.gif)
DNS 하이재킹 공격...인터넷 사용자들을 위험한 곳으로 이끌어
10년 지났어도 DNSSEC 도입률은 20% 미만...DNS 보호 위해 높여야
[보안뉴스 문가용 기자] 국제인터넷주소관리기구(ICANN)가 도메인 이름 시스템(DNS) 관계자들에게 빠르게 증가하는 사이버 위협에 맞서 보안을 강화하라는 권고를 발송했다. ICANN 측이 구체적으로 권고한 건 바로 보안이 강화된 DNS인 DNSSEC으로, 빠르게 번지고 있는 DNS 하이재킹 공격에 맞서 DNSSEC이 전 세계적으로 도입되어야 한다고 주장했다.
[이미지 = iclickart]
ICANN 측이 지목한 DNS 하이재킹 공격이란, 공격자들이 침해된 크리덴셜 등의 불법적인 방법 및 도구를 가지고 도메인 대행업체(registrar) 등 인터넷 인프라 서비스 업체에 접근하는 것을 말한다. 접근에 성공하면 DNS 기록을 바꿈으로써, 해당 인프라를 이용하는 사용자들이 주소창에 주소를 입력했을 때 엉뚱한 사이트에 도착하도록 할 수 있다.
“이런 유형의 공격은 DNS를 표적으로 하는 것으로, DNSSEC이 제대로 구축되지 않았을 때에만 가능합니다. DNSSEC은 이러한 불법적인 DNS 변경을 막기 위해 고안된 기술로, 공격자들이 도메인 인프라에 침투한다고 해도 DNS에 할당된 주소를 바꿀 수 없게 해줍니다.” ICANN의 설명이다.
“물론 DNSSEC이 모든 DNS 관련 공격을 막을 수는 없습니다. DNS 관련 공격이 DNS 하이재킹만 있는 것도 아니고요. 하지만 적어도 DNSSEC을 도입하면 DNS 관련 정보를 누군가 불법적으로 수정하려고 할 때 알아챌 수는 있습니다. 그리고 사용자들이 다른 엉뚱한 곳으로 가는 것을 차단하는 것도 가능합니다.”
ICANN은 “DNS 생태계에 속해 있는 모든 조직들이 함께 이 문제를 해결했으면 좋겠다”고 초청했다. “DNS 서비스를 더 안전하게 보호할 수 있는 도구와 정책이 필요한 때이고, 이는 어떤 한 기관만의 힘으로 해결할 수 없는 문제입니다. DNS가 현대 사회에서 얼마나 중요한 위치를 차지하고 있는지 생각해보시길 바랍니다.”
DNSSEC이 처음 도입된 건 2010년의 일이다. 하지만 10년 가까이 지난 지금 전 세계에서 사용률이 20%를 넘지 못하고 있다. ICANN은 2017년, “거의 모든 도메인 대행업체들이 기술적으로는 규정들을 준수하고 있지만, DNSSEC 키와 기록들을 유지하고 서명하는 노력은 사실상 전혀 하지 않고 있다”는 연구 결과를 발표한 바 있다.
“DNSSEC이 제대로 작동하려면 최고 수준 도메인들이 먼저 서명되어야 합니다. 그리고 도메인 대행업체들이 DNSSEC 키의 서명을 지원해야 합니다. 보안은 루트 키에서부터 밑으로 무결하게 전달될 때 유지될 수 있습니다. 즉, 도메인에 대한 기록들과 호스트 목록이 온전히 보존되어야 한다는 것입니다. 이 연속된 사슬 속에서 결점이 발견될 경우 DNS 기록이 인증되지 않도록 해야 합니다.” ICANN의 제안이다.
3줄 요약
1. 국제인터넷주소관리기구, DNS 하이재킹 공격에 대한 경고 발송함.
2. 그러면서 DNS 서비스망에 참여하는 모든 조직이 DNSSEC을 도입해야 한다고 주장.
