방지할 수 있습니다.
DNS 리졸버 캐시 방지
공격자는 쿼리를 지속적으로 변경함으로써 업스트림 리졸버의 캐싱 메커니즘을 우회하는 것을 목표로 합니다. DNS 캐싱은 이전에 확인된 도메인 이름과 해당 IP 주소를 저장하여 후속 쿼리를 보다 빠르게 해결할 수 있도록 도와줍니다. 그러나 매번 고유한 쿼리일 경우 캐싱이 공격을 방어하는 효과가 떨어집니다.
무작위 하위 도메인 DNS 쿼리의 예
Akamai 웹사이트의 정상적인 하위 도메인인 www.ir.akamai.com은 사용자를 투자자 관련 페이지로 안내합니다. 그러나 www.randomsubdomain.akamai.com 같은 쿼리는 불법 쿼리입니다. 리커시브 리졸버는 이러한 쿼리에 대한 캐시 응답을 갖지 않으며, 존재하지 않는 페이지의 IP 주소에 응답하기 위해 Akamai DNS 네임서버로 요청을 전달합니다. 그러면 Akamai의 DNS 서버는 NXDOMAIN 응답으로 응답합니다(그림 6).
그림 6: DNS 서버가 불법적인 쿼리에 NXDOMAIN 응답으로 응답
NXDOMAIN 공격은 DNS 서버가 존재하지 않는 하위 도메인을 조회하기 위해 리소스를 사용하게 하기 때문에 이 공격은 네트워크 보안 리더들에게 중요한 과제입니다. 이 기술은 오리진 DNS 인프라의 부하를 증가시키고 네트워크 리소스를 소모하여 정상적인 서비스에 접속하려는 일반 사용자의 서비스 성능 저하 또는 다운타임을 초래할 수 있습니다.
NXDOMAIN 공격으로부터 DNS 인프라 보호
Akamai Edge DNS는 Akamai Connected Cloud의 규모, 보안, 용량을 바탕으로 전 세계 수천 대의 서버에 DNS 영역을 분산시키는 포괄적이고 특정 목적에 맞는 클라우드 기반의 권한 있는 DNS 솔루션을 제공합니다.
고객은 등록 기관에서 네임서버 레코드를 업데이트하고 Akamai에서 제공한 레코드를 사용하여 영역 권한을 Edge DNS에 위임합니다. Akamai Edge DNS는 고객의 DNS 성능, 신뢰성 및 가용성에 영향을 미치지 않으면서 초대형 DNS 공격도 방어할 수 있는 탁월한 공격표면과 선제적 보안 제어 기능을 제공합니다.
대부분의 경우, 기업은 온프레미스 DNS 인프라를 유지 관리하며, 다양한 종류의 DNS 공격을 차단하기 위해 권한 영역을 외부 클라우드 솔루션에 위임할 수 없습니다. 이러한 기본 설정의 이유는 컴플라이언스 문제에서부터 오리진 GSLB의 동적 구성, 오리진에서 권한 영역을 관리하려는 단순한 요구에 이르기까지 다양합니다.
이는 종종 회사가 이미 온프레미스 DNS 인프라 구축에 상당한 자본 투자를 했을 수 있다는 사실을 기반으로 한 비즈니스 결정이므로 클라우드에 영역을 위임하는 것은 적어도 단기적으로는 재정적으로 실행 가능한 옵션이 아닐 수 있습니다.
일부 하이브리드 시나리오에서, 권한있는 DNS 영역 중 일부를 Edge DNS에 위임하지만 온프레미스 오리진에서 나머지 영역을 지원하는 기업은 온프레미스 인프라가 DNS 리소스 고갈 공격에 취약해지게 됩니다.
그렇다면 이러한 시나리오에서 기업은 DNS 리소스 고갈 공격을 어떻게 차단할 수 있을까요? Akamai Shield NS53을사용해 보세요!
Akamai Shield NS53: 온프레미스 및 하이브리드 DNS 인프라에 대한 원스톱 보호
NXDOMAIN 공격으로부터 보호
Akamai Shield NS53은 양방향 DNS 프록시 솔루션이며 오리진 DNS 인프라의 주요 구성요소를 리소스 고갈 공격으로부터 보호합니다. Akamai Control Center의 직관적인 사용자 인터페이스를 사용하면 기업의 특정 동적 보안 정책을 실시간으로 자체 설정, 운영, 관리 및 적용할 수 있습니다. 불법적인 DNS 쿼리 및 DNS 공격 플러드는 Akamai 네트워크의 최선단 엣지에서 차단되어 DNS의 보안, 신뢰성, 가용성을 유지합니다(그림 7).
