진화하는 DNS 위협 환경
DNS는 보안을 위해 설계되지 않았습니다
도메인 네임 시스템(DNS)은 인터넷 액세스가 정부 기관, 과학자, 군대로 제한되었던 1980년대에 설계되었습니다. 시스템의 초기 설계자는 보안이 아닌 안정성과 기능에 관심이 있었습니다. 그 결과로 DNS 서버는 스푸핑, 증폭, 서비스 거부 등 광범위한 공격에 항상 취약했습니다.
그리고 이러한 공격은 점점 더 보편화되고 있습니다.IDC의 2021년 글로벌 DNS 위협 보고서에 따르면 조직의 87%가 작년에 DNS 공격을 받았으며, 이는 전년 대비 8% 포인트 증가한 수치입니다.이러한 공격은 대부분 심각한 결과를 초래했습니다.이 보고서에 따르면 DNS 공격의 76%에서 애플리케이션 다운타임이 유발되었으며 공격을 완화하는 데 평균 5시간 30분 이상 걸렸습니다.
이처럼 공격이 증가하는 요인으로는 여러 가지가 제시되며 조직에서는 이러한 문제를 모두 해결할 계획이 필요합니다.
최근 몇 년 동안 기존 DNS 환경에 새로 발견된 DNS 취약점과 코로나19 팬데믹으로 인한 인터넷 브라우징 습관 변화라는 두 가지 변화가 발생했습니다. 이러한 새로운 위협에 대응하고 기존 위협으로부터 방어하기 위해 조직에서는 일반적으로 DNS 보안에 더 높은 우선순위를 부여하고 DNSSEC를 넘어서는 다계층 접근 방식을 구현해야 합니다.
DNS를 악용하고 남용하는 새로운 사이버 위협
2021년에 조직의 44%에서 DNS 기반 공격을 주요 보안 문제 중 하나로 꼽았습니다. 지난 한 해를 간단히 되돌아 보면 그 이유가 분명해집니다.
우선, 다음과 같은 몇 가지 새로운 DNS 관련 취약점이 최근에 발견되었습니다.
'비밀번호 분실' 캐시 포이즈닝 공격. '비밀번호 분실' 링크는 웹 애플리케이션에서 일반적이지만, 2021년 7월에 발견된 취약점으로 인해 DNS 캐시 포이즈닝 공격에 취약해졌습니다. 보안 연구원들은 146개의 취약한 웹 애플리케이션에 캐시 포이즈닝 공격을 수행하여 비밀번호 재설정 이메일을 공격자가 제어하는 서버로 리디렉션할 수 있음을 발견했습니다. 이를 통해 링크를 클릭하고 사용자의 비밀번호를 재설정하여 계정에 합법적인 액세스를 제공할 수 있었습니다.
관리형 DNS에서의 데이터 노출. Black Hat USA 2021에서 발표한 연구에 따르면 특정 관리형 DNS 서비스의 버그로 인해 중요한 정보가 포함된 기업 DNS 트래픽이 노출될 수 있었습니다. 공격자는 DNS 네임 서버와 이름이 같은 도메인을 Amazon의 Route53 DNS 서비스 또는 Google Cloud DNS에 등록하여 모든 DNS 트래픽을 강제로 자기네 서버로 보낼 수 있었습니다. 이로 인해 중요한 정보가 노출되었고 DNS 스푸핑 공격이 가능해질 수 있었습니다.
DNS 서버에 대한 tsuNAME DDoS 공격. tsuNAME은 DNS 서버에 대한 DDoS 공격을 가능하게 하는 DNS 확인자 소프트웨어의 결함��입니다. '순환 종속성'이 있는 도메인이 존재할 수 있으며, 그 경우 도메인 A는 도메인 B에 위임하고 그 반대의 경우도 마찬가지입니다. 취약한 DNS 확인자는 순환 종속성을 유발하는 도메인이 제공될 때 루핑을 시작합니다. 어떤 경우에는, 2020년에 잘못 구성된 두 개의 도메인으로 인해 .nz의 권한 있는 DNS 서버의 트래픽이 50% 증가했습니다.
