DNS

DNS

DNS 체계

네트워크 상에서 컴퓨터들은 IP주소를 이용하여 서로를 구별하고 통신합니다. 사람들이 네트워크를 통해 원격의 컴퓨터에 접속하기 위해서는 IP주소를 이용하여야 하지만, 숫자의 연속인 IP주소를 일일이 외울 수 없기 때문에 쉽게 기억할 수 있는 도메인 주소 체계가 만들어졌습니다.

DNS(Domain Name System)은 도메인이름의 수직적인 체계를 말합니다.

도메인 종류

국가도메인(ccTLD, country code Top Level Domain)

인터넷 상에서 국가를 나타내는 도메인으로 ‘.kr(대한민국) .jp(일본), .cn(중국), .us(미국) 등 영문으로 구성된 영문 국가도메인이 있습니다. 또한 ‘.한국(대한민국)’, ‘중국(중국), .러시아(러시아), .이집트(이집트)처럼 자국어 국가도메인

일반도메인(gTLD, generic Top Level Domain)

‘.com(회사)’, ‘.net(네트워크 관련기관)’, ‘org(비영리기관)’, ‘.biz(사업)’ 등 등록인의 특성에 따라 사용할 수 있는 도메인

종류	국가 최상위 도메인 (ccTLD, country code Top Level Domain)	일반 최상위 도메인 (gTLD, genertic Top Level Domain)
관리기관	ccTLD 관리기관 현황보기 예시) 한국인터넷진흥원 (.kr / .한국)	gTLD 관리기관 현황보기 예시) 베리사인 (.com)
개념	인터넷 상에서 국가를 나타내는 영문 및 자국어 도메인	조직, 목적, 분류 등 명칭을 영문약자로 표현한 최상위 도메인
형태	2자리 영문 국가코드 또는 자국어 국가코드	영문은 3자리 이상, 영문 외 다국어는 2자리 이상

DNS 질의

질의하기

질의타입유형정의

질의타입	설명
ANY	도메인에 등록된 모든 현황
SOA(start of Authority)	Resource Record의 type
A(address)	인터넷 호스트 주소
NS(name server)	도메인에 대한 네임서버
PTR(domain name pointer)	IP Address에 대한 호스트명
MX(mail exchanger)	메일을 최종적으로 수신할 컴퓨터 호스트 이름

DNS 점검

DNS 자가 점검

DNSSEC

DNS는 ‘도메인’을 ‘IP주소’로 변환하는 인터넷의 전화번호부 같은 역할을 합니다. 인터넷 초기에 개발된 DNS는 설계당시 보안성을 충분히 고려하지 못해, DNS정보의 위-변조가 가능하다는 문제가 있어왔습니다. 즉, 악의적인 공격에 의해 도메인네임에 대한 IP주소가 악성 사이트 등으로 위/변조 된다면, 이 DNS를 이용하는 인터넷 이용자들은 의도치 않은 IP주소로 연결되어 피해가 발생할 수 있습니다.

"파밍(pharming)"은 ISP의 캐시 DNS서버나 사용자 PC에 특정 도메인네임에 대해 위-변조된 IP주소가 설정되도록 하는 공격방식입니다. 이 공격이 성공하면 사용자는 분명히 올바른 웹 사이트 주소를 입력하였음에도 불구하고(예: 인터넷뱅킹, 쇼핑몰 등), 공격자가 만들어놓은 가짜 사이트로 유도되는 상황이 발생합니다. 가짜 사이트는 원래 사이트와 동일한 모습으로 꾸며져 있기에 사용자는 아무런 의심도 하지 않고 자신의 로그인 정보와 계좌정보 등을 가짜 사이트에 입력해 피해가 발생하게 됩니다.

<인터넷 상의 피싱(phishing) 공격과 파밍(pharming) 공격 비교>

구분	피싱(phishing) 공격	파밍(pharming) 공격
주된 목적	- 가짜 사이트로 유도해 개인정보 탈취	- 가짜 사이트로 유도해 개인정보 탈취
공격방식 (인터넷)	- 실제 도메인네임과 유사한 가짜 도메인네임을 사용 - 진짜처럼 위장된 가짜 사이트로 접속하여 개인정보 입력 유도	- 조직, 목적, 분류 등 명칭을 영문약자로 표현한 최상위 도메인
공격특징	- 주로 이메일, SMS 등에 첨부된 링크를 통해 접속을 유도	- 정상 도메인 입력만으로도 공격이 가능하므로 별다른 유인매체가 불필요
위험성	- 사용자가 세심한 주의를 기울이면 공격탐지, 피해방지가 가능	- 실제 도메인네임이 그대로 사용되므로 공격탐지 곤란 - 사용자가 많은 캐시 DNS서버에 공격성공 경우, 피해범위 광범위

<인터넷 상의 피싱(phishing) 공격과 파밍(pharming) 공격 비교

위 그림은 "DNS 캐시 포이즈닝(cache poisoning) 공격"이 어떤 절차로 이루어지는지를 보여주고 있습니다.

