DNS 관련 공격
(출처- http://krnic.or.kr/jsp/resources/dns/dnssecInfo/dnssecInfo.jsp)
<인터넷 상의 피싱(phishing) 공격과 파밍(pharming) 공격 비교>
구분 | 피싱(phishing) 공격 | 파밍(pharming) 공격 |
주된 목적 | - 가짜 사이트로 유도해 개인정보 탈취 | - 가짜 사이트로 유도해 개인정보 탈취 |
공격방식 | - 실제 도메인네임과 유사한 가짜 도메인네임을 사용 | - 조직, 목적, 분류 등 명칭을 영문약자로 표현한 최상위 도메인 |
공격특징 | - 주로 이메일, SMS 등에 첨부된 링크를 통해 접속을 유도 | - 정상 도메인 입력만으로도 공격이 가능하므로 별다른 유인매체가 불필요 |
위험성 | - 사용자가 세심한 주의를 기울이면 공격탐지, 피해방지가 가능 | - 실제 도메인네임이 그대로 사용되므로 공격탐지 곤란 |
<인터넷 상의 피싱(phishing) 공격과 파밍(pharming) 공격 비교>
위 그림은 "DNS 캐시 포이즈닝(cache poisoning) 공격"이 어떤 절차로 이루어지는지를 보여주고 있습니다.
- 거래은행인 www.bank.kr 사이트 접속을 위해 사용자는 'http://www.bank.kr' 주소를 입력
- 호스트는 www.bank.kr의 IP 주소를 파악하기 위해 DNS 질의 개시(1)
- 파밍 공격자는 (7-1)의 정상 DNS응답이 캐시 DNS서버에 도달 전에 자신이 조작한 가짜 DNS 응답메시지를 (7-2)와 같이 대량으로 캐시 DNS서버에 송출
- 캐시 DNS서버는 DNS 응답메시지 수신대기 중 공격자가 송출한 (7-2)의 가짜 DNS 응답 메시지 수신(7-2), 정상 응답이 이루어진 것으로 간주, 캐시에 위-변조된 가짜 데이터 저장
- 캐시 DNS서버는 사용자 호스트에는 이 가짜 IP 주소 데이터로 응답처리(8-2)
- 사용자 호스트는 캐시 DNS서버가 응답한 가짜 IP 주소를 사용하여 웹 사이트 접속(9-2)
오염된 캐시 DNS서버를 사용하는 다른 사용자가 동일한 도메인네임을 질의하면 캐시 DNS서버는 이 캐시 메모리의 가짜 IP 주소로 바로 응답처리 합니다. 이렇게 해서 인터넷 사용자의 피해자는 시간이 갈수록 늘어나게 됩니다.
DNSSEC(DNS Security Extensions)은 이와 같은 "데이터 위-변조 침해공격"에 취약한 DNS의 문제점을 근본적으로 보완 개선하기 위해 국제인터넷표준화기구인 IETF에서 1990년대 후반부터 논의를 시작, 2005년경 완성된 국제표준기술로, 다양한 시험을 거쳐 2010년에는 전세계 최상위 DNS인 ‘루트DNS’에도 적용되면서, 전세계적으로 적용이 확대되고 있습니다.
우리나라는 2011년 “.kr” 국가도메인 영역에 대한 DNSSEC 적용을 시작으로 2012년 9월 .kr, .한국 등 총 31개 국가도메인 영역 전체에 DNSSEC 적용을 완료하여 본격 서비스 제공 중에 있습니다.
DNSSEC은 DNS를 대체하는 것이 아니라, 기존의 DNS에 공개키 암호화 방식의 보안기능을 추가 부여하여 DNS의 보안성을 대폭 강화하는 역할을 합니다.