빈도는 다양하지만, 사이버 위협이 점점 더 정교해짐에 따라 기업은 경계를 늦추지 말고 강력한 보안 조치를 구축해야 합니다.
랜덤 하위 도메인 공격 또는 물 고문 공격이라고도 하는 PRSD(Pseudo-Random Subdomain) 공격은 DDoS(Distributed Denial-of-Service)공격의 한 종류입니다. 특정 웹 도메인을 대상으로 하는 PRSD 공격은 정상적인 것으로 보이지만 악성인 수천 개의 DNS 요청으로 DNS(Domain Name System) 네임서버를 폭주시킵니다. 그 결과 리커시브 DNS 서버와 권한 DNS 네임서버 및 인프라 환경이 과도한 요청을 받고 속도가 느려지거나 충돌이 발생해, 서버가 정상적인 트래픽에 응답하지 못하며 도메인을 사용할 수 없게 됩니다. 이러한 종류의 공격은 단순히 DNS 서버를 불법 패킷으로 가득 채우는 것이 아니라 정상적인 것처럼 보이고 악성인 것으로 인식하기 어려운 하위 도메인에 대한 DNS 요청을 보내기 때문에 매우 효과적입니다.
하위 도메인은 웹사이트 구성에서 중요한 역할을 하며, 주 도메인의 접두사 역할을 합니다. 유사 랜덤 하위 도메인 공격은 이 구조를 조작하고 탐지를 피하기 위해 예측할 수 없는 하위 도메인을 만듭니다.
DNS란 무엇일까요?
DNS(Domain Name System)는 기본적으로 ‘example.com’과 같은 웹 도메인 이름을 ‘2001:db8:3e8:2a3::b63’ 같은 IP 주소 로 변환하는 색인입니다. IP(Internet Protocol) 주소는 컴퓨터와 디바이스가 인터넷 같은 네트워크를 통해 다른 머신과 통신할 때 사용하는 주소입니다. IP 주소는 일반 사용자가 기억하기 어려우며, 서비스의 정체성보다는 서비스의 위치와 관련이 있습니다. 반면 DNS는 사용자가 서비스를 식별하는 읽기 쉬운 도메인 이름으로 작업할 수 있게 해줍니다. DNS는 사용자나 머신이 연결하려는 모든 도메인에 대해 올바른 IP 주소를 신속하게 반환하는 역할을 합니다.
DNS는 어떻게 작동하나요?
DNS에는 디바이스 및 애플리케이션의 IP 주소 요청을 해결하는 데 도움이 되는 두 가지 종류의 서버, 즉 권한 네임서버와 리커시브 네임서버가 있습니다. 권한 DNS 서버는 각 도메인의 공식 DNS 레코드를 보관합니다. 사용자와 더 가까운 위치에 있는 리커시브 DNS 리졸버는 캐시 메모리에 저장된 레코드를 사용할 수 있을 때 DNS 요청에 응답해, 권한 서버의 작업 부하를 줄이고 레코드를 더 빠르게 반환하는 데 도움을 줍니다.
DNS 프로세스는 일반적으로 몇 초밖에 걸리지 않지만, DNS 요청을 확인하는 과정은 여러 단계로 이뤄집니다. 예:
- 링크를 클릭하거나 브라우저에 웹 도메인을 입력하거나 애플리케이션이 다른 머신에 연결해야 하는 경우, 요청 디바이스는 일반적으로 DNS 쿼리를 발행해 리커시브 DNS 리졸버에 보냅니다.
- 리커시브 서버에 캐시 메모리에 DNS 레코드가 저장되어 있으면 올바른 IP 주소나 응답을 즉시 반환합니다.
- DNS 캐시에 DNS 레코드가 저장되어 있지 않으면 리커시브 서버가 다른 네임서버로 요청을 전달한 후 올바른 IP 주소를 반환하는 권한 DNS 서버로 전달합니다.
- 그러면 리커시브 서버는 사용자의 디바이스에 올바른 IP 주소를 반환하고, 디바이스는 웹 페이지를 로드하거나 연결을 생성합니다.
유사 랜덤 하위 도메인 공격은 어떻게 작동하나요?
