DNS 공격 기법이란 무엇일까요?

DNS 공격 기법은 공격자가 example.com 같은 도메인 이름을 영숫자 IP 주소로 변환하는 프로토콜인 DNS(도메인 네임 시스템)를 표적으로 삼기 위해 사용하는 방법입니다. DNS는 제어 범위가 넓기 때문에 중단이 발생하면 한 번에 많은 서비스에 영향을 미칩니다. DNS 공격 기법은 DNS 서비스의 가용성이나 안정성을 표적으로 삼거나 전체 공격 전략의 일부로 DNS를 활용할 수 있습니다. 일반적인 DNS 공격 기법에는 터널링, 캐시 중독, 리바인딩, 증폭, 플러드 공격, DNS 스푸핑 등이 있습니다. 많은 공격자가 DNS를 DoS 및 DDoS 공격 기법으로 사용합니다.

도메인 네임 시스템은 사용자가 방문하려는 모든 웹사이트의 길고 복잡한 IP 주소를 추적할 필요 없이 웹사이트에 쉽게 접속할 수 있도록 해줍니다. DNS 서버는 사용자가 웹 브라우저에 입력하는 기억하기 쉬운 웹사이트 이름과 해당하는 IP 주소(예: 2001:db8:3e8:2a3::b63)를 일치시켜 올바른 웹사이트가 로드되도록 합니다.

사용자가 브라우저에 example.com과 같은 도메인 이름을 입력하면 DNS 리졸버가 도메인 이름과 일치하는 숫자 IP 주소를 검색합니다. 이 과정에는 여러 단계가 포함될 수 있습니다.

• DNS 리졸버는 먼저 로컬 캐시에서 IP 주소를 검색합니다.
• 캐시에 주소가 없는 경우 DNS 리졸버는 다른 DNS 서버에 올바른 IP 주소를 쿼리하거나 해당 IP 주소에 대한 도메인 이름의 정식 매핑을 저장하는 권한 있는 DNS 서버를 검색할 수 있습니다.
• IP 주소를 찾으면 리졸버는 이를 요청 브라우저에 전달하고 나중에 사용할 수 있도록 로컬 캐시에 주소를 저장합니다.

DNS 공격 기법이 효과적인 이유는 도메인 네임 시스템이 보안을 염두에 두고 설계되지 않아 중단이 발생하면 광범위한 영향을 미치기 때문입니다. DNS 서버는 쿼리의 의도를 검사하기보다는 쿼리에 정확하고 효율적으로 응답하도록 설계되었습니다. 따라서 DNS는 사이버 공격의 매력적인 표적이 될 수 있는 약점을 가지고 있습니다. DNS는 인터넷의 필수적인 부분이며 대부분의 통신에 관여합니다. 또한, 많은 보안 툴이 제한된 인증으로 DNS를 허용하기 때문에 다양한 공격에 노출될 수 있습니다.

• DoS(Denial-of-Service) 증폭 공격 은 하나 이상의 소스로부터 대량의 요청을 받아 DNS 서버에 과부하를 일으켜 응답 시간을 늦추거나 DNS 서비스를 사용할 수 없게 만듭니다.
• 악용은 DNS 서비스, DNS 프로토콜 또는 DNS 서버를 실행하는 운영 체제의 취약점을 이용합니다.
• 스텔스 또는 슬로우 드립 DoS 공격은 특정 DNS 요청을 지속적으로 전송하여 발신 쿼리 처리 용량을 소진함으로써 서비스를 저하시키거나 중단시킵니다.
• 프로토콜 남용 공격은 공격자가 의도하지 않은 방식으로 DNS를 사용하여 데이터를 유출하거나 피싱 캠페인을 수행할 수 있도록 합니다.

