도메인 이름 보안에 대한 최고의 가이드
게시 됨: 2022-12-14WPMU DEV를 통해 새 도메인을 등록하시겠습니까? 이 도메인 보안 가이드는 도메인을 안전하게 보호하는 방법을 배우는 데 필요한 모든 정보를 제공합니다.
해커, 악성 소프트웨어 및 비즈니스를 손상시킬 수 있는 예기치 않은 이벤트로부터 온라인 상태를 안전하게 유지하고 보호하는 것은 복잡합니다. 웹 보안에는 웹 호스팅 보안, 웹사이트 보안, 암호 보안, WordPress 자체 보안, 도메인 이름 보안 등 많은 영역이 포함됩니다.
이 문서에서는 도메인 이름 보안에 대해 알아야 할 모든 내용을 다룹니다. 귀하는 도메인 이름을 안전하게 유지하는 방법을 배우게 되며 비즈니스의 전반적인 보안에 또 다른 보호 계층을 추가하여 안심할 수 있습니다.
우리는 다음을 다룰 것입니다:
- 도메인 하이재킹이란 무엇입니까?
- 도메인 이름 보안이 중요한 이유는 무엇입니까?
- 도메인 이름 보안: 누가 무엇을 책임지고 있습니까?
- 도메인이 하이재킹되는 방법
- 도메인 하이재킹 – 일반적인 시나리오
- 도메인이 도용된 경우 수행할 작업
- 도메인 이름 보안 개선 및 권장 사항
- 도메인 이름 보안 모범 사례: 도메인 이름을 안전하게 유지하기 위해 할 수 있는 일
- 추가 도메인 보안 팁
- 도메인 이름 보안을 우선 순위로 지정
도메인 하이재킹이란 무엇입니까?
도메인 하이재킹 또는 도메인 절도는 정당한 이름 보유자로부터 도메인 이름을 부당하게 제어하는 것입니다.
도메인 하이재킹은 일반적으로 사이버 범죄와 관련이 있습니다. 도메인 관리 계정에 대한 무단 액세스를 통해 도메인 이름을 훔치거나 DNS 하이재킹이라고도 알려진 도메인 이름 시스템(DNS)에 불법적으로 액세스하여 도메인의 이름 서버를 변경하는 것이 포함됩니다.
도메인 하이재킹도 상상 이상으로 자주 발생합니다.
Verisign은 도메인 이름 등록 서비스 및 인터넷 인프라를 제공하는 글로벌 공급업체입니다. .com, .net, .name, .cc 등과 같은 최상위 도메인(TLD)에 대한 공인 레지스트리일 뿐만 아니라 분기마다 도메인 이름 업계의 상태를 검토하고 간략한 강조 표시를 제공합니다. 도메인 이름 등록의 중요한 경향.
Verisign의 DNIB(Domain Name Industry Brief)에 따르면 현재 전 세계적으로 3억 5천만 개가 넘는 등록 도메인이 있습니다. GoDaddy는 이 수치와 GoDaddy의 DCAST(도메인 규정 준수 및 고급 지원 팀) 팀에서 처리하는 도메인 도용과 관련된 도메인 이전 분쟁 및 기타 청구 건수를 기반으로 악의적인 사이버 범죄자가 매년 약 170,000번의 도메인 도용 시도를 한다는 것을 계산했습니다. 등록명 보유자(RNH).
즉, 매일 매시간 다른 사람의 도메인 이름을 도용하려는 시도가 약 20회 발생합니다.
도메인 이름 보안이 중요한 이유는 무엇입니까?
장치는 고유한 IP 주소를 사용하여 웹에서 서로 연결하고 통신합니다.
IP 주소는 숫자의 문자열(예: 2607:f8b0:4004:815::200e)이므로 인간의 두뇌가 이를 기억하기 어렵기 때문에 사이트를 쉽게 찾을 수 있도록 도메인 이름 을 IP 주소에 매핑합니다.
예를 들어 위에 표시된 숫자 문자열은 Google 웹사이트의 IP 주소입니다. 온라인에서 답을 찾는 사람에게 "그냥 2607:f8b0:4004:815::200e" 라고 말하는 것보다 Google.com 을 기억하는 것이 훨씬 쉽습니다. 동의하지 않으시겠습니까?