해커는 example.com과 같은 대상 도메인에 대한 유사 랜덤 하위 도메인 공격을 실행하기 위해 도메인 생성 알고리즘이나 자동화된 툴을 사용해 임의의 문자열(예: asdf)을 기반으로 존재하지 않는 하위 도메인(즉, DNS에 답이 없는 이름)의 목록을 수천 또는 수백만 개 생성합니다. 공격자는 봇넷(공격자가 제어하는 멀웨어에 감염된 머신의 네트워크)을 사용해 존재하지 않는 하위 도메인에 대한 동시 DNS 쿼리를 시작합니다. 요청을 수신하는 리커시브 DNS 서버는 존재하지 않는 하위 도메인이 캐시 메모리에 저장되어 있지 않기 때문에 요청을 해결할 수 없으므로 요청을 권한 있는 DNS 서버로 전달합니다. 권한 네임서버는 도메인을 찾을 수 없음을 의미하는 NXDOMAIN 응답을 반환합니다. 권한 서버가 존재하지 않는 하위 도메인에 대한 수천 또는 수백만 건의 동시 요청으로 인해 과부하가 걸리면 충돌이 발생하거나 속도 제한 메커니즘이 트리거되어 성능이 저하됩니다. 이와 동시에 악성 요청은 권한 네임서버의 응답을 기다리는 리커시브 DNS 리졸버와 해당 환경 인프라 내에서 사용 가능한 모든 리소스를 빠르게 소모시킬 수 있습니다. 그 결과 정상적인 사용자는 ‘실패’ 응답을 경험하게 됩니다.
기업은 PRSD 공격을 어떻게 막을 수 있나요?
유사 랜덤 하위 도메인 공격은 사용되는 패킷이 올바르게 형성된 DNS 요청이기 때문에 방어하기 가장 어려운 DNS 공격 중 하나입니다. 또한 이 DNS DDoS 공격의 쿼리는 일반적으로 정상적인 ISP 클라이언트에서 발행되므로 소스 기반 필터링을 사용해 악성 DNS 트래픽을 차단하기가 어렵습니다. PRSD 공격을 방어하거나 그 영향을 최소화하기 위해 사이버 보안팀은 몇 가지 모범 사례를 따를 수 있습니다.
- 쿼리 용량을 늘립니다. 기존 DNS 서버에 더 많은 메모리를 프로비저닝하고 DNS 서버를 추가하면 리졸버가 더 많은 쿼리 부하를 견딜 수 있고 중요한 시스템 리소스가 부족해지는 것을 방지할 수 있습니다.
- 허용되는 쿼리를 최대화합니다. 허용되는 동시 리커시브 쿼리 수를 최대화하도록 DNS 설정을 조정하면 DNS 서버가 공격 중에도 정상적인 요청에 계속 응답할 수 있습니다.
- 패턴 인식 방어를 배포합니다. 특정 보안 솔루션은 머신 러닝을 사용해 공격 트래픽의 패턴을 식별하고 이를 차단하거나 트래픽을 관리하기 위한 필터를 자동으로 생성합니다.
- 글로벌 규모의 DNS 플랫폼을 선택합니다. 전 세계의 PRSD 트래픽 관리를 위한 알고리즘 제어 기능과 함께 다수의 PoP를 제공하는 DNS 공급업체와 협력하면 DNS 플러드를 기반으로 한 대규모 DDoS 공격의 영향을 차단할 수 있습니다.
자주 묻는 질문(FAQ)
예, 쉽지는 않지만 사전 모니터링과 고급 위협 탐지 툴을 사용하면 유사 랜덤 하위 도메인 공격과 관련된 패턴을 식별하는 데 도움이 됩니다.
완전히 안전한 업계는 없습니다. 하지만 금융, 헬스케어 등 민감한 데이터를 다루는 분야는 특히 유사 랜덤 하위 도메인 공격의 매력적인 표적이 되고 있습니다.
예, 공격자는 기업의 규모에 관계없이 취약점을 악용하는 경우가 많기 때문에 소규모 기업도 잠재적인 공격 표적이 될 수 있습니다.
물론입니다. AI 기반의 사이버 보안 솔루션은 방대한 데이터 세트를 분석하고, 패턴을 식별하고, 잠재적인 유사 랜덤 하위 도메인 공격에 신속하게 대응할 수 있습니다.
불행히도 공격을 받은 경우, 피해를 최소화하려면 영향을 받은 시스템을 격리하고, 사이버 보안 전문가와 협력하는 등 신속한 인시던트 대응 조치를 취하는 것이 중요합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.