2022년 4월 11일
작성자: 제프 에벨링 - CISSP, CCSP 고급 기술 전문가, Skyhigh Security
'도메인 사용 기간'은 다양한 방화벽 및 웹 보안 공급업체에서 악성 인터넷 대상에 대한 액세스로부터 사용자와 시스템을 보호하기 위한 방법으로 홍보하고 있는 기능입니다. 이 개념은 도메인 기간을 일반적인 트래픽 필터링 매개변수로 사용하는 것입니다. 새로 등록된 도메인과 관련된 호스트는 완전히 차단하거나 격리하거나 의심스러운 것으로 취급해야 한다는 생각입니다. 이 블로그에서는 도메인 사용 기간의 정의, 도메인 생성 및 등록 방법, 도메인 사용 기간 값, 다른 웹 보안 도구와 함께 도메인 사용 기간을 가장 효과적으로 사용할 수 있는 방법에 대해 설명합니다.
도메인 연령 기능 정의
인터넷의 사이트와 도메인은 끊임없이 변화하고 진화하고 있습니다. Verisign에 따르면 2021년 3분기까지 하루 평균 40,000개 이상의 .net 및 .com 도메인이 새로 등록되었습니다. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml 대상 호스트의 도메인이 다양한 출처에서 조회할 수 있는 등록 날짜가 있는 것으로 알려진 경우 해당 도메인에 대해 알고 있습니다. 도메인 사용 기간은 최초 도메인 등록일과 현재 날짜 사이의 시간을 간단히 계산한 것입니다.
도메인 유효기간 기능은 관리자가 특정 인터넷 대상에 대한 액세스를 허용하는 데 필요한 최소 도메인 유효기간을 설정할 수 있는 정책 제어에 사용하도록 설계되었습니다. 도메인은 매우 쉽고 저렴하게 설정할 수 있기 때문에 새 도메인을 완전히 차단하지는 않더라도 매우 신중하게 처리해야 한다는 것이 이 기능의 취지입니다. 안타깝게도 대부분의 프로토콜과 구현에서 도메인 사용 기간 정책 선택은 허용 또는 차단이라는 이분법적인 결정으로 이루어집니다. 이는 최종 목적지가 호스트, 하위 도메인 및 대상 주소로 도메인 사용 기간을 변경하지 않고도 빠르게 활성화, 변경 및 비활성화할 수 있는 경우에는 그다지 유용하지 않습니다. 따라서 도메인 이름 또는 도메인 사용 기간만을 기준으로 한 이원적 보안 결정은 당연히 보안, 사용자 경험 및 생산성에 해로운 오탐과 오탐을 모두 초래하게 됩니다.
도메인 등록
IANA(인터넷 할당 번호 기관)는 ICANN(인터넷주소자원관리기구)의 부서로 프로토콜 매개변수, 도메인 이름, IP 주소 및 자율 시스템 번호의 레지스트리 관리를 담당합니다. IANA는 DNS(도메인 이름 시스템) 루트 영역과 TLD(.com, .org, .edu 등의 최상위 도메인)를 관리하며 등록기관은 인터넷 레지스트리 및 IANA와 협력하여 최상위 도메인 내에 개별 하위 도메인을 등록할 책임이 있습니다.
등록 절차 및 정의에 대한 자세한 내용은 IANA 사이트(iana.org)에서 확인할 수 있습니다. 자세한 내용은 여기에서 확인할 수 있습니다: https://whois.icann.org/en/domain-name-registration-process 이 위치에는 다음과 같은 문구가 포함되어 있습니다:
"경우에 따라 WHOIS에 자신의 정보가 등록되는 것을 원하지 않는 개인 또는 조직은 대리 서비스 공급업체와 계약하여 도메인 이름을 대신 등록할 수 있습니다. 이 경우 서비스 공급업체는 최종 고객이 아니라 도메인 이름 등록자입니다."
