1. 개요
DNS Spoofing해킹의 하위 분류 중 하나. DNS 서버로 보내는 질문을 가로채서 변조된 결과를 보내주는 것으로 중간자 공격의 일종이다.
2. 방법
2.1. DNS 요청에 위조된 패킷을 보내주는 기법
- 공격자는 네트워크에 공격용 웹서버를 열어두고 대기한다.
- 네트워크에 DNS 서버로 보내지는 패킷이 있는지 확인한다.
- 목적지가 자신이 아닌 패킷은 읽지 않고 버려야 하지만 설정을 변경해서 모든 패킷을 읽어오게 한다.
- DNS 서버로 보내지는 패킷이 있다면, 그것을 보낸 PC에게 자신이 원하는 변조된 IP를 전송한다.
- 보통은 공격자가 DNS 서버보다 물리적으로 가까이 있으므로 공격자가 보낸 패킷이 DNS 서버가 보낸 정상적인 패킷보다 먼저 도착한다.
- PC는 먼저 받은 답변이 DNS의 것이라고 믿고 있기 때문에 나중에 온 정상적인 패킷은 버려진다.[1]
- PC는 변조된 IP로 접속을 하게 된다.
네이버에 접속한다고 가정한다면 피해자는 정상적으로 www.naver.com을 입력했는데 공격자의 웹서버로 접속이 되는 것이다. 만약 이 사이트가 겉보기로는 네이버와 유사한 사이트이고 사용자가 여기에서 로그인을 시도한다면 개인정보 탈취가 성공한다.[2]
2.2. DHCP 서버를 위조하는 기법
대부분의 PC나 스마트폰 등은 DHCP를 이용하여 자동으로 IP를 할당받는다. 그리고 IP를 할당 받을 때 자동으로 DNS 서버의 IP도 할당 받게 되어 있다. 이를 이용해 해커가 사설 DHCP 서버를 열어 두고 위조된 DNS 서버 정보를 주는 방법이다. 그 이후는 위와 동일하다.사실 DHCP 서버를 위조할 수 있을 경우, 게이트웨이 IP를 해커의 컴퓨터로 지정하게 만드는 것도 가능하며, 이게 가짜 서버나 중간자 서버를 따로 두는 것 보다 더 간단하고 위력적인 방법이다. 이 경우, 피해자의 모든 트래픽은 해커의 컴퓨터를 거쳐서 지나가게 되므로, 지나가는 패킷을 확인해서 암호를 비롯한 개인정보를 훔쳐볼 수 있게 된다. 다만 경우에 따라선 이쪽이 감지가 더 쉽기에 아주 쓸데없는 짓은 아니다.[3]
3. 현황
SSL/TLS 등의 인증-암호화 통신이 널리 보급되며 효용성이 떨어지기는 했지만 2020년 현재도 UDP 기반의 암호화 되지 않은 DNS 프로토콜은 여전히 널리 사용되기 때문에 기술적으로는 유효한 공격 기법이다. 다만 과거와는 달리 앉아서 아무데나 원격으로 DNS 스푸핑을 시도하긴 어려워졌는데 패킷을 망 전체에 무분별하게 뿌려버리는 허브와는 달리 스위치 환경에서는 다른 노드의 트래픽을 스니핑하기가 쉽지 않기 때문이다. 가정용 공유기조차도 허브가 아닌 스위치로 작동하므로 현 시점에는 망 전체를 손쉽게 장악하는 능력은 사실상 상실했다.이것은 DNS 스푸핑이 완전히 무력화 되었다는 의미가 아니다. 앞서 말했다시피 프로토콜 자체가 변경된 것은 아니므로 클라이언트와 DNS 서버 사이에 있는 네트워크 장비 중 공격자가 장악한 장비가 있다면 DNS 쿼리를 스니핑해서 여전히 손쉽게 가능하기 때문이다.[4] 다만 이렇게 중간 장비를 장악하거나 확보하는 것은 아무래도 공격 난이도가 수직으로 상승하고 불특정 다수에게 시도하기가 곤란할 뿐더러 탐지도 비교적 쉽게 되므로 이런 식으로 DNS 스푸핑을 시도하는 것은 정말 가치가 큰 대상이던지 쉽게 확보할만한 취약한 장비가 있으면 모를까 보통은 해커 입장에서도 그다지 노력 대비 가성비가 좋지 않은 것도 사실이다. 애당초 이처럼 직접적으로 공격자가 장비를 장악하거나 설치해서 안정적으로 굴릴 수 있으면 이 시점부터는 더 이상 DNS 스푸핑만의 문제가 아니게 되므로 본문의 범주를 벗어나버린다.
