DNS 모니터링

DNS는 모든 것의 기반 - 그리고 망치기 가장 쉬운 부분

DNS는 모든 것 아래에 있습니다: 모든 웹 요청, 모든 이메일, 모든 API 호출은 DNS 조회에서 시작됩니다. 그래서 조용히 이뤄지는 DNS 레코드 변경이 가장 많이 악용되는 공격 중 하나이자, 팀원이 부주의하면 쉽게 저지를 수 있는 실수 중 하나입니다. DNS를 변경하면 귀하의 도메인이 피싱 사이트의 복제본으로 연결될 수 있고, 메일이 공격자의 서버를 경유하거나, 검색 결과에서 누락되거나, 사소한 오타 하나로 전체 시스템이 망가질 수 있습니다. 대부분의 DNS 문제는 악의적인 것이 아니며; 일상적인 운영 변경이 알림 없이 이뤄져 downstream을 망가뜨리는 경우가 많습니다.

DNS 모니터링은 각 점검 시점에서 레코드의 스냅샷을 저장하고 이전 값과 비교하여 이러한 변경을 포착합니다. 추적 중인 항목이 하나라도 추가되거나 삭제되면 알림을 받게 됩니다. 예고했던 변경사항이라도 알리지 않았을 때, 설정 오류, 실제 하이재킹 등 어떤 원인이든 몇 시간 이내에 알 수 있습니다.

어떤 레코드를 모니터링하나요

각 HTTP 모니터에 대해 보다 심층적인 일일 점검 시 아래 유형의 레코드를 조회합니다:

• A 및 AAAA: 호스트명이 해석되는 IPv4와 IPv6 주소. 변경 시 트래픽이 의도적으로 또는 등록기관을 탈취한 누군가에 의해 전혀 다른 곳으로 이동합니다.
• MX: 메일 익스체인저. 새 MX 레코드(혹은 누락)는 메일 라우팅이 변경되었음을 의미합니다. 메일의 조용한 손실은 비즈니스에서 최악의 시나리오 중 하나입니다.
• NS: 네임서버. 변경 시 누군가 귀하의 DNS 영역을 다른 공급자로 옮긴 것입니다 - 도메인에 적용할 수 있는 가장 강력한 변화입니다. NS 변경은 거의 항상 계획된 마이그레이션이거나 등록기관 침해의 결과입니다.
• TXT: 범용 텍스트 레코드로, 도메인 인증(Google, Microsoft, Stripe 등) 및 SPF/DKIM/DMARC에 주로 사용됩니다.
• SPF, DMARC, CAA: 이메일 보안 및 인증서 발급 관련 전용 레코드입니다. 특히 CAA 값이 변경되면 공격자가 귀하의 도메인용 TLS 인증서를 발급받을 수 있습니다.

대시보드에서는 모니터 상세 뷰에서 모든 현재 레코드를 한눈에 볼 수 있어, 무엇이 현재 발행되어 있는지 쉽게 확인할 수 있습니다.

변경 감지 방법

모니터는 모니터별로 A, AAAA, MX, NS 레코드의 스냅샷을 유지합니다. 각 심층 점검마다, 현재 레코드는 저장된 스냅샷과 비교됩니다. 사라진 레코드는 "삭제됨", 새로 추가된 레코드는 "추가됨"으로 표시됩니다. 두 목록 모두 변경 보고서에 포함됩니다.

추적 중인 레코드 세트에 변경이 감지되면 활성화된 채널로 알림이 전송됩니다. 알림에는 어떤 레코드 유형이 바뀌었는지, 무엇이 추가·삭제됐는지 명확히 표시됩니다. 단순히 "example.com의 DNS가 변경됨"이 아니라 "example.com의 MX: mail.oldhost.com 삭제, mail-1.attacker.com 추가"처럼, 상황을 즉시 파악할 수 있도록 전달됩니다.

예정된 마이그레이션처럼 대량의 변경이 예상될 때, 다른 알림과 별도로 DNS 변경 알림만 비활성화할 수 있습니다. 비활성화 후 마이그레이션을 진행하고, 안정화 후 다시 활성화하세요.