즉, 서비스 공급업체와 최종 고객은 도메인을 한 번 등록하면 등록 날짜를 변경하거나 다른 등록 정보를 변경하지 않고도 도메인을 재사용, 재할당 또는 판매할 수 있습니다. 등록기관은 경매 주소를 통해 도메인 "스쿼터 및 트롤"을 위한 방대한 시장을 창출할 수 있으며 실제로 그렇게 하고 있습니다. 공격자는 이미 사라진 비즈니스의 기존 도메인을 저렴하게 구입하거나 완전히 새로운 합법적인 도메인을 등록한 후 몇 주, 몇 달 또는 몇 년 동안 사용하지 않고 방치할 수 있습니다. 예를 들어, 이 글을 쓰는 현재 airnigeria.com은 godaddy.com에서 단 65달러에 판매되고 있습니다. airnigeria.com 도메인은 원래 2003년에 등록되었습니다. IANA와 등록기관은 도메인 사용에 대한 책임이나 통제권이 없습니다.
도메인 수명 결정
도메인 사용 기간은 레지스트리 운영자가 TLD에 대해 관리하는 인터넷 레지스트리의 도메인 레코드로부터 결정됩니다. 궁극적으로 등록기관은 도메인 등록을 설정하고 관련 데이터를 업데이트할 책임이 있습니다. 레지스트리의 레코드에는 최초 생성 날짜가 있지만 특정 도메인의 등록이 만료되고 도메인 네임이 다시 등록되지 않는 한 해당 날짜는 변경되지 않습니다. 따라서 도메인 사용 기간은 개별 대상의 활성 시점을 측정하는 데 매우 부정확한 기준이 됩니다.
필터링 결정 시점에 목적지 IP 주소만 알고 있다면 어떻게 해야 할까요? 특정 목적지로 전송된 첫 번째 패킷(TCP SYN 또는 다른 네트워크 또는 전송 수준 프로토콜의 첫 번째 UDP 패킷)을 필터링하는 경우가 이에 해당할 수 있습니다. 대상의 도메인을 얻는 한 가지 방법은 역방향 DNS 조회이지만 호스트의 도메인이 원래 확인을 위해 제출된 도메인과 일치하지 않을 수 있는데, 이때 도메인 사용 기간은 어떤 값인가요?
예를 들어 www.skyhighsecurity.com은 현재 34.111.16.149로 확인되며, 이는 149.16.111.34.bc.googleusercontent.com으로 역방향으로 확인됩니다. skyhighsecurity.com 도메인은 2018-12-14에 등록되었지만 googleusercontent.com은 2010-09-14에 등록되었습니다. 두 도메인 모두 오래 전에 등록된 도메인입니다. 이 대상은 잘 알려진 skyhighsecurity.com 도메인에 있고 잘 알려진 googlecontent.com 도메인에서 호스팅되지만 www.skyhighsecurity.com 또는 34.111.16.149 대상이 언제 활성화되었는지 또는 해당 IP 주소와 통신할 위험이 있는지에 대한 정보를 제공하지 않습니다. 공급업체의 도메인을 사용하여 퍼블릭 클라우드(IaaS 및 SaaS)에서 호스팅되는 대상을 고려하면 도메인 사용 기간은 더욱 유용하지 않습니다.
역방향 조회에서 잘못된 도메인을 가져와서 잘못된 도메인 연령을 얻는 문제는 클라이언트의 DNS 쿼리를 추적하고 해당 도메인을 요청된 대상 IP에 다시 매핑하려고 시도하면 어느 정도 완화될 수 있습니다. 그러나 이렇게 하려면 클라이언트의 모든 DNS 요청을 완전히 파악해야 하며, 대상 IP 주소가 표준 DNS 또는 도메인 사용 기간 필터링을 제공하는 시스템을 사용하여 결정되었다고 가정해야 합니다.
도메인 연령을 일반 필터 기준으로 사용할 때의 문제점
전송을 위한 올바른 도메인을 설정하고 도메인 연대를 정확하게 검색할 수 있더라도 여전히 고려해야 할 문제가 있습니다.
