도메인 하이재킹이란?

도메인 하이재킹이란?

도메인 하이재킹은 공격자가 일반적으로 소셜 엔지니어링을 통해 도메인 이름에 대한 제어 능력을 탈취하는 행위를 의미합니다. 도메인 이름은 사용자를 웹 사이트에 연결하는 데 사용되는 고유하고 기억하기 쉬운 주소로, 조직의 대외적인 인터넷 정체성이 구축되는 기반입니다.

공격자가 도메인을 성공적으로 하이재킹하면 합법적인 소유자는 도메인과 연결된 모든 서비스에 대한 제어 능력을 잃게 됩니다. 여기에는 웹 사이트 콘텐츠, 기업 이메일, VoIP 콜 센터, 클라우드 스토리지 서비스, 기타 도메인과 연결된 애플리케이션이 포함됩니다. 이로 인해 도메인 이름 하이재킹은 브랜드, 수익, 명성에 큰 위협이 되는 주요 온라인 공격 중 하나로 간주됩니다.

도메인은 어떻게 작동하나요?

도메인 이름을 사용하면 복잡한 숫자와 문자로 이루어진 IP 주소를 기억하지 않고도 웹 사이트에 더 쉽게 접속할 수 있습니다. 도메인 이름은 인터넷의 전화번호부 역할을 하는 도메인 이름 시스템(DNS)을 통해 IP 주소와 매칭됩니다.

도메인은 도메인 이름 등록기관을 통해 설정됩니다. 도메인을 획득하려면 등록기관과 레지스트리라는 두 가지 핵심 기관이 필요합니다. VeriSign과 같은 레지스트리를 도매업체, 등록기관을 소매업체라고 생각해 보세요. 레지스트리는 TLD 내에 등록된 모든 도메인의 데이터베이스를 소유하고 있습니다. 레지스트리는 사용 가능한 도메인 이름의 예약 권한을 등록기관에 위임합니다. 수천 개에 달하는 등록기관은 최종 사용자에게 도메인 이름을 특정 기간 동안 “판매”(사실상 임대)합니다.

도메인 이름은 각각 점으로 구분된 두어 부분으로 구성됩니다. 오른쪽에서 왼쪽으로 읽어나가면 도메인 이름의 식별자가 가장 일반적인 것에서 가장 구체적인 것으로 바뀝니다.

• 도메인 이름의 마지막 점 오른쪽 부분은 최상위 도메인(TLD)입니다. TLD의 예로는 “.com”, “.net”, “.co”, “.uk”, and “.in” 둥이 있습니다.
• TLD 왼쪽에는 두 번째 수준 도메인(2LD)이 있으며, 2LD 왼쪽에 무언가가 있으면 이를 세 번째 수준 도메인(3LD)이라고 합니다.

무단 도메인 이름 변경을 방지하기 위해 도메인 소유자는 등록기관을 통해 “클라이언트” 잠금(등록기관 잠금)을 적용할 수 있습니다. 레지스트리는 “서버” 잠금 또는 레지스트리 잠금이라고도 하는 보안 조치를 적용합니다. 그러나 공격자가 적절한 계정 접근 권한을 획득하면, 도메인 잠금을 제거하고 무단으로 등록기관을 변경할 수 있습니다.

도메인 하이재킹은 어떻게 발생하나요?

도메인이 하이재킹되는 방법은 여러 가지가 있습니다. 예를 들면 다음과 같습니다.

• 소셜 엔지니어링 및 피싱 사기: 소셜 엔지니어링은 사람들을 조종하여 중요한 정보를 누설하도록 하는 모든 공격 행위를 광범위하게 지칭합니다. 예를 들어, 공격자는 등록기관에서 보낸 것처럼 보이는 합법적인 피싱 이메일을 의도한 피해자에게 보냅니다. 수신자는 이메일의 링크를 클릭하며, 해당 링크가 등록기관의 웹 사이트로 연결된다고 생각하지만, 실제로는 등록기관 로그인 자격 증명을 탈취하기 위해 설계된 스푸핑된 도메인으로 연결됩니다.
• 휴면 또는 만료되는 도메인의 악용: 대부분의 도메인 이름은 한 번에 최대 10년까지만 등록할 수 있습니다. 등록기관은 고객에게 도메인 만료 시점을 알릴 책임이 있습니다. 그러나 최종 사용자가 도메인을 제대로 갱신하지 않거나 올바르게 해제하지 않으면 공격자가 도메인을 구매하여 악용할 수 있습니다.
• 등록기관 침해: 공격자는 등록기관의 취약성을 악용할 수도 있습니다. 예를 들어 Squarespace가 Google Domains에서 약 1천만 개의 도메인을 마이그레이션하는 과정에서, 는 중일 때공격자는 취약점을 악용하여 계정을 탈취하고 DNS 레코드(특히 일부 암호화폐 및 블록체인 회사와 관련된 레코드)를 변경했습니다. 그 후 공격자는 방문자를 피싱 사이트로 리디렉션하여 토큰 및 기타 디지털 화폐를 탈취하려 했습니다.
• 손상된 API 키: API 키 및 기타 인증 토큰은 API를 통해 특정 도메인 서비스와 같은 온라인 계정에 애플리케이션이 접근할 수 있도록 설계되었습니다. 이러한 키가 노출되거나 실수로 유출되면, 조직의 등록기관 계정에 접근할 수 있는 권한을 제공할 수 있습니다.

