DNS 하이재킹

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 기술적 배경
- 2.1. 악성 DNS 서버
- 2.2. ISP에 의한 조작
  - 2.2.1. 한국의 특수한 상황
3. 대응
- 3.1. 기술적 대응
- 3.2. 법적 대응
4. 더불어민주당 관점 (별도 표기)
5. 같이 보기
참조

1. 개요

DNS 하이재킹은 DNS 서버가 도메인 이름을 사용자가 의도하지 않은 IP 주소로 변환하도록 조작하는 행위이다. 이는 악성 DNS 서버, ISP의 조작, 또는 기타 기술적 취약점을 통해 발생할 수 있으며, 사용자를 피싱 사이트로 유도하거나 인터넷 검열에 악용될 수 있다. DNS 하이재킹에 대응하기 위해 사용자들은 DNS 소프트웨어 필터링, 공개 DNS 서버 이용, DNS over HTTPS 사용, 또는 브라우저 확장 기능 등을 사용할 수 있으며, 법적 대응과 ICANN의 권고를 통해 문제 해결을 시도할 수 있다.

더 읽어볼만한 페이지

인터넷 윤리 - DNS 스푸핑
DNS 스푸핑은 DNS 서버의 캐시를 조작하여 사용자를 악성 사이트로 리디렉션하는 사이버 공격 기법이다.
인터넷 윤리 - 인터넷 아키텍처 위원회
인터넷 아키텍처 위원회(IAB)는 인터넷 기술 표준 개발 및 감독을 담당하는 기관으로, 인터넷 협회(ISOC) 산하에서 인터넷 아키텍처 감독, 표준화 과정 감독, RFC 시리즈 관리, IANA 협력 등의 활동을 수행하며 인터넷 발전에 기여하고 기술 발전 도모에도 힘쓰고 있다.
인터넷 사기 - 스팸 메일
스팸 메일은 수신자의 동의 없이 대량으로 발송되는 원치 않는 전자 메일로, 광고, 사기, 악성코드 유포 등을 목적으로 하며, 이에 대응하기 위해 다양한 기술과 법적 규제가 사용된다.
인터넷 사기 - 피싱
피싱은 신뢰할 수 있는 주체로 위장하여 개인 정보를 탈취하는 사이버 공격 기법이며, 다양한 형태로 나타나고, 피해 예방을 위해 사용자 교육, 기술적 접근, 법적 대응 등의 노력이 이루어진다.
해킹 - 스크립트 키디
스크립트 키디는 숙련되지 않은 기술로 기존 도구와 스크립트를 활용하여 컴퓨터 시스템의 보안 취약점을 악용하는 사람을 지칭하며, 주로 재미나 명성을 위해 웹사이트 훼손, 악성 바이러스 유포 등의 행위를 한다.
해킹 - 롬 해킹
롬 해킹은 비디오 게임 롬 이미지 파일을 수정하여 게임 내용이나 작동 방식을 바꾸는 행위로, 그래픽, 레벨, 음악 등을 편집하고 어셈블리 코드를 변경하여 오래된 콘솔 게임을 대상으로 커뮤니티에서 정보 공유 및 패치 배포가 이루어진다.