그림 7: Akamai Shield NS53은 양방향 DNS 프록시 솔루션이며 오리진 DNS 인프라의 주요 구성요소를 NXDOMAIN 공격으로부터 보호합니다.
DNS 성능 최적화
또한 Shield NS53은 캐시로부터의 정상적인 쿼리에 응답하고 필요한 경우에만 쿼리를 오리진 네임서버로 전달하여 온프레미스 DNS 인프라의 부하를 완화하는 데 도움이 됩니다. 또한 이 솔루션은 수천 대의 서버로 구축된 Akamai의 글로벌 NAMES 애니캐스트 네트워크에 접속하여 가장 가까운 네트워크 거점에서 사용자 쿼리에 응답함으로써 지연 시간을 줄이고 사용자 경험을 개선합니다.
총 소유 비용 최적화.
이론적으로, 용량을 추가하여 리소스 고갈 공격으로부터 DNS를 보호할 수도 있습니다. 리소스가 많으면 이러한 리소스를 소진하는 데 더 크고 더 긴 공격이 필요합니다. 그러나 이러한 접근 방식은 재정적으로 실행 가능하지도 않고 확장 가능한 기술 솔루션도 아니라는 점은 분명합니다.
Shield NS53은 최신 리소스 고갈 공격에 대비하여 이미 배포된 솔루션을 강화함으로써 총 소유 비용을 낮추고 기존 DNS 인프라에 대한 투자 수익을 극대화함으로써 네임서버, GSLB, 방화벽을 비롯한 기존 DNS 인프라에 대한 재정적 투자를 보호하는 데 도움이 됩니다.
Akamai가 디지털 인프라를 보호하는 방법에 대한 정답지
Akamai는 다양한 DDoS 공격으로부터 디지털 인프라를 보호하기 위한 포괄적인 솔루션 포트폴리오를 제공합니다. 다음 표를 기업의 특정 요구사항에 따라 보안 솔루션을 조정하는 방법에 대한 정답지로 사용할 수 있습니다.
공격 유형 |
권장 솔루션 |
|---|---|
DNS NXDOMAIN 공격 |
Akamai Edge DNS, Akamai Global Traffic Management, Akamai Shield NS53 |
DNS 직접 쿼리 공격 |
Edge DNS, Global Traffic Management, Shield NS53 |
DNS 반사 및 DNS 증폭 공격 |
Akamai Prolexic, Akamai Network Cloud Firewall |
DNS 소스 IP 스푸핑 및 DNS TTL 공격 |
Edge DNS, Global Traffic Management |
레이어 3 및 레이어 4 DDoS 공격(모든 포트 및 프로토콜 지원) |
|
DNS와 관련이 없는 애플리케이션 레이어(레이어 7) DDoS 공격(포트 53이 아님) |
Akamai App & API Protector |
표: 특정 요구사항에 따라 보안 솔루션을 조정하는 방법
결론
지금 우리는 디지털로 연결된 세상 속에 살고 있다고 해도 과언이 아닙니다. 일상 생활의 거의 모든 측면이 디지털 상호 작용을 통해 이루어집니다. 이러한 디지털 상호 작용의 초석 중 하나가 바로 이 모든 것을 가능하게 하는 기본 DNS 인프라입니다. 따라서 기업과 기관은 고객, 최종 사용자 및 직원에게 원활한 디지털 경험을 제공하기 위해 DNS 인프라를 보호해야 합니다.
Akamai Shield NS53은 Akamai Edge DNS, Akamai Prolexic, Akamai App & API Protector 를 완벽하게 보완하여 온라인 애플리케이션과 사용자 경험을 강화하기 위해 안정적인 디지털 인프라에 의존하는 기업과 기관을 위한 포괄적인 DDoS 방어 솔루션 포트폴리오를 구축하는 새로운 솔루션입니다.
자세히 보기
Akamai Shield NS53이 DNS 보안 요구사항을 어떻게 지원할 수 있는지 자세히 알아보세요.