DNS Covert Channel 공격

개요

DNS Covert Channel 공격은 DNS 프로토콜을 악용하여 외부와의 비인가 통신, 명령전달, 데이터 유출을 수행하는 은닉 채널 공격입니다. DNS는 기본적으로 허용된 서비스이며 대부분의 방화벽을 우회할 수 있기 때문에, 공격자가 내부망에서 외부 C2 서버와 통신하거나 민감 정보를 유출하는 데 자주 사용됩니다. 이 글에서는 DNS Covert Channel의 개념, 공격 기법, 탐지 방안, 대응 전략을 다룹니다.

---

1. DNS Covert Channel의 개념

DNS Covert Channel은 도메인 이름 질의(DNS Request)의 구조를 활용해 악성 코드의 명령·제어 또는 데이터 전송을 은밀히 수행하는 통신 기법입니다. 즉, DNS 질의를 정상처럼 보이게 하면서 실제로는 내부 정보를 외부 서버로 전송하거나 공격 명령을 받아오는 숨겨진 채널입니다.

---

2. 공격 기법 및 전송 방식

방식	설명	예시
데이터 인코딩 기반	Base32/64 등으로 인코딩한 데이터를 subdomain에 삽입	dGVzdGluZw==.exfil.domain.com
질의 이름 길이 활용	최대 255바이트를 활용해 패킷에 데이터 삽입	내부 키, 인증 토큰 전송 가능
TXT/NULL 레코드 악용	응답값 또는 쿼리에 메시지 삽입	Command & Control 용도
분산형 요청	다수의 짧은 쿼리로 정보 분산 전송	탐지 회피 목적

이러한 공격은 정상 DNS와 거의 유사하게 보이므로 탐지가 매우 어려움.

---

3. 주요 도구 및 공격 사례

도구/사례	설명	공격 기능
Iodine	터널링용 DNS Covert Channel 오픈소스	TCP/IP 통신, 리버스 셸 제공
DNSCat2	암호화 기반 DNS C2 구축 도구	명령 전송, 파일 업/다운 가능
OzymanDNS	Perl 기반 DNS 터널링 도구	Base64 인코딩 통신 지원
OilRig 캠페인	중동 타깃 APT 그룹의 DNS 통신 악용 사례	내부 정보 유출 및 C2 명령 수신
FeederBot 멀웨어	DNS 응답을 통해 페이로드 지속 업데이트	DNS 응답 변조 방식 활용

실제로 많은 APT 그룹이 DNS Covert Channel을 침투 수단으로 사용 중.

---

4. 탐지 및 대응 전략

전략	설명	구현 방법
DNS 로그 분석	subdomain 길이, 질의 패턴 이상 탐지	SIEM 연계, DNS 로그 시각화
도메인 엔트로피 검사	무작위 문자열 여부 분석	zxcvbn, Shannon Entropy 활용
빈도 기반 분석	동일 도메인에 다량 요청 여부 모니터링	통계 기반 탐지 시그니처 생성
DNS 터널링 차단 장비 적용	DNS 메시지 내 콘텐츠 분석	DNS 보안 게이트웨이, DDI 솔루션
DNS over HTTPS(DOH) 제한	HTTPS 기반 은닉 통신 통제	브라우저 정책 관리, 프록시 필터링

탐지 효율은 정상 쿼리와의 차이를 정의하는 분석 룰의 정교함에 좌우됨.

---

5. 방어 아키텍처 구성 예시

• DNS Forwarder + SIEM 연동
• 내부 DNS 요청 전량 로깅 및 주기적 분석
• 커스텀 탐지 룰 적용: 요청 길이, TTL 이상, 유사도 낮은 도메인 차단
• Threat Intelligence 연동된 DNS 블랙리스트 자동 업데이트

정상 사용자 DNS 트래픽을 보호하면서 이상 요청만 선별하는 구조 설계 필요

---

결론

DNS Covert Channel 공격은 네트워크 인프라의 신뢰 기반을 악용하여 이루어지는 은밀하고 지속적인 위협입니다. 특히 방화벽이나 IDS를 우회하고, 보안 솔루션의 사각지대를 노리는 공격자들에게 매우 매력적인 통신 수단입니다. 조직은 DNS 로그를 단순 인프라 로그가 아닌 보안 자산으로 간주하고, 탐지/차단 체계를 정교하게 구축해야 합니다.