Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.
DNS 리바인딩은 사이버 공격 중 하나로 DNS(도메인 네임 시스템)를 활용해 악성 자바스크립트를 실행하고 사용자의 개인 네트워크에 있는 디바이스를 공격합니다. DNS 리바인딩 공격에서 해커는 피해자의 브라우저를 속여 공용 인터넷에 노출되지 않은 피해자의 개인 네트워크에 있는 머신을 공격하는 클라이언트 측 스크립트를 실행하도록 합니다. 또한 이러한 공격은 공격자의 서버와 피해자 네트워크의 웹 애플리케이션 간에 통신을 설정해 일반적으로 멀웨어를 실행하거나 다른 악성 행위를 용이하게 합니다.
DNS란 무엇일까요?
인터넷의 전화번호부라고 할 수 있는 DNS(도메인 네임 시스템)는 사용자, 디바이스, 애플리케이션이 웹 페이지를 빠르게 로드하거나 다른 컴퓨터에 연결할 수 있도록 하는 데 필수적입니다. DNS 서비스는 example.com과 같이 사람이 읽을 수 있는 도메인 이름을 2600:1401:4000:5b1::b63과 같이 머신이 사용할 수 있는 IP 주소로 변환합니다. DNS가 없다면 사용자는 웹사이트를 탐색할 때마다 긴 숫자 문자열을 기억해야 할 수 있습니다.
DNS는 어떻게 작동하나요?
사용자가 브라우저에 웹사이트의 이름을 입력하거나 링크를 클릭하면 해당 IP 주소를 식별하기 위한 DNS 쿼리(또는 DNS 요청)가 생성됩니다. 요청은 먼저 리커시브 서버 또는 리졸버라고 하는 DNS 네임서버로 전달되며, 이 서버는 이전 요청에 대한 응답을 기반으로 캐시에 저장된 데이터에서 DNS 정보를 가져와 요청을 해결할 수 있습니다. 레코드가 DNS 캐시에 저장되어 있지 않는 경우 DNS 리졸버는 요청을 다른 네임서버로 전달한 다음 도메인의 공식 DNS 레코드를 보유하고 있는 권한 있는 DNS 서버로 전달합니다. 리커시브 서버가 정보를 찾으면 DNS 응답과 IP 주소를 사용자의 디바이스로 전달해 적절한 웹 페이지나 리소스를 정확하게 로드합니다.
공격자가 DNS를 표적으로 삼는 이유는 무엇인가요?
DNS 시스템이 공격의 빈번한 표적이 되는 이유는 세 가지입니다. 웹 활동의 거의 모든 측면에 관여하고, 내장된 보안 조치가 없으며, 일반적으로 DNS 트래픽은 검사 없이 방화벽을 통과하도록 허용되기 때문입니다.
DNS 리바인딩은 어떻게 작동하나요?
DNS 리바인딩 공격은 SOP(Same Origin Policy)의 제한을 우회하도록 설계되었습니다. 이 브라우저 보안 기능은 한 오리진에서 로드된 웹사이트가 명시적인 허가 없이 다른 오리진의 리소스와 상호 작용하거나 요청하는 것을 방지합니다. 예를 들어, 사용자가 웹사이트의 악성 링크를 클릭하는 경우 SOP는 악성 웹 페이지가 사용자의 은행 웹사이트에 HTTP 요청을 하고 로그인한 세션을 사용해 예금 계좌에서 자금을 빼내지 못하도록 차단합니다.
DNS 리바인딩 공격에서 공격자는 먼저 example.com 같은 특정 도메인에 대한 쿼리에 응답하는 악성 DNS 서버를 제어합니다. 그런 다음 공격자는 피싱과 같은 기술을 사용해 사용자를 속이고, 브라우저에 악성 도메인을 로드한 다음 example.com의 IP 주소에 대한 DNS 요청을 합니다. 공격자의 서버는 처음에 example.com의 실제 IP 주소로 응답하지만, DNS 레코드가 캐시에 오래 남아 있지 않도록 TTL(Time-to-Live) 값을 1초로 설정합니다. DNS 레코드에 대한 후속 요청 시 공격자는 피해자의 로컬 네트워크 내의 리소스로 IP 주소를 대체해 SOP 제한을 우회하고 공격자가 브라우저에서 악성 활성화를 실행할 수 있도록 합니다. DNS 리바인딩 공격은 민감한 정보를 유출하거나, 비즈니스를 방해하거나, 승인되지 않은 작업을 수행하거나, 더 큰 규모의 공격을 위한 기반을 마련하는 데 사용될 수 있습니다.
가장 효과적인 DNS 리바인딩 방지 방법은 무엇인가요?
IT 및 보안 팀은 사이버 보안을 개선하고 DNS 리바인딩 보호를 성공하기 위해 다음을 수행할 수 있습니다.
- 공격자가 요청을 강제할 수 없도록 자바스크립트 실행을 제한합니다.
- DNS 피닝을 사용해 DNS 레코드 내의 TTL 값에 관계없이 브라우저가 일정 기간 동안 DNS 확인 결과를 강제로 캐시하도록 합니다. 이렇게 하면 악성 웹사이트가 짧은 시간 내에 DNS 요청을 반복해 호스트 이름의 리바인딩을 방지할 수 있습니다.
- 모든 비공개 서비스에서 HTTPS 통신을 구축합니다. HTTPS 핸드셰이크는 SSL 인증서의 유효성을 검사하는 데 올바른 도메인이 필요하므로 공격 스크립트는 리바인딩 공격 중에 대상 서비스에 대한 SSL 연결을 설정할 수 없습니다.
- 비정상적인 DNS 쿼리 패턴을 인식하고 알려진 리바인딩 공격의 IOC(Indicator of Compromise)를 캡처하는 정교한 시그니처를 적용해 실시간 보호 기능을 제공하는 DNS 보안 공급업체를 선택합니다.