• 제로데이 공격. 공격자는 DNS 서버 소프트웨어 또는 프로토콜 스택에서 앞서 알려지지 않은 취약점을 악용합니다. 이러한 보안상 허점은 이전에 발견되지 않았기 때문에 보안팀이 패치나 방어 조치를 준비할 수 있는 “제로데이”가 없습니다.
• DNS 캐시 중독. DNS 스푸핑이라고도 하는 공격 기법으로, 정상적인 DNS 레코드를 악성일 수 있는 다른 웹사이트의 IP 주소로 대체하여 DNS 캐시를 훼손하거나 “중독”시키는 행위를 포함합니다. 캐시 중독은 사용자를 속여 로그인 인증정보나 계정 정보 같은 기밀 정보를 드러내도록 유도하는 데 자주 사용됩니다.
• DoS(Denial-of-Service). 이러한 종류의 플러드 공격은 1대의 컴퓨터와 1개의 인터넷 연결을 통해 DNS 서버에 막대한 양의 트래픽을 투입하여 서버를 압도하고 정상적인 요청에 응답하지 못하도록 합니다.
• DDoS(Distributed Denial-of-Service). DDoS DNS 공격은 여러 소스 위치의 트래픽으로 DNS 서버에 과부하를 일으켜 서버를 사용할 수 없게 만들도록 설계된 일종의 플러드 공격입니다. DDoS 공격은 공격자가 제어할 수 있는 멀웨어에 감염된 머신이나 봇의 네트워크인 봇넷에 의해 수행되는 경우가 많습니다.
• DNS 증폭. 증폭 공격은 공개적으로 접속할 수 있는 개방형 DNS 서버에 의존하여 표적 시스템에 DNS 응답 트래픽을 폭증시키는 DDoS 공격의 한 종류입니다. 공격자는 사소한 쿼리를 보내 대규모 응답을 유도하여 표적에 대한 공격 효과를 증폭할 수 있습니다.
• DNS 터널링. 방화벽의 탐지를 피하기 위해 DNS를 은밀한 통신 채널로 사용하는 DNS 공격 기법입니다. 사이버 범죄자는 DNS 터널링을 사용하여 중요한 데이터를 유출하거나 보호받는 IT 환경 내에서 감염된 디바이스를 제어할 수 있습니다.
• DNS 하이재킹. 이 공격은 웹사이트로 향하는 트래픽을 새로운 목적지로 리디렉션하여 공격자가 악성 활동을 시작하거나 원본 사이트의 유사 복사본을 만들어 민감한 개인 정보를 수집할 수 있도록 합니다.
• NXDOMAIN 공격. 이 플러드 공격은 유효하지 않거나 존재하지 않는 레코드를 요청하여 DNS 서버를 마비시키고 표적 DNS 서버와 해당 인프라 환경에 과부하를 초래합니다. 잘못된 요청에 마비된 DNS 서버와 지원 인프라는 속도가 느려지고 결국 작동이 중지됩니다.
• 도메인 잠금. 해커는 정크 또는 무작위 패킷을 전송하는 DNS 리졸버와 TCP 기반 연결을 설정하여 DNS 리졸버가 지속적으로 연결되도록 하거나 “잠긴” 상태가 되도록 유지합니다. 이렇게 하면 정상적인 DNS 서버가 고갈되고 정상적인 요청이 응답을 받지 못하게 됩니다.
• DNS 플러드 공격. DNS 프로토콜을 사용하여 UDP(User Datagram Protocol) 플러드를 수행하는 공격 기법입니다. DNS 플러드 공격 시 공격자는 유효하되 스푸핑된 DNS 요청 패킷을 매우 빠른 속도로 대규모의 소스 IP 주소 그룹에서 배포합니다. 요청이 유효한 것처럼 보이기 때문에 표적이 된 DNS 서버는 모든 요청에 응답하게 되고, 결국 과부하가 걸려 처리 용량이 고갈됩니다.
• 랜덤 하위 도메인 공격. 유사 랜덤 하위 도메인 공격이라고도 하는 DDoS 공격 종류로, 수백 또는 수천 개의 실제이면서 악성인 DNS 요청을 전송합니다. 이러한 요청은 유효한 상위 수준 도메인(예: doesnotexist.example.com)을 사용하는 정상적인 요청이므로, 방화벽과 기타 필터에서 사용하는 많은 DDoS 방어 및 자동 방어 조치를 피할 수 있습니다.

IT 및 보안팀은 다양한 기술과 사이버 보안 모범 사례를 바탕으로 DNS 공격 기법을 차단할 수 있습니다.

• 접속 제한. DNS 리졸버 사용을 유효한 사용자로만 제한하면 외부 사용자가 캐시를 중독시키지 못하도록 방지할 수 있습니다.
• DNS 쿼리 로깅 및 모니터링. IT 팀은 인바운드 및 아웃바운드 쿼리를 로깅하고 모니터링하여 비정상을 탐지하고 포렌식 분석을 가능하게 하는 맥락 정보를 수집할 수 있습니다.
• 데이터 복제. DNS 데이터의 복사본을 다른 서버에 보관하면 한 서버에서 손상되거나 손실된 데이터를 쉽게 대체할 수 있습니다.
• 중복 쿼리 차단. 중복 쿼리를 차단하면 스푸핑 방지에 도움이 될 수 있습니다.
• DNS 서버를 최신 상태로 유지. 자체 DNS 서버를 운영하는 기업은 공격자가 버그와 취약점을 악용하지 못하도록 서버에 패치를 적용하고 최신 상태로 유지해야 합니다.
• 전용 DNS 보호 배포. 보호해야 할 도메인이 수천 개에 달하는 기업의 경우 써드파티 DNS 보안 서비스가 DNS 워크플로우를 강화하는 가장 효과적인 옵션일 수 있습니다.