CDN Shared IP 기반 DNS 신뢰 모델의 붕괴와 8,800만 도메인 취약점

Your Clean Domain Could Be Masking an Attack: The Underminr Vulnerability Explained

Kishore Bhavnanie2026년 5월 26일10분advanced

AI 요약

Context

보안 시스템이 신뢰하는 CDN Edge IP와 DNS 해상 결과의 일치 여부만 검증하는 기존 보안 모델의 한계 분석. 다수 도메인이 동일한 Edge IP를 공유하는 CDN 구조로 인해 DNS 쿼리 결과와 실제 TLS SNI 목적지가 다른 불일치 상황 발생.

DNS Resolve 단계에서 신뢰 도메인의 IP를 획득한 후, 실제 TCP 연결 시 다른 SNI 값을 전송하여 보안 필터를 우회하는 구조 설계
DPI(Deep Packet Inspection)를 무력화하기 위해 정상 SNI 연결 후 악성 SNI 연결을 수행하는 Split Mode 적용
ECH(Encrypted Client Hello)를 통해 내부 SNI를 암호화함으로써 네트워크 계층의 가시성을 완전히 차단하는 ECH Mode 구현
DNS 쿼리 없이 기판의 CDN Edge IP로 직접 연결하여 텔레메트리 생성을 원천 차단하는 Direct-to-IP Mode 활용
DNS resolution과 실제 Network Connection 간의 상관관계 분석을 통한 Defense in Depth 체계 구축

실천 포인트

1. DNS Resolve 결과와 실제 TLS Handshake의 SNI 값이 일치하는지 상호 검증하는 로직 검토

2. ECH(Encrypted Client Hello) 적용 여부를 확인하고 암호화된 트래픽에 대한 가시성 확보 방안 수립

3. CAA 레코드를 모니터링하여 인증서 발급 제한 정책의 무결성 유지

4. SPF, DKIM, DMARC 설정을 강화하여 도메인 평판 도용을 통한 이메일 스푸핑 방어

태그