도메인 하이재킹의 영향은 무엇인가요?

도메인이 성공적으로 탈취되면 공격자는 수많은 웹 운영애 혼란을 초래할 수 있습니다. 예를 들어, 공격자는 다음과 같은 행위를 할 수 있습니다.

• 원래 사이트의 콘텐츠 변경
• 방문자를 다른 악성 사이트로 리디렉션
• 온라인 결제를 공격자가 제어하는 계좌로 유용
• 해당 도메인의 메일 서버에서 스팸 및 피싱 이메일 전송
• 기업 이메일 계정으로 전송된 중요한 이메일 읽기
• API 호출을 변경하여 조직의 모바일 애플리케이션 및 기타 디지털 서비스 방해

등록기관 간에 도메인을 이전하는 것은 비교적 간단하지만, 탈취된 도메인을 복구하는 것은 매우 어렵습니다 복구에는 몇 주에서 몇 달이 걸릴 수 있습니다. 법적 조치가 필요할 수도 있습니다. 복구가 어려운 이유 중 하나는 원래 도메인 소유자가 더 이상 접근할 수 없는 시스템(예: 회사 이메일)에 관련 문서가 저장되어 있을 수 있기 때문입니다. 도메인은 며칠 안에 복구될 수도 있지만, 원래의 (합법적인) 소유자가 도난당한 도메인을 다시는 되찾지 못할 수도 있습니다.

결과와 상관없이, 하이재킹된 도메인은 궁극적으로 심각한 재정 문제, 평판 문제, 심지어 규제 준수 문제를 초래할 수 있습니다.

도메인 하이재킹과 도메인 스푸핑의 비교

도메인 하이재킹은 공격자가 합법적으로 등록된 도메인 이름을 탈취하는 행위입니다. 도메인 스푸핑은 사이버 범죄자가 가짜 웹 사이트나 이메일 도메인을 만들어 사용자들을 속이려는 행위입니다. 마치 사기꾼이 신뢰를 얻기 위해 가짜 신분증을 제시하는 것과 비슷합니다. 공격자는 도메인을 스푸핑하기 위해 등록기관 계정을 탈취할 필요가 없습니다.

도메인 하이재킹과 DNS 하이재킹의 비교

도메인 자체를 손상시키는 도메인 하이재킹은 DNS 하이재킹(DNS 포이즈닝이라고도 함)과 다릅니다. DNS 하이재킹은 공격자가 네임서버에 저장된 웹 사이트의 DNS 레코드를 표적으로 삼습니다.

네임서버 레코드는 기본적으로 인터넷에서 특정 도메인의 IP 주소를 찾을 수 있는 위치를 알려주는 역할을 합니다. 네임서버 레코드가 잘못 구성된 경우(즉, “포이즈닝”된 경우) 공격자는 쿼리를 다른 도메인 네임서버로 전환할 수 있습니다. 예를 들어, 사용자가 올바른 웹 사이트나 애플리케이션을 로드하지 못하고, 원본 사이트를 복제한 맬웨어를 배포하는 사이트로 트래픽이 우회될 수 있습니다.

도메인 하이재킹을 방지하는 방법

조직이 도메인 하이재킹으로부터 자신을 보호하는 가장 간단한 방법은 강력한 보안 조치를 제공하며 평판이 좋은 도메인 등록기관을 선택하는 것입니다. 다음과 같은 기능을 제공하는지 확인해 보세요.

• 2단계 인증(2FA): 2FA는 모든 등록자 계정 소유자가 두 가지 다른 방식으로 본인 인증을 거쳐야 액세스 권한을 받을 수 있도록 요구합니다.
• 도메인 등록 개인정보 보호: 도메인 개인정보 보호 서비스는 공개 레코드에서 도메인 등록자의 연락처 정보를 수정할 수 있습니다.
• 등록기관 잠금: 많은 일반 시장 등록기관에서는 등록자가 명시적으로 잠금을 해제하지 않는 한 레지스트리가 정보를 변경하는 것을 방지하는 등록기관 잠금을 지원합니다.
• 레지스트리 잠금: 레지스트리 잠금은 여러 개의 독립적인 오프라인 인증 소스와 단계가 필요한 더 높은 수준의 보안입니다.
• 갱신 유예 기간: 만료 후 유예 기간은 만료 기한을 놓친 고객에게 도움이 될 수 있습니다. 이는 등록된 신용 카드가 만료된 경우 자동 갱신 중이던 사용자에게도 영향을 미칠 수 있습니다. 만료 도메인을 악용하려는 공격자를 차단하려면 유예 기간이 있는 등록기관을 선택하는 것이 중요합니다.

Cloudflare가 도메인 하이재킹을 방지하는 방법

Cloudflare의 도메인 이름 등록기관 서비스인Cloudflare Registrar는 Enterprise 요금제 고객에게 도메인 하이재킹을 방지하는 베니티 도메인 보호 기능을 제공합니다. 베니티 도메인 보호를 사용하면 도메인 소유권이나 네임서버에 대한 변경 사항은 반드시 수동으로 검증을 거친 후 실행됩니다. 이 엄격한 변경 프로토콜은 모든 변경 사항이 조직의 직접 승인을 거치도록 보장합니다.

Cloudflare Registrar는 또한 모든 도메인에 대해 기본 제공되는 범용 DNSSEC를 제공하여 DNS 기반 공격의 광범위한 공격으로부터 도메인을 보호합니다.