Cloudflare Registrar의 사용자 지정 도메인 보호

최고 수준의 등록 기관 보안

기업 요금제에서 제공되는 Cloudflare Registrar의 사용자 지정 도메인 보호 서비스는 Registrar 계정의 변경 사항에 대해 전적으로 대역 외 인증을 적용해 도메인 하이재킹으로부터 기업을 보호합니다. Cloudflare는 ICANN 공인 등록 기관으로, 유명 도메인에 대해 안전한 도메인 등록 서비스를 제공하고 있습니다.

WHOIS 데이터 액세스 요청

registrar diagram domain hijack

도메인 하이재킹이란?

도메인 하이재킹은 근본적으로 인터넷 ID 도용입니다. 회사의 도메인 이름을 사용하는 웹사이트, 이메일, VoIP 등의 서비스를 사용하려는 방문자에게 보이는 콘텐츠를 전혀 통제할 수 없게 됩니다. 이는 회사의 브랜드와 평판에 심각한 위협입니다. 유일한 조치는 도메인 손실을 사용 중인 등록 업체(공격자가 도메인에 대한 통제 권한을 새로운 등록 업체로 이전한 경우에는, 현재 도메인을 관리하는 업체 포함)에 알리고 적절한 조치를 취해주기를 바라는 것뿐입니다. 그렇게 해도 해결되지 않을 경우에는 ICANN에 법적 소송을 제기할 수밖에 없는데, 이러한 소송은 몇 주에서 몇 개월까지 걸릴 수 있습니다.

Cloudflare는 도메인과 등록자의 보안 상태를 확인하는 데 도움이 되는 무료 도구를 구축했습니다. Cloudflare 보안 검사기를 사용하여 도메인의 보안 등급을 확인해보시기 바랍니다.

  • 레지스트리에는 전 세계의 도메인 목록이 유지됩니다.
  • 등록 업체는 등록자에게 도메인을 판매하고 도메인 정보를 레지스트리에 업로드합니다.
  • 등록자는 등록 업체 계정을 통해 도메인을 구입하고 관리할 수 있습니다.

공격자가 등록 업체 계정을 손상시키고 네임서버 또는 도메인과 관련된 다른 등록 정보를 변경할 경우 등록 업체 수준에서 도메인 하이재킹이 발생할 수 있습니다. 이때 등록 업체는 권한을 가진 등록자에 의한 변경 사항이라고 믿고 새로운 정보를 레지스트리로 보냅니다.

레지스트리는 모든 도메인과 관련된 네임서버의 신뢰할 수 있는 정보원이므로, 레지스트리가 등록 업체의 변경 요청을 승인한 후에는, 해당 도메인에 대한 모든 트래픽이 새로운 네임서버로 다시 라우팅됩니다. 그러면 새로운 네임서버에서 공격자가 선택한 IP 주소로 방문자를 보냅니다.

레지스트리 변경은 입증되어야 하고 엄격하게 인증되어야 합니다

소유권과 신뢰할 수 있는 네임서버 정보는 거의 업데이트되지 않으며, 그러한 업데이트를 잘못 수행하면 장기적으로 위험한 결과가 발생합니다. 따라서 글로벌 도메인 레지스트리의 정보에 대한 변경 작업은 안전하고 철저하게 수행해야 합니다.

Cloudflare Registrar는 이를 염두에 두고 설계됐습니다. 도메인 소유권이나 네임서버에 대한 변경 사항은 모두 수동으로 확인하고 실행합니다.

사용자 지정 도메인 보호를 통한 도메인 방어

Cloudflare Registrar의 사용자 지정 도메인 보호 서비스는 모든 전송 요청에 대해 엄격한 변경 관리 프로토콜을 따릅니다. 네임서버나 등록 데이터에 대한 모든 변경은 전체로서 조직의 승인을 얻게 하는 것이 목표입니다. Cloudflare가 제공하는 보안 기능:

  • 모든 변경 요청에 대한 멀티사용자, 오프라인 확인
  • 등록 업체 잠금의 일관된 사용
  • 레지스트리 잠금의 일관된 사용
  • 등록자 계정 모두에 적용되는 2단계 인증
  • 사용자 지정 가능한 인증 프로세스
  • 타당성 검사

독립적인 오프라인 검증 소스를 여러 개 요구하여, 온라인 등록 업체 계정을 손상시키려는 공격자의 시도를 저지합니다.

일반 대중을 상대로 하는 등록 업체들이 제공하는 등록 업체 잠금 기능은 명시적으로 잠금을 해제하지 않는 한 레지스트리 정보 변경을 막는 경우가 많습니다. 하지만 공격자가 등록 업체 계정을 손상시킬 수 있으며, 잠금을 해제하고, 원하는 대로 변경할 수 있습니다.

레지스트리 잠금은 등록 업체 잠금보다 보안 수준이 훨씬 높습니다. 즉, 잠금이 제거될 때까지, 사용 중인 등록 업체 포함 모든 등록 업체에 의한 변경이 방지됩니다. 레지스트리 수준에서 잠금을 해제하려면 레지스트리 운영자와의 대역 외 통신이 필요하므로 수작업이 많이 수반됩니다.

운영 상의 변경 불필요

레지스트리 변경을 운영 DNS 정보와 혼동하면 안 됩니다. 네임서버와 등록 정보 변경은 꼼꼼한 인증이 필요하지만, 네임서버의 레코드 변경은 거의 즉각적으로 이루어질 수 있습니다.

Cloudflare Registrar로 변경할 경우, 운영 DNS 인프라를 변경할 필요가 없습니다. 추가적인 구성 작업 없이도 A, AAAA, MX 등 필요한 레코드를 모두 업데이트할 수 있습니다. Cloudflare Registrar로 이전해도, 레지스트리 정보는 동일한 네임서버를 가리키게 할 수 있습니다. 유일한 차이점은 공격자가 해당 값을 변경하기가 훨씬 더 어렵다는 것입니다.

범용 DNSSEC를 통한 계층형 방어

Cloudflare Registrar의 사용자 지정 도메인 보호 서비스는 레지스트리에서 도메인이 하이재킹되는 것을 방지하지만, DNS 가로채기 공격에는 여전히 취약합니다. 범용 DNSSEC는 암호화 서명을 사용하여 도메인에 대한 모든 DNS 쿼리를 인증함으로써 추가적인 보안 계층을 형성합니다. Cloudflare가 도메인의 등록 업체와 DNS 공급 업체의 역할을 동시에 하게 되면, DNSSEC를 원활하게 제공할 수 있습니다.

Cloudflare Registrar로 전환

가치가 높은 등록 상표 도메인을 관리하는 조직에는 사용자 지정 도메인 보호 기능이 있는 Cloudflare Registrar를 통해 보안에 필요한 모든 것을 갖출 수 있습니다. 자세한 내용은 영업팀에 문의하시기 바랍니다.