2019.12.16

윈도우에서 DNS 트래픽을 보호하는 방법

Susan Bradley | CSO
DNS(Domain Name System)는 윈도우의 매우 기본적인 기능이어서 오히려 간과되는 경우가 많다. 해커가 커스텀 도메인 설정을 악용할 수 있는 가능성과 워크스테이션 보호 및 개인정보 보호 강화 측면에서 회사의 DNS 트래픽 보호 방법을 알아보자.
 
ⓒ Getty Images Bank

최근 필자는 직접 관리 중이던 네트워크에서 DNS 설정을 바꾸고 싶었다. 그런데 호스팅 회사의 DNS 관리자에 로그인 하지 않은 지 너무 오래돼 비밀번호나, 설정 관리를 위해 어디에 로그인해야 하는지 기억이 나지 않았다. 워낙 오래된 계정이어서 결국 호스팅 회사가 비밀번호를 설정해 줬다.

DNS 설정의 부정 탈취를 더욱더 어렵게 만들기
이번 일을 계기로 필자는 호스팅 콘솔에 로그인하는 것만으로 DNS 설정을 얼마나 쉽게 바꿀 수 있는지 깨달았다. 보통 도메인 소유권 확인을 위해 추가 과정과 절차를 요구하지만, DNS 기록은 호스팅 회사에 전화 한 통으로 변경할 수 있었다. DNS 탈취가 얼마나 쉽게 일어날 수 있는지 알 수 있다.

따라서 현재 커스텀 도메인 이름을 제공하기 위해 외부 호스팅 업체를 이용한다면, 어떤 과정을 통해 도메인 통제 주체를 확인하는지 확인해야 한다. 예컨대, 업체는 보호 수단으로 다중 인증(MFA)을 추가하고 있다. 스크립트나 자동화를 사용하는 경우 반드시 확인해야 할 것은, 업체 API가 인증키 보호를 허용하는지와 특정 주소만 자동화된 변경을 허용하도록 조건부 접근 또는 제한된 IP를 제공하는지다.

이 과정에서 안전한 워크스테이션을 사용해야 하고 워크스테이션 안전 수칙을 준수하는 것도 중요하다. 예를 들어, 일상적인 서핑과 작업에 사용하는 워크스테이션에서는 로그인하는 일은 피하는 것이다. 또한, 인바운드 및 아웃바운드 로그에서 DNS 트래픽을 감시하고 변경사항이나 심상치 않은 트래픽 패턴이 생기면 알림이 오도록 설정해야 한다. 마이크로소프트는 자체 플랫폼을 통해 DNS를 설정할 수 있는 기능을 애저 서비스를 통해 제공하고 있다. 최근에는 애저가 제공한 이름이 아닌 커스텀 도메인 이름을 허용하는 개인 DNS 서비스를 출시했다.

스누핑(snooping)으로부터 DNS 트래픽 보호
DNS 보호 방식이 네트워크에 영향을 미치는 것은 이뿐만이 아니다. 워크스테이션이 DNS 질의를 할 때, 특히 DNS 설정에 외부 DNS 제공업체가 포함되도록 지정하는 경우, 질의는 평문으로 나가게 되므로 해커가 이를 추적, 분석할 수도 있다. 이런 우려 때문에 최근 마이크로소프트는 DoH(DNS over HTTPS) 또는 암호화된 DNS 트래픽으로 전환할 예정이라고 밝혔다.

이는 DNSSEC(DNS Security Extensions)와는 다르다. DNSSEC은 일종의 보안 프로토콜이어서, 데이터를 디지털 서명하여 유효성을 보장하고 공격으로부터 보호한다. 안전한 검색을 위해서는 DNS 검색 과정의 모든 단계에서 서명이 진행돼야 한다. DNSSEC은 오래전에 만들어진 기술이어서 서버 2012 정도로 오래된 서버 플랫폼에도 설정할 수 있다. 그러나 애저는 DNSSEC을 지원하지 않는다.

애저가 지원하는 DoH는 검색 내용 및 트래픽을 보호하는 신기술이다. DNS 질의를 암호화하므로 지정된 수신자만 복호화해 읽을 수 있다. 파이어폭스(Firefox)는 자사 브라우저에 DoH를 기본적으로 활성화할 것이라고 발표했으며, 이제는 구글 크롬(Google Chrome)에서도 사용할 수 있다. 일각에서는 이 기술에 대해 우려하고 있다. 웹 브라우저는 암호화된 질의를 사이트로 보내어 복호화를 거친 후 서버로부터 응답을 다시 받아야 하기 때문이다.