3. DNS는 이제 빼놓을 수 없는 주요 사회 인프라이니 알맞은 보호 장치가 적용되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
10년 지났어도 DNSSEC 도입률은 20% 미만...DNS 보호 위해 높여야
[보안뉴스 문가용 기자] 국제인터넷주소관리기구(ICANN)가 도메인 이름 시스템(DNS) 관계자들에게 빠르게 증가하는 사이버 위협에 맞서 보안을 강화하라는 권고를 발송했다. ICANN 측이 구체적으로 권고한 건 바로 보안이 강화된 DNS인 DNSSEC으로, 빠르게 번지고 있는 DNS 하이재킹 공격에 맞서 DNSSEC이 전 세계적으로 도입되어야 한다고 주장했다.
[이미지 = iclickart]
ICANN 측이 지목한 DNS 하이재킹 공격이란, 공격자들이 침해된 크리덴셜 등의 불법적인 방법 및 도구를 가지고 도메인 대행업체(registrar) 등 인터넷 인프라 서비스 업체에 접근하는 것을 말한다. 접근에 성공하면 DNS 기록을 바꿈으로써, 해당 인프라를 이용하는 사용자들이 주소창에 주소를 입력했을 때 엉뚱한 사이트에 도착하도록 할 수 있다.
“이런 유형의 공격은 DNS를 표적으로 하는 것으로, DNSSEC이 제대로 구축되지 않았을 때에만 가능합니다. DNSSEC은 이러한 불법적인 DNS 변경을 막기 위해 고안된 기술로, 공격자들이 도메인 인프라에 침투한다고 해도 DNS에 할당된 주소를 바꿀 수 없게 해줍니다.” ICANN의 설명이다.
“물론 DNSSEC이 모든 DNS 관련 공격을 막을 수는 없습니다. DNS 관련 공격이 DNS 하이재킹만 있는 것도 아니고요. 하지만 적어도 DNSSEC을 도입하면 DNS 관련 정보를 누군가 불법적으로 수정하려고 할 때 알아챌 수는 있습니다. 그리고 사용자들이 다른 엉뚱한 곳으로 가는 것을 차단하는 것도 가능합니다.”
ICANN은 “DNS 생태계에 속해 있는 모든 조직들이 함께 이 문제를 해결했으면 좋겠다”고 초청했다. “DNS 서비스를 더 안전하게 보호할 수 있는 도구와 정책이 필요한 때이고, 이는 어떤 한 기관만의 힘으로 해결할 수 없는 문제입니다. DNS가 현대 사회에서 얼마나 중요한 위치를 차지하고 있는지 생각해보시길 바랍니다.”
DNSSEC이 처음 도입된 건 2010년의 일이다. 하지만 10년 가까이 지난 지금 전 세계에서 사용률이 20%를 넘지 못하고 있다. ICANN은 2017년, “거의 모든 도메인 대행업체들이 기술적으로는 규정들을 준수하고 있지만, DNSSEC 키와 기록들을 유지하고 서명하는 노력은 사실상 전혀 하지 않고 있다”는 연구 결과를 발표한 바 있다.
“DNSSEC이 제대로 작동하려면 최고 수준 도메인들이 먼저 서명되어야 합니다. 그리고 도메인 대행업체들이 DNSSEC 키의 서명을 지원해야 합니다. 보안은 루트 키에서부터 밑으로 무결하게 전달될 때 유지될 수 있습니다. 즉, 도메인에 대한 기록들과 호스트 목록이 온전히 보존되어야 한다는 것입니다. 이 연속된 사슬 속에서 결점이 발견될 경우 DNS 기록이 인증되지 않도록 해야 합니다.” ICANN의 제안이다.
3줄 요약
1. 국제인터넷주소관리기구, DNS 하이재킹 공격에 대한 경고 발송함.
2. 그러면서 DNS 서비스망에 참여하는 모든 조직이 DNSSEC을 도입해야 한다고 주장.
3. DNS는 이제 빼놓을 수 없는 주요 사회 인프라이니 알맞은 보호 장치가 적용되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