왜 이 도구는 다른 도구들이 놓치는 문제도 잡아내나

대부분의 가동성 도구들은 DNS를 단순 설치 과정처럼 취급하며, URL 해석용으로만 사용하고 신경쓰지 않습니다. 하지만 경쟁사(혹은 공격자, 혹은 금요일 깜짝 배포)의 DNS 변경이 감지되는 순간, 해석 결과는 이미 다른 IP를 가리키고, HTTP만 모니터링하는 도구는 새 IP가 200을 반환하는 한 계속 정상으로 표시합니다. DNS 수준의 모니터링이 없으면, 누군가가 직접 확인하기 전까지 변경은 눈에 띄지 않아 며칠치 메일이 사라지거나 몇 주간 검색 노출이 날아갈 수 있습니다.

DNS 모니터링은 DNS 제공업체와 관련된 문제도 잡아냅니다. 일부 업체는 영역 업데이트 중 레코드를 간헐적으로 누락하거나 섞어버릴 수 있고, 일부는 지역별 장애가 발생해 한 위치에선 다른 결과가 반환되기도 합니다. 스냅샷 비교는 이러한 불안정성까지 드러냅니다.

설정

DNS 모니터링은 모든 HTTP/키워드/API 모니터에 대해 자동으로 적용됩니다. 모니터 추가 후 24시간 이내 첫 심층 점검에서 기본 스냅샷이 저장되고, 첫 점검에 대해서는 알림이 가지 않으며 이후 차이가 감지됐을 때만 알림이 갑니다. DNS 변경 알림을 켜거나 끄려면, 알림 설정의 환경설정 섹션에서 "DNS 변경 알림"을 전환하세요. 모든 모니터의 상세 뷰에서는 DNS의 전체 최신 상태를 항상 볼 수 있으며, 변화 추적은 하지 않지만 SPF, DMARC, CAA 레코드도 정기 검토에 유용하게 표시됩니다.

자주 묻는 질문

• 모니터가 추적하는 DNS 레코드는 무엇인가요?

  기본적으로 A, AAAA, MX, NS, TXT, CNAME을 추적합니다. 각 점검 시점에 해석된 값을 스냅샷으로 저장하며, 어떤 값이든 추가, 삭제, 변경될 경우 알림을 보냅니다.

• 왜 DNS를 모니터링해야 하나요? 내 DNS 제공업체는 신뢰할 수 있지 않나요?

  신뢰도 자체가 문제는 아니고, 변경 그 자체가 문제입니다. DNS 탈취, 마이그레이션 중 실수로 인한 잘못된 갱신, 외부 CDN IP 회전, 등록기관 계정 보안 문제 등 모든 게 레코드 변경으로 나타납니다. DNS 모니터링은 며칠이 아니라 몇 분 내에 이를 포착합니다.

• 모니터는 TTL 캐싱 문제를 어떻게 처리하나요?

  모든 조회는 귀하의 로컬 리졸버가 아니라, 권한 있는 네임서버에 직접 질의합니다. 따라서 TTL 캐시는 변화 감지를 방해하지 않습니다. 각 점검 때마다 권한 있는 서버에 새 요청을 보내며, 원본 레코드가 변경되면 다음 점검 때 바로 감지됩니다.

• DNSSEC 검증 상태도 모니터링할 수 있나요?

  네, 가능합니다. DNSSEC 서명(서명됨/서명 안 됨) 상태도 매 점검마다 저장되며, 변경 시 즉시 알림이 갑니다. 어제까지 DNSSEC-서명 상태였던 도메인이 오늘은 서명 안 된 것으로 표기되면 긴급하게 보안 점검을 해야 할 사건입니다.

• DNS 로드 밸런싱 때문에 오탐이 발생하나요?

  A 레코드가 여러 개의 IP를 교대로 반환한다면, 각 점검마다 "변경"이 감지될 수 있습니다. 이를 억제하려면 expected-values에 모든 가능한 IP를 등록하거나, 해당 도메인의 A 레코드 모니터링을 끄고 HTTP 점검만 활용하세요.