또한 원격 근무의 급증도 DNS 공격이 추가되도록 부추겼습니다. 코로나19 팬데믹이 시작된 이래 여러 공격 유형이 DNS 하이재킹으로 홈 라우터를 표적으로 삼았습니다. DNS 하이재킹에서 공격자는 합법적인 도메인의 DNS 레코드가 자신이 제어하는 사이트를 가리키도록 합니다. 이러한 최근 공격에서 손상된 사이트에서는 코로나19 관련 정보를 제공한다고 주장했지만, 실제로는 사용자의 장치에 맬웨어를 설치했습니다.
많은 직원이 집에서 풀타임 또는 파트타임으로 일하는 상황에서 손상된 장치는 심각한 네트워크 보안 위험을 초래할 수 있습니다. 전반적으로, Global Cyber Alliance의 보고서에 따르면 전 세계 데이터 유출의 약 3분의 1이 DNS 보안 허점에서 비롯됩니다.
기존의 DNS 위협도 지속됩니다
이러한 새로운 DNS 공격 벡터는 확립된 위협의 긴 목록에 합류합니다. DNS 인프라와 관련된 가장 일반적인 공격은 다음과 같습니다.
DNS 서비스 거부 공격: DNS 서비스를 중단시켜 서비스를 제공하는 사이트에 연결할 수 없게 만듭니다.이러한 공격은 존재하지 않는 도메인(NXDOMAIN) 또는 임의의 하위 도메인을 요청하여 서버 리소스를 낭비하게 만들거나 DNS 서버에 대해 분산 DoS(DDoS) 공격을 수행할 수 있습니다.
DNS 스푸핑: DNS 하이재킹과 유사하지만, 일반적으로 요청되거나 최근에 요청된 DNS 레코드를 캐시하는 DNS 확인자를 대상으로 합니다.DNS 스푸핑 또는 캐시 포이즈닝 공격은 확인자의 캐시에 잘못된 DNS 레코드를 도입하여 해당 도메인에 대한 요청이 공격자가 제어하는 웹 사이트로 라우팅되도록 합니다.
DNS DDoS 증폭: UDP를 통해 통신하고 해당 요청보다 훨씬 큰 응답을 갖는 서비스를 활용합니다.이러한 요소를 통해 공격자는 서비스에 요청을 보내고 훨씬 더 큰 응답을 대상으로 보낼 수 있습니다.DNS 증폭 공격은 대상을 DNS 응답으로 가득 채우고 대역폭을 소모시키며 대상 서버를 압도합니다.
DNS 터널링: DNS 트래픽의 권한을 악용하여 기업 방화벽을 통과합니다.이러한 공격은 DNS 트래픽을 사용하여 맬웨어와 공격자가 제어하는 데이터 서버 간에 데이터를 전달합니다.
DNS 공격의 영향
DNS 공격 환경이 다양하다는 것은 공격 결과도 다양하다는 것을 의미합니다. 상황과 관계없이 이러한 결과는 심각한 경우가 많습니다.
앞서 언급한 tsuNAME 결함을 악용하는 공격과 같은 DNS DDoS 공격은 전체 웹 애플리케이션의 성능을 저하시키거나 완전한 다운타임을 초래할 수 있습니다. DNS는 웹 사이트가 빠르게 로드되는 기능의 중요한 첫 번째 단계이며 이러한 공격은 합법적인 요청을 처리하는 데 사용할 수 있는 서버 리소스를 사용합니다. 2020년에 DNS 공격을 받은 조직의 42%에서는 웹 사이트가 어떤 식으로든 손상되었다고 보고했습니다.
DNS DDoS 증폭, DNS 터널링 등 DNS 서비스를 중단시키도록 설계되지 않은 공격조차도 DNS 서버에 대량의 트래픽을 생성할 수 있습니다. 이러한 저조한 성능은 낮은 전환율, 낮은 자연 검색 순위 등 여러 가지 부차적인 결과를 초래합니다.
스푸핑, 하이재킹, 캐시 포이즈닝 공격은 잠재 고객을 합법적인 웹 사이트에서 멀어지게 하므로 웹 사이트 전환에 방해가 될 수도 있습니다. 또한 자체 사이트가 제대로 보호되지 않은 것으로 간주되면 장기적으로 조직의 브랜드 평판이 손상될 수 있습니다.
