DNS Armor 출시: DNS 위협을 탐지하고 선제적으로 대응하세요.

해당 블로그의 원문은 2025년 9월 17일 Google Cloud 블로그(영문)에 게재되었습니다. 

도메인 이름 시스템(DNS)은 인터넷의 전화번호부와 같아서, 웹사이트와 모바일 앱에 대한 요청을 해당 도메인 이름에서 실제로 호스팅하는 컴퓨터의 IP 주소로 자동적으로 거의 즉각 변환해 줍니다. 인터넷의 근간을 이루는 부분으로서, DNS 및 도메인 이름 조회는 또한 위협 행위자들이 사이버 공격을 시작하는 주요 수단이 되므로, DNS 기반 보호 기능은 사이버 공격에 대한 중요한 초기 방어 계층 역할을 할 수 있습니다.

DNS를 사용하여 사이버 공격을 진행하는 것은 심각한 위협이며, Infoblox가 올해 발표한 연구에 따르면 악성코드의 92%가 명령 및 제어(C2) 통신을 위해 DNS를 사용하는 것으로 나타났습니다. 고객의 보안 선택권을 지원하기 위해, 저희는 Infoblox와 협력하여 클라우드 네이티브 DNS 보안 서비스인 DNS Armor를 제공하며, 현재 미리 보기(Preview)로 이용 가능합니다.

DNS Armor는 Google Cloud 워크로드에서 시작된 인터넷 대상 DNS 쿼리에 대한 선제적인 위협 탐지 기능을 제공합니다. 이는 악성 명령 및 제어(C2) 서버에 대한 요청, 민감 데이터 유출을 위한 DNS 터널링, 그리고 DNS 쿼리를 사용하는 악성코드를 포함한 DNS 기반 위협을 식별하는 기초적인 보안 계층을 제공함으로써 기존의 클라우드 우선(cloud-first) 네트워크 보안 제품 포트폴리오를 보완합니다.

DNS Armor는 Infoblox의 선제적 DNS 위협 방어로부터 이점을 얻으며, 이 시스템은 매일 700억 건 이상의 DNS 이벤트를 분석하고 매월 데이터베이스에 400만 개의 새로운 위협 지표를 추가합니다. DNS 이벤트 분석을 사용하는 이러한 선제적 탐지 접근 방식은 보완적인 보안 도구보다 68일 더 일찍 DNS 기반 위협을 식별하는 데 도움을 줍니다.

Sabre Corporation의 클라우드 플랫폼 인프라 부사장인 Alfredo Rodriguez는 다음과 같이 말했습니다. "Infoblox와 Google Cloud의 고객으로서, 저희는 이 협업의 변혁적인 잠재력에 대해 매우 기대하고 있습니다. Infoblox의 기술력이 더해진 Google Cloud의 DNS Armor는 두 회사의 강점을 결합하여 선구적이고 선제적인 위협 방어를 제공하는 사이버 보안 분야의 도약입니다."

DNS 인텔리전스로 위협을 조기에 탐지

DNS Armor는 피드 기반(Feed-based) 및 알고리즘 기반(Algorithmic-based)의 두 가지 위협 탐지 기능을 제공합니다.

• 피드 기반: 알려진 악성 도메인, 고위험 도메인, 그리고 악성 공격에 사용될 가능성이 있는 새롭게 등록된 도메인을 탐지합니다.

• 알고리즘 기반: 무단 데이터 유출을 방지하기 위한 DNS 터널링 공격 기법과 같은 머신러닝 기반 탐지 기법을 사용하여 공격을 탐지합니다.

DNS Armor는 또한 악성코드 배포 사이트로의 연결을 탐지하는 데 도움을 줄 수 있으며, 악성 및 고위험 도메인으로 향하는 DNS 쿼리를 차단함으로써 잠재적인 악성 다운로드를 선제적으로 방지할 수 있습니다.

많은 정교한 사이버 공격은 해당 명령 및 제어(C2) 환경과 네트워크 연결을 설정합니다. DNS Armor를 사용하면 C2 활동, 악성코드 배포 사이트로의 연결, 그리고 워크로드에서 시작되는 Domain Generation Algorithm(DGA) 트래픽을 탐지하여 의심스럽거나 악성 도메인의 가장 초기 지표를 파악할 수 있습니다.

예를 들어, DNS Armor는 단일 도메인 이름에 연결된 IP 주소를 빠르게 교체하는 패스트 플럭스(fast flux)와 같은 회피 기법을 탐지할 수 있습니다. 이러한 기법은 악성 도메인 탐지를 더욱 어렵게 만들며 종종 기존 보안 도구에서는 간과되기 쉽습니다.

Infoblox의 총괄 부사장 겸 최고 제품 책임자(CPO)인 Mukesh Gupta는 다음과 같이 말했습니다. "사이버 보안의 미래는 사후 대응적이지 않습니다. 그것은 선제적입니다. DNS는 모든 인터넷 연결의 기반에 있으며, 공격이 시작되기 전에 포착할 수 있는 가장 빠르고, 가장 간과하기 쉬운 기회를 제공합니다. Infoblox가 통합된 Google Cloud의 DNS Armor는 위협이 무기화되기 몇 주 전에 이를 탐지합니다. 이는 보안 팀이 노이즈를 제거하고 실질적으로 중요한 것에 집중하도록 도우며, 거의 제로에 가까운 오탐률(false positive rate)을 자랑합니다. '환자 제로(patient zero)'를 기다릴 필요도, 사각지대도 없습니다. 규모에 맞는 실시간 위협 가시성만이 존재할 뿐입니다."

DNS Armor 작동 방식

Google Cloud 워크로드에 DNS Armor를 적용하는 것은 단 몇 번의 클릭만으로 가능합니다. 일단 활성화되면, DNS Armor는 귀하의 Google Cloud 워크로드에서 생성되는 인터넷 대상 DNS 쿼리를 가로채며, 해당 쿼리는 Infoblox Threat Defense 서비스에 의해 실시간으로 자동 검사됩니다.

위협이 탐지될 경우, Infoblox Threat Defense 서비스는 상세한 위협 로그를 생성하여 Cloud Logging에 저장합니다. 귀하는 또한 이러한 위협 로그를 Security Command Center, Google Security Operations 또는 선호하는 SIEM 플랫폼으로 전송하여 추가적인 분석과 인시던트 대응에 활용할 수 있습니다.

DNS Armor는 턴키 방식의 관리형 서비스이기 때문에 배포 및 관리가 매우 쉽습니다. 관리할 가상 머신(VM)이 전혀 없으며, Cloud DNS의 성능에 영향을 주지 않습니다. 프로젝트 수준에서 가상 PC 전반에 걸쳐 DNS Armor를 활성화할 수 있어, 보호가 필요한 클라우드 워크로드에 대한 세밀한 제어(Granular Control)가 가능합니다.

시작하기

DNS Armor를 시작하려면 문서 페이지를 방문하십시오. DNS 보안에 대해 더 자세히 알아보려면 이 영상을 확인해 보십시오.