등록기관은 기존 도메인을 자유롭게 유지, 변경 및 재할당할 수 있으며 리셀러도 동일한 작업을 수행할 수 있습니다. 따라서 악의적인 공격자는 중립적이거나 심지어 긍정적인 평판을 가진 기존의 잘 확립된 도메인을 쉽게 획득할 수 있으므로 독립적인 필터링 매개변수로서 도메인 사용 기간의 유용성이 크게 감소합니다. 또한 악의적인 공격자는 명령 및 제어 또는 공격 도메인으로 사용되기 훨씬 전에 새 도메인을 등록할 수도 있습니다.
합법적이고 완벽하게 안전한 사이트가 지속적으로 등록되고 사용되기 시작하면 며칠 또는 몇 시간 내에 구축되는 경우가 많습니다. 도메인 연한을 필터 기준으로 사용할 때는 항상 높은 오탐률과 높은 오탐률 사이에 상충 관계가 존재합니다.
또한 도메인 사용 연한은 도메인 내에서 개별 호스트 네임 레코드가 생성된 시점과 비교하여 거의 의미가 없다는 점에 유의해야 합니다. 등록된 도메인은 거의 무한대에 가까운 수의 하위 도메인과 해당 도메인 내의 개별 호스트를 가질 수 있으며, 호스트 네임의 나이 또는 해당 네임이 활성 IP와 연결된 시기를 정확하게 파악할 수 있는 방법이 없습니다. 확인할 수 있는 것은 대상 호스트 네임이 이전 날짜에 등록된 도메인의 일부라는 것뿐입니다.
결론은 도메인 사용 기간이 그 자체로 유용한 필터링 결정을 내릴 만큼 세분화되거나 실질적이지 않다는 것입니다. 그러나 도메인 사용 기간은 선택한 최신성 임계값과 관련된 오탐률과 오탐률을 허용할 수 있는 경우 보다 구체적인 기준이 완전히 없는 상황에서 어느 정도 제한적인 보안 가치를 제공할 수 있습니다. 도메인 사용 기간은 프로토콜, 콘텐츠 유형, 호스트 카테고리, 호스트 평판, 처음 본 호스트, 호스트 액세스 빈도, 웹 서비스 속성 등과 같은 보다 명확한 다른 필터 기준과 결합할 때 보완적인 가치를 제공할 수 있습니다.
HTTP/S 및 프록시 기반 필터링의 맥락에서 도메인 나이
HTTP 프로토콜이 사용 중일 때는 항상 더 구체적인 기준을 사용할 수 있습니다. HTTP 및 HTTPS 필터링은 명시적 또는 투명한 프록시를 통해 가장 효과적으로 처리됩니다. 프로토콜을 따르는 경우(디바이스 또는 서비스에서 시행), TCP 연결이 설정될 때까지는 정보가 전송될 수 없으며 침해나 공격이 시작될 수 없습니다.
트래픽이 프록시되고 있고 HTTPS가 복호화될 수 있다면 프록시에서 호스트, URL 경로 및 URL 매개변수에 대한 정확한 FQDN(정규화된 도메인 이름)을 식별하고 확인하여 필터링 결정에 사용할 수 있습니다. FQDN, 전체 URL 경로 및 URL 매개변수에 대한 정보를 조회하는 기능은 도메인 또는 도메인의 등록 날짜와 관계없이 특정 사이트, 대상 및 서비스의 이력, 위험 수준 및 사용과 관련하여 훨씬 더 유용한 정보를 제공합니다. 프록시가 요청을 특정 서비스 및 해당 데이터 보안 속성(서비스 유형, 지적 재산 소유권, 침해 이력 등)과 연결하면 이러한 상황별 데이터를 더욱 강화할 수 있습니다.
