DNS 터널링은 정상적으로 사용될 수도 있지만, 악성 목적으로 악용되는 경우가 많으므로 탐지와 예방이 매우 중요합니다.
DLS 터널링은 해커가 DNS(Domain Name System)를 악성 트래픽의 전송 수단으로 사용해 네트워크 보안을 우회하는 사이버 공격의 한 종류입니다. 공격자는 DNS 패킷 내에 비 DNS 트래픽을 숨겨 네트워크 보안 조치를 우회할 수 있습니다. DNS 터널링 공격에 성공한 해커는 네트워크 보안을 우회하고, 데이터를 유출하고, 다른 컴퓨터를 제어하고, 사용자 인증정보를 수집하거나, 향후 공격을 위해 네트워크의 풋프린트를 탐색할 수 있습니다.
DNS 쿼리와 DNS 트래픽이란 무엇일까요?
DNS는 인터넷의 GPS와 같습니다. DNS 서버는 사용자가 웹 브라우저에 입력하는 사람이 읽을 수 있는 이름을 머신이 읽을 수 있는 IP 주소(예: 2001:db8:3e8:2a3::b63)로 변환해 브라우저가 올바른 사이트를 로드할 수 있도록 합니다. DNS를 사용하면 방문하려는 사이트의 IP 주소를 추적하지 않고 기억하기 쉬운 도메인 이름을 사용해 웹을 탐색할 수 있습니다.
DNS가 해커에게 매력적인 공격 기법인 이유에는 여러 가지가 있습니다. 많은 애플리케이션과 서비스가 DNS 쿼리에 의존하고 있으며 DNS 트래픽은 널리 신뢰받고 있습니다. DNS 프로토콜은 보안을 위해 설계된 것이 아니라 요청을 하는 사용자나 디바이스의 인증정보나 동기를 의심하지 않고 IP 주소 요청을 빠르고 정확하게 해결하도록 설계되었습니다. DNS 쿼리는 도메인 이름을 확인할 뿐만 아니라 디바이스, 서버 또는 시스템 간에 소량의 데이터를 전송할 수도 있습니다. 많은 기업이 이러한 패킷에서 악성 활동이 있는지 제대로 분석하지 않기 때문에 도메인 터널링은 매우 효과적인 DNS 공격 기법이 될 수 있습니다.
DNS 터널링은 어떻게 작동하나요?
사용자가 멀웨어를 컴퓨터에 다운로드하거나 해커가 컴퓨터 시스템의 취약점을 악용해 악성 페이로드를 설치하는 데 성공하면 DNS 터널링 공격이 시작됩니다. 일반적으로 공격자는 디바이스에 대한 제어를 유지해 명령을 실행하거나 외부로 데이터를 전송하려 합니다. 이를 위해 공격자는 네트워크 경계 보안 조치의 탐지를 피하면서 감염된 시스템에서 명령을 보내고 데이터를 수신하기 위한 터널을 구축해야 합니다.
DNS 트래픽은 일반적으로 방화벽과 같은 경계 보안 조치를 자유롭게 통과하기 때문에 이 악용을 위한 완벽한 수단이 됩니다. 공격자는 터널을 생성하기 위해 도메인 이름을 생성 및 등록하고, 공격자의 통제하에 권한 네임서버를 설정합니다. 피해자 디바이스의 멀웨어가 공격자의 서버에 DNS 쿼리를 하면 서버는 감염된 디바이스에 대한 데이터와 명령이 포함된 DNS 패킷으로 응답합니다. 이러한 방식으로 공격자는 경보를 울리지 않고 감염된 디바이스와 지속적으로 통신할 수 있습니다. 공격자는 쿼리로 인코딩된 데이터를 악성 권한 네임서버로 보낼 수도 있습니다.
해커는 DNS 터널링을 어떻게 이용하나요?
공격자는 DNS 터널링을 통해 다양한 악성 활동을 수행할 수 있습니다.
- 멀웨어 설치. 공격자는 DNS 터널링을 이용해 추가 시스템에 멀웨어를 설치할 수 있습니다.
