반응형
오늘의 보안용어 : DNS Sinkhole(싱크홀)
DNS Sinkhole이란?
DNS Sinkhole은 악성 도메인으로 향하는 DNS 요청을 공격자의 서버가 아닌 관리자가 지정한 안전한 서버로 우회시켜 악성 통신을 차단하고 감염 시스템을 식별하는 보안 기술입니다.
"악성 사이트로 가려는 길을 안전한 곳으로 바꿔주는 기술"입니다.
동작 원리
감염된 PC는 원래 공격자의 C2(Command & Control) 서버와 통신하기 위해 악성 도메인의 IP 주소를 DNS 서버에 요청합니다.
일반적인 경우에는 DNS가 공격자의 C2 서버 IP를 알려주지만, DNS Sinkhole이 적용되면 관리자가 지정한 안전한 서버의 IP를 응답합니다.
따라서 감염된 PC는 공격자의 C2 서버가 아닌 Sinkhole 서버로 연결됩니다.
동작 과정
감염된 PC
│
▼
DNS 서버에 악성 도메인 조회
│
▼
DNS Sinkhole
(공격자 IP 대신 안전한 IP 반환)
│
▼
Sinkhole 서버 연결
│
▼
악성 통신 차단 및 감염 PC 식별
DNS Sinkhole의 목적
- 악성코드와 C2 서버 간 통신 차단
- 감염된 PC 식별
- 추가 명령 실행 방지
- Beaconing 행위 분석
- 위협 인텔리전스(Threat Intelligence) 수집
활용 사례
기업에서 직원 PC가 악성코드에 감염되어 C2 서버와 통신을 시도하는 경우,
DNS Sinkhole을 적용하면 공격자의 서버 대신 내부 Sinkhole 서버로 연결되어 원격 제어를 차단할 수 있습니다.
또한 어떤 PC가 악성 도메인에 접속을 시도했는지 확인하여 감염된 시스템을 신속하게 식별하고 대응할 수 있습니다.
관련 용어
- DNS : 도메인 이름을 IP 주소로 변환하는 서비스
- C2(Command & Control) : 공격자가 감염된 시스템을 원격으로 제어하는 서버
- Beaconing : 감염된 시스템이 C2 서버와 주기적으로 통신하는 행위
- Threat Intelligence : 위협 정보를 수집·분석하여 보안에 활용하는 활동
용어 정의
DNS Sinkhole
: 악성 도메인에 대한 DNS 요청을 공격자의 서버가 아닌 관리자가 지정한 안전한 서버로 우회시켜 악성 통신을 차단하고, 감염 시스템을 식별 및 분석하는 보안 기술.
반응형
'보안용어' 카테고리의 다른 글
| [보안용어]_Incident Triage(인시던트 트리아지) (0) | 2026.07.10 |
|---|---|
| [보안용어]_악성 LNK파일 (0) | 2026.07.09 |
| [보안용어]_Attack Surface (공격 표면) (0) | 2026.07.08 |
| [보안용어]_커베로스팅(Kerberoasting) (0) | 2026.07.03 |
| [보안뉴스]_침입 탐지 시스템(IDS, Intrusion Detection System) (0) | 2026.07.01 |