• 거래은행인 www.bank.kr 사이트 접속을 위해 사용자는 'http://www.bank.kr' 주소를 입력
• 호스트는 www.bank.kr의 IP 주소를 파악하기 위해 DNS 질의 개시(1)
• 파밍 공격자는 (7-1)의 정상 DNS응답이 캐시 DNS서버에 도달 전에 자신이 조작한 가짜 DNS 응답메시지를 (7-2)와 같이 대량으로 캐시 DNS서버에 송출
• 캐시 DNS서버는 DNS 응답메시지 수신대기 중 공격자가 송출한 (7-2)의 가짜 DNS 응답 메시지 수신(7-2), 정상 응답이 이루어진 것으로 간주, 캐시에 위-변조된 가짜 데이터 저장
• 캐시 DNS서버는 사용자 호스트에는 이 가짜 IP 주소 데이터로 응답처리(8-2)
• 사용자 호스트는 캐시 DNS서버가 응답한 가짜 IP 주소를 사용하여 웹 사이트 접속(9-2)

오염된 캐시 DNS서버를 사용하는 다른 사용자가 동일한 도메인네임을 질의하면 캐시 DNS서버는 이 캐시 메모리의 가짜 IP 주소로 바로 응답처리 합니다. 이렇게 해서 인터넷 사용자의 피해자는 시간이 갈수록 늘어나게 됩니다.

DNSSEC(DNS Security Extensions)은 이와 같은 "데이터 위-변조 침해공격"에 취약한 DNS의 문제점을 근본적으로 보완 개선하기 위해 국제인터넷표준화기구인 IETF에서 1990년대 후반부터 논의를 시작, 2005년경 완성된 국제표준기술로, 다양한 시험을 거쳐 2010년에는 전세계 최상위 DNS인 ‘루트DNS’에도 적용되면서, 전세계적으로 적용이 확대되고 있습니다.

우리나라는 2011년 “.kr” 국가도메인 영역에 대한 DNSSEC 적용을 시작으로 2012년 9월 .kr, .한국 등 총 31개 국가도메인 영역 전체에 DNSSEC 적용을 완료하여 본격 서비스 제공 중에 있습니다.

DNSSEC은 DNS를 대체하는 것이 아니라, 기존의 DNS에 공개키 암호화 방식의 보안기능을 추가 부여하여 DNS의 보안성을 대폭 강화하는 역할을 합니다.

인버스 도메인

인버스도메인은 IP주소를 도메인 이름으로 변환하기 위해 네임서버에 설정하는 특수 도메인입니다. 인버스도메인을 네임서버에 등록해 놓으면 IP주소에 대응하는 도메인 이름(kr, com 등의 최상위 도메인을 포함한 도메인 이름)을 조회할 수 있습니다. 진흥원 202.30.50.51에 해당하는 인버스도메인을 네임서버에 설정하였으며, 이에 따라 누구든지 202.30.50.51에 대해 네임서버에 질의하면 mail.nic.or.kr이라는 도메인 이름을 얻을 수 있습니다. 이와 같이 IP주소를 이용하여 도메인 이름을 조회하는 것을 역질의라고 합니다.

IP주소	IP주소
202.30.50.51	51.50.30.202.in-addr.arpa

인버스도메인은 IP주소에 해당하는 숫자와 특수 문자열 in-addr.arpa로 구성되어 있습니다. IP주소를 인버스도메인으로 변환하려면 IP주소를 역으로 나열하고 in-addr.arpa라는 특수 도메인을 붙이면 됩니다. 202.30.50.51에 대응하는 인버스도메인은 51.50.30.202.in-addr.arpa입니다. 여기에서 arpa는 Address and Routing Parameter Area의 약자로 인터넷 기반시설의 운용을 위해 사용되는 특수 최상위 도메인입니다. arpa의 하위에는 in-addr 외에 e164, ip6, uri, urn 등이 존재합니다.

IP주소 202.30.50.51에 대응하는 인버스도메인 구성

IPv6주소는 in-addr.arpa가 아닌 ip6.arpa를 인버스도메인으로 사용합니다. ip6.arpa에 대해 자세히 알고자 하시면 RFC 3596 - DNS Extensions to Support IP Version 6를 참고하시기 바랍니다.