[U-50] DNS Zone Transfer 설정 (중요도 : 상)

주요정보통신기반시설 가이드 [U-50] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (도메인 정보 유출 방지 및 접근 제어)

1. 항목 개요 및 보안 위협
2. DNS Zone Transfer 제한 설정 실습
3. 법적 근거 및 관련 지침
4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : DNS 서버의 존(Zone) 정보가 인가된 보조 서버에게만 전송되도록 적절한 접근 제어 설정이 적용되어 있는지 점검합니다.

[ 보안 위협 ] : 존 전송 제한이 설정되어 있지 않으면 공격자가 [dig] 또는 [nslookup] 명령어를 통해 해당 도메인에 등록된 모든 호스트 이름, IP 주소, 시스템 정보 등을 한꺼번에 획득할 수 있습니다. 이는 네트워크 구조 파악을 가능하게 하여 타겟 공격의 기초 자료로 활용될 위험이 큽니다.

 

2. DNS Zone Transfer 제한 설정 실습

BIND 설정 파일 수정 (Common)

Step 1~2) 설정 파일 내 관련 옵션 확인

# [BIND 4/8 구버전] cat /etc/named.boot | grep xfrnets
# [BIND 9 신버전] cat /etc/named.conf | grep allow-transfer

Step 3~4) 허용할 보조 서버 IP 명시 및 수정

# vi /etc/named.conf
options {
    allow-transfer { 192.168.1.10; };  // 보조 서버의 IP 주소만 허용
};

# 또는 특정 존(Zone) 파일 내 개별 설정
zone "example.com" {
    type master;
    file "example.zone";
    allow-transfer { 192.168.1.10; };
};

Step 5) 서비스 설정 적용

# rndc reload (또는 systemctl restart named)

[취약 결과 예시]

allow-transfer 옵션이 any로 설정되어 있거나, 아무런 제한 설정이 없어 외부에서 존 정보 조회가 가능한 경우

[양호 결과 예시]

allow-transfer { 보조_서버_IP; }; 와 같이 인가된 서버만 명시되어 있거나 none으로 설정된 경우

 

3. 법적 근거 및 관련 지침

관련 법규 정보 (국가 법령 정보 센터)

1. 정보통신기반보호법 제9조(취약점 분석 평가) : 도메인 정보 유출 위험성 진단 및 기술적 보호조치 이행 의무
2. 정보통신기반시설 보호지침 제16조(설정관리) : 비인가자의 정보 수집 방지를 위한 DNS 서비스 접근 통제 기준 준수

 

4. 오늘 공부하며 정리한 핵심 포인트

■ 존 전송 제한 목적 : 외부 비인가자의 AXFR(전체 존 전송) 요청 차단을 통한 정보 노출 방지
■ 주요 설정 옵션 : BIND 9 기준 allow-transfer 구문 내 화이트리스트 IP 기반 접근 제어 수행
■ 환경 설정 상속 : options 섹션의 전역 설정과 zone 섹션의 개별 설정 간 우선순위 및 Include 파일 확인
■ 보안 검증 방법 : 외부 네트워크에서 dig @서버_IP 도메인 axfr 명령 수행 후 전송 거부 여부 확인

다음 공부 기록 예고 : [U-51] DNS 서비스의 취약한 동적 업데이트 설정 금지 (중요도 : 상)