이 예는 도메인 이름이 왜 그렇게 중요하고 보호해야 하는지도 보여줍니다. 도메인은 온라인에서 귀하의 브랜드와 아이덴티티를 나타낼 뿐만 아니라 전 세계가 귀하의 비즈니스와 온라인으로 소통하는 주요 방법이기도 합니다.
누군가 귀하의 도메인을 장악하면 귀하의 온라인 브랜드와 신원을 통제할 뿐만 아니라 해당 도메인을 기반으로 하는 모든 이메일 주소도 통제하고 귀하의 웹사이트와 비즈니스에 절대적인 피해를 줄 수 있습니다.
전 세계 도메인 이름 관리를 담당하는 조직인 ICANN은 다음과 같이 말합니다.
“도메인 하이재킹은 등록자에게 지속적이고 중대한 영향을 미칠 수 있습니다. 등록자는 확립된 온라인 신원을 잃을 수 있으며 이름 투기꾼의 갈취에 노출될 수 있습니다.
도메인 하이재킹은 전자 메일 서비스의 거부 및 절도, 피싱 웹사이트 및 트래픽 검사(도청)를 통한 정보의 무단 공개, 등록자의 비즈니스 및 운영에 지장을 주거나 심각한 영향을 미칠 수 있습니다. 웹 사이트 훼손을 통한 평판 및 브랜드.”
출처: ICANN
하이재커가 도메인 계정과 제어판에 대한 액세스 권한을 얻으면 계정 관리자와 암호를 변경하고 도메인을 새 서버로 리디렉션("DNS 하이재킹")하여 효과적으로 도메인을 완전히 제어할 수 있습니다.
도메인 이름이 하이재킹된 경우 처리할 것으로 예상되는 번거로움에 대해 읽으려면 perl.com의 도메인 이름 하이재킹에 대한 이 내부자 계정을 확인하십시오.
그렇다면 도메인이 하이재킹되지 않도록 보호하려면 어떻게 해야 할까요?
이 질문에 제대로 답하기 위해 먼저 도메인 보안의 다양한 측면을 보장하는 책임이 있는 사람을 살펴보겠습니다.
다음으로 업계 전반의 도메인 이름 보안 권장 사항과 도메인 이름을 안전하게 유지하기 위해 수행할 수 있는 작업을 살펴보겠습니다.
도메인 이름 보안: 누가 무엇을 책임지고 있습니까?
도메인 이름 보안에는 많은 플레이어가 관여합니다. 여기에는 다음이 포함됩니다.
- ICANN (Internet Corporation for Assigned Names and Numbers) . 안정적이고 안전하며 통합된 글로벌 인터넷을 보장하는 책임을 지는 글로벌 비영리 공익 기업이며 전 세계 어디에서나 모든 브라우저가 인터넷의 모든 도메인에 연결할 수 있도록 하는 인프라를 감독하는 권한입니다. . ICANN은 또한 DNS(도메인 이름 시스템)라고 하는 전 세계의 모든 IP 주소와 도메인 이름이 포함된 글로벌 데이터베이스를 유지하며 인터넷 전화번호부라고도 하며 웹 브라우저를 모든 웹사이트와 연결합니다.
- 도메인 레지스트리 – 허용된 모든 최상위 도메인(TLD) – 예: .com, .net, .store, .site 등은 ICANN에서 공식적으로 지정한 조직에서 감독합니다. 그러면 도메인 레지스트리는 해당 TLD에 따라 모든 도메인을 관리할 책임이 있는 공식 조직입니다.
- Domain Registrar - 기업과 개인이 사용할 수 있는 도메인 이름을 구입하고 등록하는 ICANN 인가 기관입니다. 기본적으로 이들은 ICANN이 관리하는 데이터베이스에서 도메인 이름 정보를 조정할 수 있는 도메인 이름 공급자입니다. 도메인 등록 기관은 다른 도메인 등록 기관에서 도메인을 소싱하고 판매할 수 있습니다.
- 도메인 리셀러 - 이들은 도메인 이름 공급자이기도 하지만 ICANN 인증을 받지 않았습니다. 도메인 리셀러는 도메인 등록 기관의 배포판입니다. 도메인 등록 기관에 정보를 전달하면 도메인 등록 기관에서 ICANN의 글로벌 데이터베이스를 업데이트합니다.
- 도메인 등록자 – 도메인 이름을 구입하고 등록하는 법인(회사, 기업 또는 개인)입니다. 도메인 이름은 소유 할 수 없으며 임대만 가능하다는 점에 유의해야 합니다.