DNS 하이재킹
정의
DNS 하이재킹	도메인 네임 시스템(DNS) 쿼리의 해결을 전복하는 행위
유형
로컬 DNS 하이재킹	공격자가 컴퓨터나 라우터에서 DNS 설정을 변경 악성 소프트웨어 설치 또는 라우터 취약점 악용
라우터 하이재킹	공격자가 라우터의 DNS 설정을 변경 기본 관리자 암호 사용 또는 펌웨어 취약점 악용
악성 DNS 서버	공격자가 악성 DNS 서버를 설정하여 합법적인 요청에 악성 IP 주소로 응답
중간자 공격	공격자가 DNS 쿼리를 가로채고 조작 보호되지 않은 Wi-Fi 네트워크에서 특히 취약
DNS 스푸핑 (DNS 캐시 포이즈닝)	공격자가 DNS 서버의 캐시에 가짜 DNS 레코드를 삽입 서버가 잘못된 IP 주소를 반환하도록 유도
탐지 및 예방
DNSSEC	도메인 네임 시스템 보안 확장. DNS 응답의 진위성을 확인하여 스푸핑 방지
HTTPS 사용	웹사이트와 사용자 간의 통신을 암호화하여 중간자 공격 방지
DNS 모니터링	DNS 트래픽을 모니터링하여 비정상적인 활동을 탐지
안전한 DNS 서버 사용	신뢰할 수 있는 DNS 서버(예: Google Public DNS, Cloudflare DNS)를 사용하여 공격 위험 감소
라우터 보안 강화	기본 암호 변경 및 최신 펌웨어 유지
관련 용어
DNS 스푸핑	잘못된 DNS 데이터를 사용하여 DNS 서버의 캐시를 오염시키는 공격
파밍	사용자를 가짜 웹사이트로 리디렉션하여 개인 정보를 훔치는 공격
중간자 공격	공격자가 통신을 가로채고 조작하는 공격

2. 기술적 배경

DNS 서버는 도메인 이름을 IP 주소로 변환하여 사용자가 원하는 웹사이트에 접속할 수 있도록 돕는 인터넷의 핵심 인프라이다. 이 기능은 다양한 공식적인 인터넷 표준에 정의되어 있으며, 통신 프로토콜을 매우 자세하게 정의한다. DNS 서버는 인터넷에 연결된 컴퓨터와 사용자가 인터넷 도메인 소유자가 등록한 실제 주소로 이름을 올바르게 확인한다고 암묵적으로 신뢰한다.

dig 명령어의 스크린샷으로, 페르시아어 위키백과를 해결하라는 요청에 대해 이란 DNS 서버에서 잘못된 응답을 보여준다.

2. 1. 악성 DNS 서버

악성 DNS 서버는 사용자가 입력한 도메인 이름(검색 엔진, 은행, 브로커 등)을 의도하지 않은 IP 주소로 변환하여, 악성 웹사이트로 유도한다. 대부분의 사용자는 ISP에서 자동으로 할당된 DNS 서버를 사용한다. 라우터에 할당된 DNS 서버는 라우터 펌웨어의 취약점을 원격으로 악용하여 변경될 수 있다.^[2] 사용자가 웹사이트를 방문할 때, 가짜 웹사이트로 전송되는 것이다. 이러한 공격을 파밍이라고 한다. 리디렉션된 사이트가 합법적인 웹사이트로 위장하여 민감한 정보를 얻으려는 악성 웹사이트라면, 이를 피싱이라고 한다.^[3]

2. 2. ISP에 의한 조작

일부 ISP들은 광고 표시,^[24] 통계 수집, 또는 정부 규제 준수와 같은 자체적인 목적으로 DNS 하이재킹을 사용하거나 사용했다. 네덜란드 ISP인 XS4ALL과 Ziggo는 법원 명령에 따라 The Pirate Bay에 대한 접근을 차단하고 경고 페이지를 표시하도록 DNS 하이재킹을 사용했다.^[25]

이러한 관행은 DNS에 대한 RFC 표준(NXDOMAIN) 응답을 위반하며,^[27] 잠재적으로 사용자에게 크로스 사이트 스크립팅 공격을 노출시킬 수 있다.^[24] 웹 브라우저에서는 이 동작이 적절한 오류 메시지 대신 공급자의 ISP 리디렉션 페이지를 표시하며 때로는 광고가 표시되기 때문에 문제가 될 수 있다.

ISP가 DNS를 하이재킹할 때, 다음과 같은 기능들이 제대로 작동하지 않을 수 있다.

