Cloudflare Registrar의 사용자 지정 도메인 보호
최고 수준의 등록 기관 보안
기업 요금제에서 제공되는 Cloudflare Registrar의 사용자 지정 도메인 보호 서비스는 Registrar 계정의 변경 사항에 대해 전적으로 대역 외 인증을 적용해 도메인 하이재킹으로부터 기업을 보호합니다. Cloudflare는 ICANN 공인 등록 기관으로, 유명 도메인에 대해 안전한 도메인 등록 서비스를 제공하고 있습니다.
도메인 하이재킹이란?
도메인 하이재킹은 근본적으로 인터넷 ID 도용입니다. 회사의 도메인 이름을 사용하는 웹사이트, 이메일, VoIP 등의 서비스를 사용하려는 방문자에게 보이는 콘텐츠를 전혀 통제할 수 없게 됩니다. 이는 회사의 브랜드와 평판에 심각한 위협입니다. 유일한 조치는 도메인 손실을 사용 중인 등록 기관(공격자가 도메인에 대한 통제 권한을 새로운 등록 기관으로 이전한 경우에는, 현재 도메인을 관리하는 업체 포함)에 알리고 적절한 조치를 취해주기를 바라는 것뿐입니다. 그렇게 해도 해결되지 않을 경우에는 ICANN에 법적 소송을 제기할 수밖에 없는데, 이러한 소송은 몇 주에서 몇 개월까지 걸릴 수 있습니다.
Cloudflare는 도메인과 등록 기관의 보안 상태를 확인하는 데 도움이 되는 무료 도구를 구축했습니다. Cloudflare 보안 검사기를 사용하여 도메인의 보안 등급을 확인해보시기 바랍니다.
레지스트리에는 도메인의 전역 목록이 유지됩니다.
Registrar는 등록자에게 도메인을 판매하고 도메인 정보를 등록 기관에 업로드합니다.
등록자는 등록 기관 계정을 통해 도메인을 구입하고 관리할 수 있습니다.
공격자가 등록 기관 계정을 손상시키고 이름 서버 또는 도메인과 관련된 다른 등록 정보를 변경할 경우 등록 기관r 수준에서 도메인 하이재킹이 발생할 수 있습니다. 이때 등록 기관은 권한을 가진 등록자가 변경한 것이라고 믿고 새로운 정보를 레지스트리로 보냅니다.
레지스트리는 모든 도메인과 관련된 이름 서버의 신뢰할 수 있는 소스 역할을 하므로 등록 기관의 변경 사항에 동의한 후에는 해당 도메인에 대한 모든 트래픽이 새로운 이름 서버로 다시 라우트됩니다. 그러면 새로운 이름 서버에서 공격자가 선택한 IP 주소로 방문자를 보냅니다.
레지스트리 변경은 입증되어야 하고 엄격하게 인증되어야 합니다
소유권과 신뢰할 수 있는 이름 서버 정보는 거의 업데이트되지 않으며 그러한 업데이트를 잘못 수행하면 장기적으로 위험한 결과가 발생합니다. 따라서 글로벌 도메인 레지스트리의 정보에 대한 변경 작업은 안전하고 철저하게 수행해야 합니다.
Cloudflare Registrar는 이를 염두에 두고 설계되었습니다. 즉, 도메인 소유권 또는 이름 서버 정보의 모든 변경 사항이 수동으로 확인 및 실행됩니다.
사용자 지정 도메인 보호를 통한 도메인 방어
Cloudflare Registrar의 사용자 지정 도메인 보호 서비스는 모든 전송 요청에 대해 엄격한 변경 관리 프로토콜을 따릅니다. 이름 서버나 등록 데이터에 대한 모든 변경은 전체로서 조직의 승인을 얻게 하는 것이 목표입니다. Cloudflare는 다음과 같은 보안 기능을 제공합니다.
•모든 변경 요청에 대한 다중 사용자 오프라인 확인
• 등록 기관 잠금의 일관된 사용
• 레지스트리 잠금의 일관된 사용
• 모든 등록자 계정에 적용되는 2단계 인증
• 사용자 지정 가능한 인증 프로세스
• 타당성 검사
독립적인 오프라인 검증 소스를 여러 개 요구하면 온라인 등록 기관 계정을 손상시키려는 공격자의 시도가 저지됩니다.
일반 시장의 registrar들은 잠금이 명시적으로 제거되지 않는 한 레지스트리의 정보가 변경되지 않도록 방지하는 등록 기관 잠금 기능을 지원하는 경우가 많습니다. 하지만 공격자가 registrar 계정을 손상시키면 잠금을 해제하고 자신들이 원하는 대로 변경할 수 있습니다.
레지스트리 잠금은 등록 기관 잠금보다 보안 수준이 훨씬 높습니다. 즉, 잠금이 제거될 때까지 사용 중인 등록 기관을 비롯하여 모든 등록 기관에 의한 변경이 방지됩니다. 레지스트리 수준에서 잠금을 해제하려면 레지스트리 운영자와의 대역 외 통신이 필요하므로 수동 작업이 많이 수반됩니다.
운영 상의 변경 불필요
레지스트리 변경 사항은 운영 DNS 정보와 혼동되어서는 안 됩니다. 이름 서버와 등록 정보를 변경할 경우 신중한 유효성 검사가 필요하지만, 이름 서버의 레코드 변경은 거의 즉각적으로 이루어져야 합니다.
Cloudflare Registrar에서는 운영 DNS 인프라를 변경할 필요가 없습니다. 어떠한 추가 구성 없이도 A, AAAA, MX 및 기타 필요한 모든 레코드를 업데이트할 수 있습니다. Cloudflare Registrar로 마이그레이션할 때 레지스트리 정보로 동일한 이름 서버를 가리킬 수 있습니다. 유일한 차이점은 공격자가 해당 값을 변경하기가 훨씬 더 어렵다는 것입니다.
범용 DNSSEC를 통한 계층형 방어
Cloudflare Registrar의 사용자 지정 도메인 보호 서비스는 레지스트리에서 도메인이 하이재킹되는 것을 방지하지만, DNS 가로채기 공격에는 여전히 취약합니다. 범용 DNSSEC는 암호화 서명을 사용하여 도메인에 대한 모든 DNS 쿼리를 인증함으로써 추가적인 보안 계층을 형성합니다. Cloudflare가 도메인의 등록 기관와 DNS 공급 업체의 역할을 동시에 하게 되면 DNSSEC를 원활하게 제공할 수 있습니다.