대부분의 웹 브라우저는 사용자의 인터넷 서비스 제공업체(ISP)에서 운영하는 특수 서버로 질의를 보낸다. 그러나, 이들 ISP는 아직 DoH를 지원하지 않는다. 혹은 이들이 서버를 두고 있는 국가가 송신 내용을 보내고 싶지 않은 곳일 수도 있다. 또한, 만일 모든 송신 내용을 구글의 DNS 제공업체나 클라우드플레어(Cloudflare) DNS 등 외부 제공업체를 통해 보낸다면, 해당 업체가 모든 DoH 송신 내용을 기록하고 트래픽을 감시할 수도 있다. 파이어폭스는 클라우드플레어 DNS가 사용자 장치로부터 과도한 정보를 가져가지 않도록 별도의 계약을 체결했다.

크롬 브라우저에서 DoH를 설정하려면 애플리케이션 속성에 다음 행을 추가하면 된다. 클라우드플레어 서버를 DoH 제공업체로 설정하고 있지만 DoH를 지원하는 그 어떤 DNS 제공업체라도 사용할 수 있다.

“--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST “

파이어폭스의 DoH 지원 설정은 더 간단하다. 파이어폭스 메뉴를 열고 ‘옵션’과 ‘환경설정’을 차례로 선택한다. ‘일반’ 부분에서 ‘네트워크 설정’ 패널로 내려간 다음 ‘설정’ 버튼을 누른다. 창이 열리면 아래로 내려가 ‘DoH 활성화’를 선택한다. 그런 다음 원하는 DoH 레졸버(resolver)를 구성한다. 파이어폭스는 기본적으로 클라우드플레어 레졸버를 사용하는데 이 목록에 있는 것 중 다른 것을 선택할 수도 있다.
 
파이어폭스에서 DNS와 HTTP를 활성화하는 방법

일부에서는 DoH가 데이터 암호화에 미흡하며 단지 ISP에 정보를 유출할 방법만 여러 가지 제공할 뿐이라는 이유로 DoH보다 DoT(DNS over TLS)가 낫다고 주장한다. SNI(Server Name Indication), IP 주소, OCSP(Online Certificate Status Protocol) 그리고 남아 있는 HTTP 연결은 민감할 수 있는 정보를 위험할 정도로 많이 여전히 유출할 수 있다. 또, 일각에서는 DoH는 가짜 개인정보 보호이며 윈도우 시스템과 DNS에서의 질의를 충분히 보호해 주지 않는다고 지적한다. 그러나 이런 찬반 논란에도 불구하고 DoH가 현재 사용자가 보유한 것보다는 많은 보호 기능을 제공하는 것은 확실하다. ciokr@idg.co.kr


2019.12.16

윈도우에서 DNS 트래픽을 보호하는 방법

Susan Bradley | CSO
DNS(Domain Name System)는 윈도우의 매우 기본적인 기능이어서 오히려 간과되는 경우가 많다. 해커가 커스텀 도메인 설정을 악용할 수 있는 가능성과 워크스테이션 보호 및 개인정보 보호 강화 측면에서 회사의 DNS 트래픽 보호 방법을 알아보자.
 
ⓒ Getty Images Bank

최근 필자는 직접 관리 중이던 네트워크에서 DNS 설정을 바꾸고 싶었다. 그런데 호스팅 회사의 DNS 관리자에 로그인 하지 않은 지 너무 오래돼 비밀번호나, 설정 관리를 위해 어디에 로그인해야 하는지 기억이 나지 않았다. 워낙 오래된 계정이어서 결국 호스팅 회사가 비밀번호를 설정해 줬다.

DNS 설정의 부정 탈취를 더욱더 어렵게 만들기
이번 일을 계기로 필자는 호스팅 콘솔에 로그인하는 것만으로 DNS 설정을 얼마나 쉽게 바꿀 수 있는지 깨달았다. 보통 도메인 소유권 확인을 위해 추가 과정과 절차를 요구하지만, DNS 기록은 호스팅 회사에 전화 한 통으로 변경할 수 있었다. DNS 탈취가 얼마나 쉽게 일어날 수 있는지 알 수 있다.

따라서 현재 커스텀 도메인 이름을 제공하기 위해 외부 호스팅 업체를 이용한다면, 어떤 과정을 통해 도메인 통제 주체를 확인하는지 확인해야 한다. 예컨대, 업체는 보호 수단으로 다중 인증(MFA)을 추가하고 있다. 스크립트나 자동화를 사용하는 경우 반드시 확인해야 할 것은, 업체 API가 인증키 보호를 허용하는지와 특정 주소만 자동화된 변경을 허용하도록 조건부 접근 또는 제한된 IP를 제공하는지다.

이 과정에서 안전한 워크스테이션을 사용해야 하고 워크스테이션 안전 수칙을 준수하는 것도 중요하다. 예를 들어, 일상적인 서핑과 작업에 사용하는 워크스테이션에서는 로그인하는 일은 피하는 것이다. 또한, 인바운드 및 아웃바운드 로그에서 DNS 트래픽을 감시하고 변경사항이나 심상치 않은 트래픽 패턴이 생기면 알림이 오도록 설정해야 한다. 마이크로소프트는 자체 플랫폼을 통해 DNS를 설정할 수 있는 기능을 애저 서비스를 통해 제공하고 있다. 최근에는 애저가 제공한 이름이 아닌 커스텀 도메인 이름을 허용하는 개인 DNS 서비스를 출시했다.

