개인 도메인 보안 실천 방법

본문은 개인 도메인 사용 과정에서의 보안 실천 경험을 공유하며, 스캔 공격 분석, 도메인 보호 전략, 흔한 공격 수법 및 에지 보안 서비스 선택 등에 관한 내용을 포함합니다.
Tags:
Categories:

서론

인터넷 시대에 네트워크 공격은 일상이 되었습니다. 매일 수많은 자동화 도구가 인터넷 곳곳을 스캔하며 가능한 모든 취약점을 찾고 있습니다. 많은 사람들이 대기업만이 공격 대상이 된다고 생각하지만, 실제로는 공격 비용이 낮아지고 도구가 보편화되면서 인터넷에 노출된 모든 서비스가 공격 대상이 될 수 있습니다.

실제 사례 분석

스캔 공격 사례

Cloudflare에 배포한 소규모 전시 사이트는 유효한 URL이 두 개뿐이었습니다:

하지만 계속해서 스캔 공격을 받고 있습니다.

처음에는 다른 URL들이 모두 404를 반환했는데, 서비스 시작当天부터 홍콩 IP 주소에서 스캔이 시작되었습니다. 원본 IP는 매일 바뀌지만 대부분 홍콩 IP였습니다. 일부 사용자가 홍콩 IP로 접속하기 때문에 지역 차단을 직접 할 수는 없었습니다.

위 URL들은 모두 다양한 목적을 가지고 시도한 것으로, 제 worker는 //logs-collector만 처리합니다. 이러한 끈질긴 시도는 대부분 취약점을 찾기 위한 것입니다.

이러한 스캔은 CF 무료 요청 수를 차지하고 로그를 오염시키는 부정적인 영향을 주기 때문에 좋은 일은 아닙니다.

나중에 다른 모든 요청에 대해 200을 반환하고 Host on Cloudflare Worker, don't waste your time을 추가했습니다.

이후 스캔이 약간 감소했지만 이것이 직접적인 인과관계가 있는지는 확신할 수 없습니다.

자신의 호스트에서 실행되는 서비스의 경우, 이러한 스캔이 계속되고 서비스가 지속적으로 보안 업데이트되지 않으면 언젠가는 스캔으로 인한 취약점이 발견될 것입니다.

공격자 입장에서는 정기적으로 끊임없이 시도하는 것이며, 공격 성공 시 보상을 받게 됩니다. 대부분 자동화되어 있고 장비 및 시간 비용이 낮습니다.

보안 위협 분석

공격자 특징

  • 국경을 넘나드는 범죄가 일반적이며, 책임 추궁 가능성을 낮춥니다.
  • Nmap, Masscan 등 포트 스캔 도구를 포함한 자동화 도구가 널리 사용됩니다.
  • 지속적인 공격, 비용이 낮음
  • 봇넷 자원이 풍부하고 IP 주소가 자주 변경됩니다.
  • 공격 시간은 주로 심야나 휴일에 선택됩니다.

흔한 공격 방식

  1. 포트 스캔
    • 개방된 포트를 대량 스캔
    • 일반적인 서비스 식별 (SSH, RDP, MySQL 등)
  2. 취약점 스캔
    • 오래된 소프트웨어의 알려진 취약점 스캔
    • 경로 특성과 파일명 특성을 통해 식별
  3. 직접 입력 구성, 입력 검증 취약점을 통해

보안 실천 방법

리버스 프록시 대신 VPN 사용

대부분의 사람들은 소프트웨어를 즉시 업데이트하지 않기 때문에 자신의 도메인을 노출시키지 않는 것이 좋습니다. 스캔은 postfix와 prefix 모두를 구성할 수 있으며, 하위 도메인을 무작위로 시도할 수 있습니다.

예를 들어 하위 도메인의 재난 지역:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

이것들은 즉석에서 작성한 것이며, 자동화된 공격이라면 하위 도메인 사전을 사용하여 자동으로 테스트할 것입니다.

로컬 네트워크에 DNS 서버를 구축할 수 있습니다. 예를 들어 AdguardHome을 사용하고, 위에 도메인 이름을 설정하며, 내부 네트워크 장치가 고정 IP로 접근하도록 합니다.

DDNS도 AdguardHome의 API를 사용하여 구현할 수 있습니다. 로컬 네트워크이기 때문에 도메인 이름을 자유롭게 선택할 수 있습니다.

에지 보안 서비스 사용

사이버 부처 Cloudflare는 더 이상 설명할 필요가 없습니다. 개인 사용자가 실제로 상업적 가치를 지닌 프로젝트를 찾기 전까지는 무료일 것입니다.

국내 서비스는 알리바바 클라우드 ESA이며, 저는 무료로 3개월 사용하고 있습니다. 일반적으로 루트 도메인당 월 10위안에 50GB 트래픽 제한이며, CF의 전면 무료 서비스에 비해 더 이상 소개할 필요가 없습니다.

보안 서비스는 일반적으로 비쌉니다. 보호를 하지 않으면 공격을 받았을 때 큰 손실이 발생하고, 유료 보호를 하면 매일 직접적인 “손실"을 목격하게 됩니다.

에지 보안 서비스는 일종의 보험이며, 매우 저렴하고 비용 대비 효과가 뛰어난 보안 서비스로, 전문가에게 전문적인 일을 맡기는 전형적인 사례입니다.

에지 보안의 주요 목적은 실제 IP를 숨기고 사용자가 에지 노드에 액세스하며, 에지 노드가 실제 IP에 대한 원본 액세스를 수행할지 여부를 계산하고 결정하는 것입니다.

본질적으로 사전에 배치된 리버스 프록시이며, 캐시, WAF, CDN, DDoS 방어 등의 기능을 통합하고 있습니다. 사용자와 서비스 사이에 제3자가 삽입되므로 사용자 경험 저하의 가능성이 있습니다.

CF와 ESA 모두 사용하고 있으며, 요약하자면 최고 수준의 사용자 경험을 약간 낮추는 대신 더 많은 지역의 사용자 경험을 향상시킵니다. 전반적으로 매우 가치 있는 선택입니다.

결론

자체 사용 서비스의 경우 VPN을 우선적으로 사용하는 것이 좋으며, tailscale 또는 zerotier 모두 좋은 선택입니다. DNS 서비스가 필요하면 내부 네트워크에 AdGuardHome을 구축할 수 있고, 공개 네트워크에서는 AdGuardPrivate를 사용할 수 있습니다.

대중에게 공개되는 서비스의 경우 Cloudflare를 사용하는 것이 좋으며, 중국 대륙의 접속 속도를 고려한다면 알리 ESA를 사용하는 것이 좋습니다.

이러한 보안 실천 방법은 참고용이며, V존의 전문가들로부터 조언을 환영합니다.