예. 소규모 기업도 예외는 아닙니다. 소규모 기업의 경우 상대적으로 보안 조치가 취약하기 때문에 사이버 범죄자가 이를 노리고 표적으로 삼는 경우도 많습니다.
DNS 데이터 유출이란 무엇일까요?
DNS 데이터 유출이란, 해커가 DNS(도메인 네임 시스템) 프로토콜을 악용해 IT 시스템 또는 네트워크에서 데이터를 훔칠 때 사용하는 방법입니다. 데이터 유출 공격에서 해커는 기밀 데이터나 민감한 데이터를 DNS 패킷에 포함시켜 보호된 IT 환경 내부에서 해당 데이터를 제거합니다. DNS 트래픽은 일반적으로 방화벽과 보안 시스템을 통과하기 때문에, DNS 패킷에 포함된 악성 데이터는 보안 알림을 트리거하지 않고 기업을 벗어날 가능성이 큽니다. DNS 데이터 유출은 종종 DNS 터널링 공격으로 인해 발생하기도 합니다.
DNS란 무엇일까요?
DNS는 website.com과 같이 사람이 읽을 수 있는 도메인 이름을 컴퓨터에서 읽을 수 있는 2001:db8:3e8:2a3::b63과 같은 IP 주소로 변환합니다. 웹 브라우저에 도메인 이름을 입력하면 재귀 DNS 서버 또는 리졸버에서 루트 네임 서버, TLD(최상위 도메인) 서버, 권한 네임 서버를 비롯한 다른 네임 서버와 통신해 해당 IP 주소를 검색합니다. 또는 DNS 서버가 캐시 메모리에 저장된 이전 DNS 응답으로부터 IP 주소 레코드를 제공할 수도 있습니다. 이러한 통신 및 DNS 요청은 일반적으로 방화벽을 통과하며 엄격한 모니터링 대상이 아니므로, IT 네트워크로부터 데이터를 훔치려는 사이버 범죄자에게 이상적인 공격 기법입니다.
DNS 데이터 유출은 어떻게 이뤄질까요?
DNS 데이터 유출 공격에서 해커는 먼저 감염된 네트워크나 시스템에 멀웨어를 설치합니다. 이를 위해 네트워크 내부의 사용자가 링크를 클릭하거나 악성 프로그램이 포함된 웹사이트를 방문해 머신에 멀웨어를 다운로드하게 합니다. 해커는 탈취한 인증정보로 네트워크에 침투하고, 감염된 디바이스를 제어하기 위해 환경 내부에 멀웨어를 설치해 명령 및 제어 서버로 만들 수도 있습니다.
그런 다음 DNS 프로토콜을 사용해 공격자가 소유한 도메인 네임 서버로 확인되는 DNS 쿼리의 패킷에 데이터를 포함시킵니다(예: encodedstringofdata.attacker.example.com). 탈취된 데이터가 포함된 DNS 쿼리는 발견되지 않은 채 방화벽과 보안 시스템을 통과해 공격자의 권한 네임 서버로 전달되며, 이를 통해 유출된 데이터가 디코딩되고 전송이 완료됩니다.
탈취된 데이터는 DNS 트래픽에 어떻게 포함되나요?
공격자는 DNS를 통해 데이터를 유출하는 몇 가지 기술을 사용합니다. 공격자는 중요한 정보를 인코딩하고 하위 도메인 이름 또는 리소스 레코드 데이터에 이를 숨길 수 있습니다. 또한 정보를 더 작은 덩어리로 분할하고 여러 DNS 쿼리 및 응답으로 전송해 DNS 패킷 안에 데이터를 캡슐화할 수도 있습니다. 쿼리 ID를 변경하거나 DNS 패킷 헤더를 수정해 데이터를 포함시킬 수도 있습니다. 그러면 공격자의 서버에서 이 정보를 인식하고 변경된 DNS 트래픽에서 유출된 데이터를 추출하거나 디코딩할 수 있습니다.
저처리량 데이터 유출이란 무엇일까요?
저처리량 데이터 유출이란, 네트워크 보안 제품의 탐지를 회피하기 위해 매우 느린 속도로 유출이 진행되는 것을 말합니다. DNS 터널링과 같은 형태의 DNS 공격은 고처리량 인시던트로, DNS 트래픽 볼륨이 크게 증가하기 때문에 보안 시스템에서 공격의 존재를 알아차릴 수 있습니다. 저처리량 데이터 유출의 경우 감염된 시스템 또는 엔드포인트에서 1시간에 한 번 정도만 DNS 요청을 보내기 때문에 트래픽 볼륨이 크게 증가하지 않습니다. 따라서 DNS를 통한 이러한 형태의 유출은 탐지하기 매우 어렵습니다.
DNS 데이터 유출을 방지하려면 어떻게 해야 하나요?
IT 팀은 몇 가지 사이버 보안 모범 사례를 준수함으로써 데이터 유출을 방지할 수 있습니다.
- DNS 보안 솔루션을도입합니다. DNS 보안 솔루션은 데이터 유출 탐지 알고리즘을 사용해 트래픽을 지속적으로 모니터링하고, DNS 트래픽 로그를 분석해 비정상적인 패턴이나 감염 지표를 검색합니다.
- 방화벽 및 프록시가 올바르게 설정되었는지확인합니다. 아웃바운드 DNS 트래픽을 제한하고 외부 DNS 서버에 대한 무단 연결을 방지하도록 방화벽 및 프록시를 설정해야 합니다.
- 전송률 제한 기능을활성화합니다. DNS 서버에 대한 응답 속도를 제한하면 DNS 플러드 및 증폭 공격의 영향을 방어할 수 있습니다. 해커는 종종 데이터 유출 공격을 숨기기 위해 이 방법을 이용하기도 합니다.
- DNS 방화벽을배포합니다. DNS 방화벽 솔루션은 DNS 트래픽을 실시간으로 검사하고 위협 인텔리전스를 활용해 악성 요청과 데이터 유출을 차단합니다.
- 패치 적용 주기를최적화합니다. DNS 서버와 소프트웨어를 최신 상태로 유지하고 패치를 정기적으로 적용하면 공격자가, 데이터에 접속하고 이를 유출하려 할 때 악용 가능한 취약점을 해결할 수 있습니다.
- 보안 인식 교육을실시합니다. 사이버 공격이 성공하는 가장 흔한 원인 중 하나가 인적 오류이기 때문에, 보안 인식 교육을 통해 공격자가 방어를 뚫고 DNS 데이터 유출 캠페인을 수립할 수 있게 하는 행동을 직원들이 삼가도록 할 수 있습니다.
자주 묻는 질문(FAQ)
사이버 범죄자는 종종 재무 기록, 고객 정보, 지적 재산과 같은 민감한 데이터를 표적으로 삼습니다.
모든 시도를 방지하기는 어렵지만 선제적 조치로 리스크를 크게 줄일 수 있습니다.
사이버 보안 전문가 또는 DNS 보안 전문 벤더사와의 상담을 통해 가장 적합한 솔루션을 찾아보세요.
예. 최근 몇 년 동안 주요 보안 유출 사례가 여러 차례 발생하면서 이 위협의 심각성이 더욱 부각되고 있습니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.