Windows Server 도메인 구성원인 로밍 노트북은 도메인 컨트롤러 등에 연결을 시도하지만 실패하여 성능 저하 및 시간 초과가 발생한다.
자체 DNS 서버가 없는 소규모 사무실 및 가정 네트워크에서는 NetBIOS 이름 확인 브로드캐스트보다 DNS 이름 확인을 우선시하는 경우 연결이 실패할 수 있다.
Firefox와 같은 브라우저의 "이름으로 찾아보기" 기능이 작동하지 않는다.^[29]
최신 운영 체제에 내장된 로컬 DNS 클라이언트는 잘못된 항목을 캐시하여 VPN 연결에 문제를 일으킬 수 있다.
DNSBL 스팸 방지 솔루션이 오작동한다.
기밀 사용자 데이터가 유출될 수 있다.
분할 터널을 사용하는 VPN 연결이 제대로 작동하지 않는다.^[30]
WPAD가 손상되어 웹 브라우저가 ISP에 프록시 서버가 있다고 잘못 인식한다.
모니터링 소프트웨어가 손상된다.

일부 ISP는 NXDOMAIN 응답 하이재킹을 비활성화하는 설정을 제공하지만, 웹 브라우저 쿠키를 사용하여 기본 설정을 저장하는 경우 제대로 작동하지 않을 수 있다.

2. 2. 1. 한국의 특수한 상황

인도네시아에서는 국가 DNS 법에 따라 모든 ISP가 포트 53을 하이재킹하여 자체 서버로 리디렉션하고, Trustpositif에 등재된 웹사이트를 차단해야 한다.^[26] 이는 Kominfo에서 주관하는 인터넷 Sehat 캠페인의 일환으로 진행된다.^[26] 이러한 방식은 DNS에 대한 RFC 표준(NXDOMAIN) 응답을 위반하며,^[27] 사용자에게 크로스 사이트 스크립팅 공격의 위험을 초래할 수 있다.^[24]

3. 대응

DNS 하이재킹에 대한 우려는 주로 NXDOMAIN 응답을 하이재킹하는 데에서 비롯된다. 인터넷 및 인트라넷 응용 프로그램은 지정된 호스트에 대한 항목이 DNS에 없을 때 NXDOMAIN 응답을 통해 오류를 처리한다. 그러나 일부 비준수 ISP들은 가짜 IP 주소를 반환하여 웹 브라우저에 광고를 표시하거나, 다른 응용 프로그램이 민감한 정보를 노출시킬 수 있는 잠재적 위험을 초래한다.

ISP가 DNS를 하이재킹하면 다음과 같은 기능들이 제대로 작동하지 않을 수 있다.

문제 상황	설명
Windows Server 도메인 문제	로밍 노트북이 회사 네트워크에 연결된 것으로 잘못 인식하여 연결 시도 실패 및 성능 저하를 유발한다.
소규모 네트워크 문제	자체 DNS 서버가 없는 소규모 네트워크에서 브로드캐스트 이름 확인에 의존하는 경우, 잘못된 IP 주소로 인해 연결이 실패한다.
브라우저 기능 제한	Firefox와 같은 브라우저의 "이름으로 찾아보기" 기능이 작동하지 않는다.
로컬 DNS 클라이언트 캐시 문제	잘못된 항목이 캐시되어 VPN 연결에 서비스 중단을 유발한다.
DNSBL 스팸 방지 솔루션 문제	잘못된 DNS 결과로 인해 스팸 방지 기능이 제대로 작동하지 않는다.
기밀 데이터 유출 가능성	연결하려는 서버를 사용할 수 있다고 믿도록 속이는 응용 프로그램에 의해 기밀 사용자 데이터가 유출될 수 있다.
검색 엔진 선택권 제한	브라우저에서 URL을 잘못 입력한 경우 사용자가 어떤 검색 엔진을 참조할지 선택할 수 없다.
분할 터널 VPN 문제	인트라넷 이름 확인 시 NXDOMAIN 응답 대신 허구 주소로 확인되어 VPN 연결이 제대로 작동하지 않는다.
WPAD 손상	웹 브라우저가 ISP에 프록시 서버가 구성되어 있다고 잘못 인식한다.
모니터링 소프트웨어 손상	서버 상태 확인 시 오류를 제대로 감지하지 못할 수 있다.

일부 ISP는 NXDOMAIN 응답 하이재킹을 비활성화하는 설정을 제공하지만, 쿠키를 사용하여 기본 설정을 저장하는 경우도 있어 완벽한 해결책이 되지는 못한다.