- 인증정보 수집. 공격자는 디바이스에 대한 명령과 제어를 확보한 후 키로거와 기타 방법을 통해 추가 공격에 이용하거나 다크 웹에서 판매할 사용자 인증정보를 수집할 수 있습니다.
- 네트워크 탐색. 공격자는 감염된 네트워크 내에서 DNS 쿼리를 통해 네트워크 지도를 작성해 시스템과 고가치 자산을 식별할 수 있습니다.
- 데이터 유출. 사이버 범죄자 는 DNS 터널링을 사용해 민감한 사용자 정보나 기밀 정보를 포함한 데이터를 네트워크 외부로 전송할 수 있습니다.
- 디바이스 제어. 공격자는 감염된 디바이스를 제어하는 기능을 통해 DDoS 공격 같은 다른 위협을 유발할 수 있습니다.
DNS 터널링 공격이 효과적인 이유는 무엇인가요?
많은 기업이 DNS 트래픽의 악성 활동을 모니터링하지 않습니다.
DNS 터널링은 어떻게 탐지할 수 있나요?
보안팀은 페이로드와 트래픽을 분석해 DNS 터널링 공격의 징후를 파악할 수 있습니다.
페이로드 분석은 DNS 요청과 응답의 내용을 살펴봅니다. 예를 들어, 비정상적인 호스트 이름이나 DNS 요청과 응답의 크기가 크게 차이가 나는 경우 의심스러운 활동의 징후일 수 있습니다. 페이로드 분석은 비정상적인 문자 집합, DNS를 통해 전송되는 이상한 정보, 자주 사용되지 않는 DNS 레코드 종류, 가장 많은 트래픽을 전송하는 소스 IP 주소의 반복 패턴 등을 검색할 수도 있습니다.
트래픽 분석은 요청 횟수, 요청의 출처, 도메인의 기록, DNS 비정상 동작 등의 데이터를 모니터링합니다. DNS 터널링은 일반적으로 더 큰 패킷 크기를 생성하므로 IT 팀은 패킷의 크기를 분석할 수도 있습니다.
DNS 터널링 공격은 어떻게 방지할 수 있나요?
DNS 터널링 공격을 방지하기 위해 IT 및 보안팀은 몇 가지 사이버 보안 모범 사례를 따를 수 있습니다.
- 직원들이 악성 링크를 클릭하거나, 의심스러운 이메일과 첨부 파일을 열거나, 멀웨어를 유발할 수 있는 기타 조치를 취하지 않도록 보안 인식 교육을 실시합니다.
- 고급 안티바이러스 및 안티멀웨어 기술을 구축해 DNS 터널을 설정하는 첫 단계인 멀웨어 설치를 방지합니다.
- DNS 터널링 공격을 발견하기 위해 DNS 요청을 포함한 모든 네트워크 트래픽에 대한 심층 스캔을 수행하는 기술을 배포합니다.
- DNS 터널링을 사용해 서명을 가져오지만 불법적인 목적으로도 사용될 수 있는 안티바이러스 프로그램과 기타 보안 솔루션 같은 DNS 터널링 VPN 서비스를 모니터링합니다.
- 의심스러운 동작을 모니터링하는 DNS 방화벽이나 DNS 터널링 유틸리티를 배포합니다.
- 고급 위협 방지 솔루션을 도입해 DNS 보안을 개선하고, 멀웨어를 차단하고, 데이터 유출을 막고, DNS 트래픽에 포함된 악성 콘텐츠를 찾아냅니다.
자주 묻는 질문(FAQ)
DNS 터널링은 DNS 패킷 내에 비 DNS 트래픽을 캡슐화하는 기술로, 은밀한 데이터 전송에 자주 사용됩니다.
트래픽 분석, 비정상 탐지, 비정상적인 DNS 패턴을 식별하도록 설계된 전문 툴 등을 이용해 탐지할 수 있습니다.
예, DNS 터널링은 승인된 활동을 위한 네트워크 제한 우회 등의 정상적인 목적으로 사용될 수 있습니다.
강력한 네트워크 보안 조치를 구축하고, DNS 모니터링 툴을 사용하고, 진화하는 위협에 대한 정보를 지속적으로 파악해야 합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.