이런 중간자 역할을 해줄 장비조차도 없는 경우엔 다른 취약점이 있는게 아니고서야 매우 어렵다. 피해자가 사용하는 DNS 서버까지는 특정할 수 있다 해도[5] 유효한 DNS 쿼리를 적중시키려면 상대가 마침 원하는 도메인 주소로 접근을 시도하면서 매번 무작위로 바뀌는 UDP 헤더의 Source Port와 DNS 헤더의 Transaction ID까지 우연히 때려맞추고 상대가 보낸 Query문의 내용도 맞춰야만 한다. 그리고 이런 천문학적인 확률을 다 뚫는건 사실상 불가능한 일이며, 시도한다 해도 거의 UDP Flood 수준으로 트래픽을 보내야 하기 때문에 문제가 없을 수가 없다.
근본적인 방어법은 DNS over TLS처럼 DNS 서버를 인증하고 요청 자체를 암호화하는 것이지만, 2024년 기준으로 아직 널리 보급되지 못한 상황이다.
4. 기타
- 2017년에 실시된 고3 2018학년도 6월 평가원 모의고사에 비문학으로 스푸핑 개념이 출제되었는데#, 기술 지문에 약한 수험생들이 생각보다 매우 많이 어려워하였다. 확정 1등급 컷이(상위 4% 커트라인) 89점으로 DNS 스푸핑 지문 문제가 학생들의 점수 하락에 큰 영향을 준 듯하다. 이 지문이 까다롭기는 하지만 나름대로 실생활에 유용한 지문이라서 좋은 평가를 받기도 한다.
- 정부의 유해 사이트 차단은 https에는 적용되지 않았지만, 언젠가부터 DNS 스푸핑을 이용한 차단을 적용하고 있다는 의혹이 나오기도 했다. 이 사건에 대한 결론을 말하자면, 확실한 증거는 없어 사실관계 파악은 힘들다. 다만, 만일 이게 사실이라면 국가가 합법적으로 하는 사실상 해킹이라는 소리다(...) DNS 질의에 사용되는 특정 포트를 감시하고 있는 것으로 판단하는 의견도 있지만, 며칠 안 돼서 다시 정상화된 것을 보아 단순 오류라는 의견도 나오고 있다. 이에 대한 확실한 증거는 없어 확답은 불가능한 상황. 클라우드플레어 DNS로도 우회가 불가능하여, DNS over HTTPS 로 성공한 사례 및 깔끔하게 우회할 방법이 있다.
- 유해 사이트를 차단하여 warning.or.kr 으로 보내기 위해서 사용하는 기본 동작과 사실상 같다. 다만 이는 DNS 서버만 구글 서버(8.8.8.8) 등으로 바꿔주기만 해도 무력화되기 때문에, 실제로는 훨씬 다양한 방법이 사용된다.
- 2019년 인터넷 검열 사건에서 등장한 SNI를 이용한 차단방법도, 본질적으로 비슷한 방법이다. 다만, 이는 Encrypted SNI가 정식으로 사용되면 무력화된다.
[1] 일반적으로 UDP라는 프로토콜을 사용하는데, 이 UDP는 패킷이 전송되는 속도를 가속화하기 위해 일방적 통신, 즉 보내기는 하지만 수신에 대한 피드백은 하지 않는 통신을 한다. (이를 TCP와 비교해 비연결형 프로토콜이라고도 한다.) 또, 특정 패킷에 대해서는 처음 도착한 패킷만을 신뢰하고 그 이후에 도착하는 패킷이 있을 경우 그냥 버리기 때문에, 이러한 허점들이 공격에 이용된다.[2] 이러한 이유 때문에 네이버에서는 사용자가 로그인을 시도할 때, 로그인 페이지의 주소 창에서 꼭 자물쇠 표시(SSL)를 확인할 것을 당부한다.[3] 네트워크 상태나 공격자의 장비가 열악한 경우엔 피해자가 회선 품질 저하를 통해 공격 사실을 알아챌 수 있다.[4] ISP/정부 차원의 음모론이나 서플라이체인 백도어같은 살벌한 수준까지 가지 않더라도, 외부인이 가정집 통신 단자함에 접근가능한 정도만 돼도 매우 간단하게 장비를 심을 수 있다.[5] 대부분의 인터넷 이용자는 ISP가 기본적으로 제공하는 DNS 서버를 그대로 사용한다. 이외에 많이 사용하는 주소라고 해봐야 1.1.1.1이나 8.8.8.8 같이 유명한 DNS 서버를 많이 쓴다.