하위 도메인 탈취

하위 도메인 탈취는 공격자가 대상 도메인의 하위 도메인을 제어할 때 일어납니다. 일반적으로 하위 도메인이 도메인 이름 시스템(DNS)에 정식 이름(CNAME)은 있지만 콘텐츠를 제공하는 호스트가 없을 때 발생합니다. 이는 가상 호스트가 아직 게시되지 않았거나 가상 호스트가 제거되었기 때문에 발생할 수 있습니다. 공격자는 그들만의 가상 호스트를 제공하고, 하위 도메인에 그들의 콘텐츠를 호스팅 하여 해당 하위 도메인을 장악할 수 있습니다.

공격자가 이를 수행할 수 있는 경우, 그들은 잠재적으로 기본 도메인에 설정된 쿠키를 읽거나, 교차 사이트 스크립팅을 수행하거나, 콘텐츠 보안 정책을 우회하여 보호된 정보(로그인 포함)를 가져가거나, 의심 없는 사용자에게 악의적인 콘텐츠를 보낼 수 있습니다.

하위 도메인은 전기 콘센트와 같습니다. 자신의 기기(호스트)가 연결되어 있으면 아무 문제 없습니다. 그러나, 콘센트에서 기기를 제거한 경우(또는 아직 꽂지 않은 경우), 누군가 콘센트에 다른 것을 꽂을 수 있습니다. 다른 사람이 콘센트를 사용하지 못하도록 차단기나 퓨즈박스(DNS)에서 전원을 차단해야 합니다.

어떻게 발생하나요?

가상 호스트를 프로비저닝 또는 프로비저닝 해제(제거)하는 과정이 제대로 처리되지 않으면, 공격자가 하위 도메인을 장악할 기회가 있을 수 있습니다.

프로비저닝 과정에서

공격자는 여러분보다 먼저 여러분이 호스팅 제공자에게 구입한 하위 도메인에 가상 호스트를 등록합니다.

example.com 도메인을 관리한다고 가정해 보겠습니다. 여러분은 blog.example.com에 블로그를 추가하고 싶고, 블로그 플랫폼을 유지 관리하는 호스팅 공급자를 사용하기로 결정했습니다. ("블로그"는 "전자상거래 플랫폼", "고객 서비스 플랫폼" 또는 기타 "클라우드 기반" 가상 호스팅 시나리오로 대체할 수 있습니다.) 진행되는 프로세스는 다음과 같습니다.

  1. 도메인 등록 기관에 "blog.example.com"이라는 이름을 등록합니다.
  2. blog.example.com에 액세스하려는 브라우저가 가상 호스트로 이동하도록 DNS 레코드를 설정합니다.
  3. 호스팅 공급자에서 가상 호스트를 생성합니다.

호스팅 공급자가 가상 호스트를 설정하는 주체가 실제 하위 도메인 이름의 소유자인지 매우 신중하게 확인하지 않는 한, 여러분보다 더 빠른 공격자는 여러분의 하위 도메인 이름을 사용하여 동일한 호스팅 공급자에서 가상 호스트를 만들 수 있습니다. 이런 경우, 2단계에서 DNS를 설정하는 즉시 공격자가 하위 도메인에서 콘텐츠를 호스트 할 수 있습니다.

프로비저닝 해제 과정에서

가상 호스트를 중단했지만, 공격자는 동일한 이름과 호스팅 공급자를 사용하여 새 가상 호스트를 등록합니다.

여러분(또는 여러분의 회사)은 더 이상 블로그를 유지하지 않기로 결정하여 호스팅 공급자에서 가상 호스트를 제거합니다. 그러나 호스팅 공급자를 가리키는 DNS 항목을 제거하지 않으면, 공격자가 이제 해당 공급자와 함께 자신의 가상 호스트를 만들고, 여러분의 하위 도메인을 할당하여 해당 하위 도메인 아래에서 자신의 콘텐츠를 호스팅 할 수 있습니다.

어떻게 방지하나요?

하위 도메인 탈취 방지는 가상 호스트와 DNS에 대한 수명 주기 관리 작업의 순서 문제입니다. 조직의 규모에 따라 여러 부서 간의 소통과 조정이 필요할 수 있고, 이로 인해 취약한 구성 오류의 가능성만 높아질 수 있습니다.

  • 호스트 프로비저닝과 프로비저닝 해제를 위한 표준 과정을 정의하세요. 모든 단계를 가능한 한 밀접하게 수행해야 합니다.

    • 먼저 가상 호스트에 요청하여 프로비저닝을 수행하고, 마지막으로 DNS 레코드를 만드세요.
    • 먼저 DNS 레코드를 제거하고 프로비저닝을 해제하세요.
  • 조직의 모든 도메인과 해당 호스팅 제공 업체의 인벤토리를 생성하고, 변경 사항이 있을 때마다 업데이트하여 아무것도 남아 있지 않도록 하세요.

  • 공격의 틈을 줄이기 위해 호스팅 공급 업체에 압력을 가하세요. 가상 호스트를 요구하는 누군가가 실제로 도메인 이름에 대한 정당한 권한을 가지고 있는지 어떻게 확인하고 있는지 물어봅니다. 조직 내에서 협력하여 이 부분을 공급업체의 자격 확인 과정의 일부로 만듭니다.

제 하위 도메인이 탈취되었습니다. 어떻게 해야 하나요?

도메인의 하위 도메인이 탈취당한 것을 발견한 경우, 가능하다면 먼저 하위 도메인에 대한 DNS 항목을 제거하여 "전원을 차단"해야 합니다. 사이트에 여러 가상화 계층(예: 가상 호스팅 외에 CDN)이 있다면, 각 계층을 조사하여 공격자가 도메인을 탈취하기 위해 가상 호스트 권한을 주장한 정확한 위치가 어디인지 확인해야 할 수도 있습니다.

더 알아보기