DNS 보안 위협
DNS는 인터넷의 핵심 인프라이지만 설계 당시 보안이 고려되지 않아 다양한 공격에 노출됩니다. 네트워크관리사 시험에서는 DNS 공격 유형, DNSSEC, DoH/DoT, DANE가 핵심 출제 범위입니다.
주요 DNS 공격 유형
- DNS 스푸핑(Spoofing)/캐시 포이즈닝: 가짜 DNS 응답을 캐시에 저장. 사용자를 가짜 사이트로 유도. Kaminsky 공격(2008)이 대표적
- DNS 하이재킹: DNS 서버 설정 변경 또는 라우터 DNS 설정 조작
- DNS 증폭 DDoS: 작은 쿼리로 큰 응답 유발(Any 레코드 쿼리). IP 스푸핑으로 피해자에게 대량 트래픽
- DNS 터널링: DNS 쿼리/응답을 데이터 채널로 악용. 방화벽 우회 C2 통신
- NXDomain 공격: 존재하지 않는 도메인 대량 쿼리로 DNS 서버 과부하
DNSSEC(DNS Security Extensions)
DNS 응답에 디지털 서명을 추가해 무결성과 인증을 보장합니다.
- ZSK(Zone Signing Key): 레코드 서명에 사용. 주기적 교체(월별)
- KSK(Key Signing Key): ZSK를 서명. 더 긴 교체 주기(연간)
- RRSIG: 리소스 레코드에 대한 서명
- DS(Delegation Signer): 상위 Zone에서 하위 Zone KSK 해시 게시. 신뢰 체인 구성
- NSEC/NSEC3: 존재하지 않는 도메인에 대한 인증된 거부 응답
- 한계: 기밀성 제공 없음(응답 내용은 여전히 평문)
DNS over HTTPS(DoH)와 DNS over TLS(DoT)
- DoH(RFC 8484): DNS 쿼리를 HTTPS(포트 443)로 암호화. 기밀성 + ISP DNS 탐지 방지. 브라우저 내장. Chrome, Firefox 지원
- DoT(RFC 7858): DNS 쿼리를 TLS(포트 853)로 암호화. 전용 포트로 방화벽 필터링 용이
- 차이점: DoH는 HTTPS 트래픽에 혼합(기업 모니터링 어려움), DoT는 포트 853로 식별 가능
DANE(DNS-Based Authentication of Named Entities)
DNSSEC를 활용해 TLSA 레코드에 인증서 정보를 게시함으로써 CA 의존도를 줄이는 기술입니다.
- TLSA 레코드: 도메인에 대한 인증서 핀닝 정보 DNS에 게시
- 활용: SMTP 이메일 서버 인증서 검증(DANE-SMTP)
네트워크관리사 기출 핵심 정리
- DNS 캐시 포이즈닝 = 가짜 응답 캐시 저장, Kaminsky 공격
- DNSSEC = 디지털 서명으로 DNS 무결성 보장. ZSK + KSK 키 체계
- DoH = HTTPS/443, DoT = TLS/853 암호화 DNS
- DNS 증폭 DDoS = Any 쿼리 + IP 스푸핑 = 증폭 공격
- DANE = DNSSEC + TLSA 레코드로 인증서 핀닝