스누핑(snooping)으로부터 DNS 트래픽 보호
DNS 보호 방식이 네트워크에 영향을 미치는 것은 이뿐만이 아니다. 워크스테이션이 DNS 질의를 할 때, 특히 DNS 설정에 외부 DNS 제공업체가 포함되도록 지정하는 경우, 질의는 평문으로 나가게 되므로 해커가 이를 추적, 분석할 수도 있다. 이런 우려 때문에 최근 마이크로소프트는 DoH(DNS over HTTPS) 또는 암호화된 DNS 트래픽으로 전환할 예정이라고 밝혔다.

이는 DNSSEC(DNS Security Extensions)와는 다르다. DNSSEC은 일종의 보안 프로토콜이어서, 데이터를 디지털 서명하여 유효성을 보장하고 공격으로부터 보호한다. 안전한 검색을 위해서는 DNS 검색 과정의 모든 단계에서 서명이 진행돼야 한다. DNSSEC은 오래전에 만들어진 기술이어서 서버 2012 정도로 오래된 서버 플랫폼에도 설정할 수 있다. 그러나 애저는 DNSSEC을 지원하지 않는다.

애저가 지원하는 DoH는 검색 내용 및 트래픽을 보호하는 신기술이다. DNS 질의를 암호화하므로 지정된 수신자만 복호화해 읽을 수 있다. 파이어폭스(Firefox)는 자사 브라우저에 DoH를 기본적으로 활성화할 것이라고 발표했으며, 이제는 구글 크롬(Google Chrome)에서도 사용할 수 있다. 일각에서는 이 기술에 대해 우려하고 있다. 웹 브라우저는 암호화된 질의를 사이트로 보내어 복호화를 거친 후 서버로부터 응답을 다시 받아야 하기 때문이다.

대부분의 웹 브라우저는 사용자의 인터넷 서비스 제공업체(ISP)에서 운영하는 특수 서버로 질의를 보낸다. 그러나, 이들 ISP는 아직 DoH를 지원하지 않는다. 혹은 이들이 서버를 두고 있는 국가가 송신 내용을 보내고 싶지 않은 곳일 수도 있다. 또한, 만일 모든 송신 내용을 구글의 DNS 제공업체나 클라우드플레어(Cloudflare) DNS 등 외부 제공업체를 통해 보낸다면, 해당 업체가 모든 DoH 송신 내용을 기록하고 트래픽을 감시할 수도 있다. 파이어폭스는 클라우드플레어 DNS가 사용자 장치로부터 과도한 정보를 가져가지 않도록 별도의 계약을 체결했다.

크롬 브라우저에서 DoH를 설정하려면 애플리케이션 속성에 다음 행을 추가하면 된다. 클라우드플레어 서버를 DoH 제공업체로 설정하고 있지만 DoH를 지원하는 그 어떤 DNS 제공업체라도 사용할 수 있다.

“--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST “

파이어폭스의 DoH 지원 설정은 더 간단하다. 파이어폭스 메뉴를 열고 ‘옵션’과 ‘환경설정’을 차례로 선택한다. ‘일반’ 부분에서 ‘네트워크 설정’ 패널로 내려간 다음 ‘설정’ 버튼을 누른다. 창이 열리면 아래로 내려가 ‘DoH 활성화’를 선택한다. 그런 다음 원하는 DoH 레졸버(resolver)를 구성한다. 파이어폭스는 기본적으로 클라우드플레어 레졸버를 사용하는데 이 목록에 있는 것 중 다른 것을 선택할 수도 있다.
 
파이어폭스에서 DNS와 HTTP를 활성화하는 방법

일부에서는 DoH가 데이터 암호화에 미흡하며 단지 ISP에 정보를 유출할 방법만 여러 가지 제공할 뿐이라는 이유로 DoH보다 DoT(DNS over TLS)가 낫다고 주장한다. SNI(Server Name Indication), IP 주소, OCSP(Online Certificate Status Protocol) 그리고 남아 있는 HTTP 연결은 민감할 수 있는 정보를 위험할 정도로 많이 여전히 유출할 수 있다. 또, 일각에서는 DoH는 가짜 개인정보 보호이며 윈도우 시스템과 DNS에서의 질의를 충분히 보호해 주지 않는다고 지적한다. 그러나 이런 찬반 논란에도 불구하고 DoH가 현재 사용자가 보유한 것보다는 많은 보호 기능을 제공하는 것은 확실하다. ciokr@idg.co.kr


X