도메인 이름 세계가 어떻게 구성되어 있는지 이해하는 데 도움이 필요한 경우 아래 차트를 참조하십시오.
ICANN에서 도메인 이름 하이재킹의 사건과 위협을 자세히 설명하는 보고서에 따르면 도메인 이름 하이재킹 사건은 종종 위의 모든 당사자가 관련된 보안 실패의 조합으로 인해 발생합니다.
이러한 실패에는 다음이 포함됩니다.
- 등록 및 관련 프로세스의 결함
- 양도 정책을 준수하지 않음
- 등록기관, 리셀러 및 등록자의 도메인 이름 관리 부실
도메인이 하이재킹되는 방법
위에서 언급한 보고서에서 ICANN은 등록기관과 리셀러가 이전 정책을 준수하지 않고 등록자의 신원 확인 프로세스가 등록자의 사기, 허위 진술 및 사칭을 감지하고 방지하기에 불충분할 때 도메인 이름 하이재킹으로 이어지는 많은 보안 사고가 발생한다는 사실을 발견했습니다. .
그러나 ICANN도 여기에 중요한 역할을 합니다. 레지스트라 간 등록 이전에 대한 정책은 이전 연락처 이메일 주소를 허용 가능한 신원 형식으로 만듭니다.
도메인 하이재커가 도메인을 하이재킹하는 데 필요한 모든 것은 도메인 이름과 관리 연락처의 이메일 주소입니다.
등록자 이메일 주소 및 연락처 정보는 종종 Whois 서비스를 통해 액세스할 수 있습니다. 이렇게 하면 이전 연락처 이메일 주소와 일치하는 이메일 주소를 가진 사람이 등록자를 가장할 수 있습니다.
거기에서 악의적인 사용자와 공격자가 부당하게 얻은 사회 공학 기술을 적용하여 도메인을 표적으로 삼는 것은 어렵지 않습니다. Whois 서비스를 사용하여 연락처 정보를 수집하고 관리 연락처가 사용하는 만료된 도메인을 등록하여 이를 수행할 수 있습니다.
위의 내용을 고려할 때 매년 많은 도메인 하이재킹 시도가 이루어지는 것은 놀라운 일이 아닙니다.
사기꾼이 승인된 계정 관리자를 사칭하는 데 필요한 정보를 얻고 도메인의 제어판에 대한 액세스 권한을 얻고자 하는 도메인 등록 기관에 연락하는 것이 얼마나 간단한지 생각해 보십시오.
- 회사의 누군가가 소유자의 계정 정보에 액세스할 수 있는 경우 "내부 작업"이 될 수 있습니다.
- 소유자의 장치나 이메일 계정을 해킹하거나 계정 정보가 포함된 개인 문서를 훔치는 것과 같은 보안 위반 및 손상으로 인해 발생할 수 있습니다.
- "긴급 상황"의 결과로 계정에 즉시 액세스해야 하는 절실한 필요성을 가장하여 꾸며낸 이야기로 등록 기관에 전화를 거는 사람일 수도 있습니다. 예를 들어, 문을 닫은 사업체의 가족이나 직원인 것처럼 가장하거나 계정 소유자가 사망했고 사업체가 거래를 계속하려면 긴급하게 도메인에 액세스해야 한다고 말합니다.
ICANN 보고서에 언급된 도메인 하이재킹 시도의 높은 발생률에 기여하는 다른 요인은 다음과 같습니다.
등록 기록이 부실해지도록 허용하는 등록자
ICANN의 정책에 따라 등록자는 등록자에게 매년 기록을 업데이트하도록 요청해야 하지만 등록자는 등록자에게 통지하는 것 외에 다른 조치를 취할 의무가 없습니다.
이전 프로세스에서 정확한 등록 기록 및 Whois 정보가 부족하면 도메인 이름이 공격에 취약합니다.
도메인 리셀러는 ICANN에 "보이지 않게" 될 수 있습니다.
ICANN 및 레지스트리는 도메인 등록 기관을 다루지만 도메인 리셀러와는 관계가 없습니다.
재판매인은 도메인 이름을 등록할 때 등록기관의 권한으로 운영할 수 있지만 재판매인이 정책을 시행하고 도메인 이름 거래 기록을 정확하게 유지하는 것은 등록기관의 책임입니다.