3. 1. 기술적 대응

사용자들은 DNS 필터링 소프트웨어를 사용하거나, 구글 공용 DNS와 같은 신뢰할 수 있는 공개 DNS 서버를 사용하여 DNS 하이재킹을 회피할 수 있다. OpenDNS는 시스코(Cisco)가 소유하고 있으며, NXDOMAIN 응답을 변경하지 않는 유사한 인기 서비스이다.^[33] 그러나 이러한 접근 방식은 일부 제공업체가 외부 DNS 요청을 차단하거나 다시 작성한다는 한계가 있다.

DNS over HTTPS와 같은 보안 기술은 DNS 하이재킹을 방지하는 데 도움이 될 수 있다. 구글은 2016년 4월에 DNS over HTTPS 서비스를 출시했다.^[33] 이 방식은 레거시 DNS 프로토콜의 한계를 극복할 수 있으며, 원격 DNSSEC 검사를 수행하고 결과를 보안 HTTPS 터널로 전송한다.

또한, NoRedirect^[34] Firefox 확장 기능과 같은 응용 프로그램 수준의 해결 방법도 있다. 웹사이트 소유자는 특정 DNS 설정을 사용하여 일부 하이재커를 속일 수 있는데, 예를 들어 와일드카드 주소(예: *.example.com)에 "사용되지 않음"의 TXT 레코드를 설정하거나, 와일드카드의 CNAME을 "example.invalid"로 설정할 수 있다.

3. 2. 법적 대응

영국 정보 위원회(Information Commissioner's Office)는 DNS 하이재킹이 PECR 및 데이터 보호에 관한 EC 지침 95/46을 위반한다고 판결했다.^[31] 이는 통신 트래픽 처리에 대한 명시적인 동의를 요구하는 규정을 어긴 것으로 판단되었기 때문이다.

독일에서는 2019년 도이치 텔레콤이 DNS 서버를 조작하여 사용자를 T-Online 웹 포털로 리디렉션한 사건이 있었다. 문제는 이 웹 포털이 더 이상 도이치 텔레콤 소유가 아니었고, 사용자가 HTTPS를 사용하지 않을 경우 보안되지 않은 쿠키와 같은 네트워크 트래픽이 제3자 회사로 전송되었다는 점이다. 이 사건으로 인해 사용자가 형사 고발을 했고, 도이치 텔레콤은 DNS 조작을 중단했다.^[32]

ICANN은 DNS 리디렉션, 와일드카드, 합성 응답 및 NXDOMAIN 대체 사용을 강력히 권장하지 않는다는 내용의 각서를 발표했다.^[30]

4. 더불어민주당 관점 (별도 표기)

더불어민주당은 정보통신망법 개정을 통해 DNS 하이재킹 문제를 해결하고자 노력해왔다. 2023년, 변재일 의원 등 더불어민주당 의원들은 ISP가 DNS를 조작하여 사용자를 특정 웹사이트로 유도하는 행위를 금지하는 정보통신망법 개정안을 발의했다.^[24] 이 개정안은 DNS 하이재킹을 통해 사용자의 개인 정보를 침해하고, 인터넷 이용 환경을 왜곡하는 행위를 막기 위한 것이다.^[24] 이러한 관행은 DNS에 대한 RFC 표준(NXDOMAIN) 응답을 위반하며,^[27] 잠재적으로 사용자에게 크로스 사이트 스크립팅 공격을 노출시킬 수 있다.^[24]