업계를 선도하는 웹 프록시 공급업체는 가장 자주 사용되는 사이트, 도메인, 애플리케이션, 서비스 및 URL에 대한 광범위하고 포괄적인 데이터베이스를 유지 관리합니다. Skyhigh Security 에서 사용하는 글로벌 위협 인텔리전스 및 클라우드 레지스트리 데이터베이스는 사이트, 도메인 및 URL을 지리적 위치, 카테고리, 서비스, 서비스 속성, 애플리케이션, 데이터 위험 평판, 위협 평판 등과 연관시킵니다. 데이터베이스에 특정 호스트, 도메인, 서비스 또는 URL에 대한 항목이 없다는 것은 해당 사이트가 새로 설립되었거나 거의 사용되지 않으므로 본질적으로 신뢰할 수 없다는 매우 강력하고 훨씬 더 정확한 표시입니다. 이러한 사이트는 도메인 연령에 관계없이 이러한 기준에 따라 신중하게 취급하고 차단 또는 코칭 또는 격리(후자의 두 옵션은 프록시 HTTP/S에서만 사용 가능)해야 합니다.
Skyhigh Security 보안 서비스 에지(SSE)는 위의 모든 기능을 제공하며 분류되지 않았거나 확인되지 않은 기타 위험한 사이트에 대한 remote browser isolation (RBI)를 포함합니다. 이렇게 하면 도메인 연령 필터로 인한 오탐 및 미탐의 복잡한 문제를 추가하지 않고도 브라우저나 기타 애플리케이션이 분류되지 않은 사이트에 액세스할 위험을 사실상 제거할 수 있습니다.
HTTP/S를 사용하는 경우 호스트 네임 나이 또는 처음 및/또는 마지막으로 호스트 네임을 본 날짜가 추가적인 가치를 제공할 수 있지만, 도메인 나이와 보다 구체적인 사이트 또는 서비스 관련 정보를 사용할 수 있는 경우 도메인 나이는 거의 쓸모가 없습니다. 가장 좋은 방법은 도메인 연령에 관계없이 확인되지 않은 사이트 및 서비스를 차단, 격리하거나 최소한 코칭하는 것입니다. 도메인 사용 기간에 따라 확인되지 않은 사이트 또는 서비스를 허용하면 오탐(도메인이 최근에 등록되지 않았다는 이유만으로 위험한 사이트 및 서비스를 허용하는 것)의 위험이 커집니다. 일반적으로 도메인 사용 기간만을 기준으로 사이트 및 서비스를 차단하면 평판이 좋아 차단해서는 안 되는 사이트가 과도하게 차단될 수 있습니다.
결론
도메인 나이는 네트워크 패킷의 목적지에 대해 더 정확하고 구체적인 정보가 없는 상황에서 필터 결정을 보완하는 데 어느 정도 유용할 수 있습니다. HTTP/S 필터링에 도메인 나이를 사용하는 것을 고려할 때, 이는 보다 포괄적인 위협 인텔리전스 및 서비스 데이터베이스를 대체하기에는 매우 부족합니다. 모범 사례에서 벗어나 확인되지 않은 사이트에 대한 HTTP/S 연결을 격리하지 않고 허용하기로 결정한 경우, 도메인 연령은 새로 등록된 도메인에 있는 확인되지 않은 사이트를 차단함으로써 제한적인 보완 가치를 제공할 수 있습니다. 이는 포괄적인 웹 위협 인텔리전스를 사용하고, 철저한 요청 및 응답 분석을 수행하며, 확인되지 않은 사이트를 단순히 차단, 격리 또는 코칭하는 모범 사례와 비교할 때 보안에 대한 잘못된 인식과 오탐의 위험이 훨씬 더 높다는 대가를 치르게 됩니다.
Skyhigh Security의 시스템 및 데이터 보호를 위한 총체적이고 효과적인 솔루션에 대한 자세한 내용은 Security Service Edge 랜딩 페이지에서 확인할 수 있습니다.
블로그로 돌아가기