DNS 공격은 조직의 네트워크 보안에 심각한 결과를 초래할 수도 있습니다. 앞서 언급한 특정 관리형 DNS 공급자의 취약점으로 인해 개인 트래픽이 공격자에게 노출되어 중요한 데이터 보안 문제가 발생했습니다. 그리고 네트워크에 맬웨어를 설치하고 제어하는 DNS 터널링 공격은 데이터 손실 및 랜섬 요구 등 여러 가지 결과를 초래할 수 있습니다.
전반적으로, 2020년의 DNS 공격당 평균 비용은 $900,000 이상이었습니다.
DNS 공격의 위협 완화
조직에서 DNS 공격을 완화하는 데 도움이 되는 여러 조치가 있습니다. 목록의 맨 위에는 일종의 DNS 보안 솔루션 구현이 있습니다. IDC의 보고서에 ��따르면 조직의 42%에서 전용 DNS 보안 솔루션을 배포하지 않은 것으로 나타났습니다.
이러한 공격으로부터 보호하려면 DNS 보안 솔루션이 필요합니다. 그러나 이러한 솔루션은 합법적인 DNS 요청의 성능에 부정적인 영향을 미치지 않도록 신중하게 설계하고 구현해야 합니다.
일부 DNS 공격 완화 옵션은 다음과 같습니다.
DNSSEC: DNSSEC는 DNS 서버의 응답에 서명하는 보안 프로토콜입니다.이렇게 하면 클라이언트에 반환된 데이터를 인증하여 DNS 하이재킹 및 스푸핑으로부터 보호할 수 있습니다.
이중화 인프라: DNS 인프라에 대한 DoS 공격은 일반적으로 대상 DNS 서버가 처리할 수 있는 트래픽보다 더 많은 트래픽을 보내는 방식으로 작동합니다.서버를 과도하게 프로비저닝하고 Anycast 라우팅을 사용하면 여러 서버 간에 트래픽의 부하를 분산할 수 있습니다.따라서 한 서버가 과부하되거나 다운되는 경우에도 가용성이 보장됩니다.
DNS 방화벽: DNS 방화벽은 도메인의 권한 있는 네임서버와 사용자의 재귀 확인자 사이에 자리합니다.방화벽은 DDoS 공격으로부터 보호하기 위해 제한 요청의 속도를 높이거나 트래픽을 필터링하여 악의적이거나 의심스러운 요청을 차단할 수 있습니다.
암호화된 DNS: 기본적으로 DNS는 암호화되지 않고 인증되지 않은 프로토콜입니다.HTTPS를 통한 DNS(DoH) 및 TLS를 통한 DNS(DoT)는 암호화 및 인증을 제공합니다.
Cloudflare를 이용하는 DNS 보안
Cloudflare에서는 수백만 명의 고객이 전체 DNS 위협 스펙트럼에 걸쳐서 완화될 수 있도록 지원합니다. Cloudflare 관리형 DNS는 DNS 스푸핑 및 하이재킹 공격으로부터 보호하기 위해 원클릭 DNSSEC를 제공합니다. Cloudflare 관리형 DNS는 Cloudflare의 총 네트워크 용량 100Tbps를 기반으로 구축되었으며, 이는 역대 최대 규모의 DNS DDoS 공격보다 몇 배 더 커서 다른 공격 유형 외에도 DDoS 공격을 차단합니다.
Cloudflare 네트워크는 수백만 개의 웹 사이트, API, 네트워크의 위협 인텔리전스를 기반으로 하며 최신 취약성보다 자동으로 앞서 나갑니다.
그리고 이러한 보호 기능은 성능 저하 없이 제공됩니다. Cloudflare에서는 평균 조회 시간이 11ms인, 세계에서 가장 빠른 권한 있는 DNS를 운영합니다. Cloudflare DNS를 보조 DNS로 사용하거나 숨겨진 기본 설정에서 기존 DNS 인프라를 유지 관리할 수도 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
DNS 보안의 중요성
최근의 DNS 취약점과 그 결과
일반적인 DNS 공격을 식별하는 방법
DNS 보안을 개선하는 방법