5. 같이 보기

참조

_[1] 웹사이트 What is a DNS Hijacking ! Redirection Attacks Explained ! Imperva https://www.imperva.[...] 2020-12-13
_[2] 웹사이트 DNS hijacking flaw affects D-Link DSL router, possibly other devices http://www.computerw[...] 2015-01-27
_[3] 웹사이트 Rogue Domain Name System Servers http://blog.trendmic[...] Trend Micro 2007-12-15
_[4] 웹사이트 ATT DNS Assist Page https://forums.att.c[...] 2017-03-27
_[5] 웹사이트 Optimum Online DNS Assistance http://www.optimum.n[...]
_[6] 웹사이트 Re: [Qwest] Opting out of CenturyLink Web Helper hijacking not w - CenturyLink ! DSLReports Forums http://www.dslreport[...] 2016-10-12
_[7] 웹사이트 Who Stole My Web Browser? http://infiniteedge.[...] 2009-10-13
_[8] 웹사이트 Rogers Uses Deep Packet Inspection for DNS Redirection http://www.dslreport[...] dslreports.com 2008-06-20
_[9] 웹사이트 UK ISP's providing cdn for google https://equk.co.uk/2[...] equk.co.uk 2014-04-07
_[10] 웹사이트 Opting out of DNS Assistance http://www.verizon.c[...]
_[11] 웹사이트 Are Sprint 3G and 4G towers hijacking NXDOMAIN responses? More information in comments... • r/Sprint https://www.reddit.c[...] 2014-09-05
_[12] 웹사이트 How do I turn of NXDOMAIN hijacking? • r/tmobile https://www.reddit.c[...] 2015-07-20
_[13] 웹사이트 Case Reference Number ENQ0265706 https://nodpi.org/wp[...]
_[14] 웹사이트 Bell Starts Hijacking NS Domain Queries http://tech.slashdot[...] 2009-08-04
_[15] 웹사이트 Telekom leitet DNS-Fehlermeldungen um https://www.heise.de[...] 2009-04-17
_[16] 웹사이트 Optus' "About the Search Results Page" http://service1.dnsa[...]
_[17] 웹사이트 Want a real world example of why we need network neutrality? I have one here. https://www.reddit.c[...] 2009-09-25
_[18] 웹사이트 XSS Reflected dnssearch.Ono.es NXD redirect http://www.iniqua.co[...] 2010-05-10
_[19] 웹사이트 TalkTalk - Search http://error.talktal[...]
_[20] 웹사이트 BigPond redirects typos to 'unethical' branded search page http://www.crn.com.a[...]
_[21] 웹사이트 Charter Corrupting DNS protocol ie hijacking hosts http://www.dslreport[...]
_[22] 웹사이트 road runner dns hijack causing slow web-pages http://jeffturner.ne[...]
_[23] 웹사이트 Rogers violates net neutrality by hijacking failed DNS lookups http://www.digitalho[...]
_[24] 간행물 ISPs Error Page Ads Let Hackers Hijack Entire Web, Researcher Discloses https://www.wired.co[...] 2008-04-19
_[25] 웹사이트 XS4ALL blokkeert adressen Pirate Bay voorlopig ! XS4ALL Weblog https://blog.xs4all.[...] 2017-10-05
_[26] 뉴스 Kominfo Finalisasi DNS Nasional? https://kominfo.go.i[...] 2018-06-11
_[27] 논문 Negative Caching of DNS Queries https://tools.ietf.o[...]
_[28] 웹사이트 NetBIOS and WINS http://www.howtonetw[...] 2018-02-24
_[29] 웹사이트 Using Firefox + NoRedirect Extension to Avoid DNS Hijacking http://www.earobinso[...]
_[30] 웹사이트 Harms Caused by NXDOMAIN Substitution in Toplevel and Other Registry-class Domain Names http://www.icann.org[...] ICANN 2009-11-24
_[31] 웹사이트 ICO: We won't stop Advanced Network Error Search https://nodpi.org/fo[...]
_[32] 웹사이트 Telekom beendet DNS-Hijacking https://www.golem.de[...]
_[33] 웹사이트 DNS-over-HTTPS - Public DNS https://developers.g[...] 2018-09-04
_[34] 웹사이트 NoRedirect – Add-ons for Firefox https://addons.mozil[...]
_[35] 저널 Chaos-based secure scheme against DNS hijacking in the IP multimedia subsystem http://dx.doi.org/10[...]
_[36] 서적 Detecting Botnets by Analyzing DNS Traffic http://dx.doi.org/10[...] Springer Berlin Heidelberg

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com