등록자에서 ICANN으로 이어지는 비즈니스 관계 체인의 이러한 "격차"는 공격자가 악용할 수 있는 잠재적 기회가 있는 영역으로 식별되었습니다.
분쟁 메커니즘은 긴급한 문제를 해결하도록 설계되지 않았습니다.
ICANN의 등록기관 간 이전 정책은 등록기관 간에 즉각적이고 조정된 기술 지원이 필요한 사건을 방지하도록 설계되지 않았으며 도메인 이름 등록 정보 및 DNS 구성의 긴급 복원을 해결하기 위한 조항이 없습니다.
등록자에게도 역할이 있습니다.
ICANN, 등록 기관, 등록 기관 및 리셀러는 도메인을 안전하게 보호하기 위해 가능한 모든 조치를 취해야 합니다.
그러나 이 가이드의 뒷부분에서 살펴보겠지만 등록자는 도메인을 안전하게 유지하는 데 중요한 역할을 합니다.
결국 속담처럼 체인은 가장 약한 링크만큼만 강력하며 도메인 이름 등록자는 필요한 모든 예방 조치를 취하지 않고 사회 공학 전술(예: 피싱 이메일, 도메인 스푸핑 등) 신원 도용 또는 명의 도용으로 이어집니다. 이런 일이 발생하면 해커는 쉽게 도메인 이름을 하이재킹하고 제어할 수 있습니다.
도메인 하이재킹 – 일반적인 시나리오
도메인 보안을 개선하기 위해 수행할 수 있는 작업으로 이동하기 전에 가장 일반적인 유형의 도메인 하이재킹 시나리오를 살펴본 다음 아래에 설명된 사건이 발생할 경우 수행할 작업에 대해 간략하게 논의해 보겠습니다.
도메인 이름 이전
일반적으로 누군가 도메인을 공격할 때 일반적으로 다음 두 가지 결과 중 하나(또는 둘 다)를 목표로 합니다.
- 도메인 등록 연락처 정보를 변경하여 계정에 등록된 모든 도메인을 제어하거나
- 도메인 이름의 확인이 다른 서버에서 처리되도록 DNS 설정을 수정합니다(이를 DNS 하이재킹이라고 하며 아래에서 자세히 다룹니다).
도메인 도둑의 목적이 이름을 유지하는 것이라면 도메인 이름에 연결된 등록 데이터(WHOIS)를 업데이트하고 결제 세부 정보를 변경한 다음 기록을 지우기 위해 도메인 이름을 새로운 등록 기관으로 이전하려고 시도할 수 있습니다. 그들의 등록 활동.
앞서 언급했듯이 하이재커가 도메인 계정과 제어판에 대한 액세스 권한을 얻으면 계정 관리자와 암호를 변경하여 도메인을 완전히 제어하고 도메인을 새 서버로 리디렉션하고 비즈니스를 혼란에 빠뜨릴 수 있습니다.
최악의 시나리오에서는 계정 도용자가 상당한 수익 손실과 브랜드 손상을 초래할 수 있습니다.
이것이 바로 2015년 ShadesDaddy.com에서 발생한 일입니다. 해커가 등록 기관 계정을 장악하고 도메인을 위조 상품을 판매한 중국의 계정으로 이전하여 회사가 트래픽, 수익 및 브랜드 손상에 막대한 손실을 입게 된 것입니다.
도메인 탈취
하이재커가 귀중한 도메인 이름을 탈취하면 이를 팔거나 몸값을 위해 소유주를 강탈할 수 있습니다.
비즈니스 중단
앞서 설명한 Perl.com 하이재킹 기사에서 분명히 밝혔듯이 도메인 계정 이메일 연락처 세부 정보가 도메인에 연결되어 있고 도메인이 하이재킹되면 이메일을 통한 모든 비즈니스 커뮤니케이션도 효과적으로 하이재킹됩니다.
도메인 하이재커는 웹사이트 및 이메일과 같은 커뮤니케이션 채널을 비활성화하고 방해하는 것부터 가짜 이메일을 보내는 것, 온라인에서 모든 비즈니스 커뮤니케이션을 완전히 차단하는 것까지 무엇이든 할 수 있습니다.
DNS 하이재킹
이 문서에서 설명했듯이 해커가 DNS 서버의 정보를 수정할 수 있는 경우 잠재적으로 누군가를 자신이 생각한 위치가 아닌 IP 주소로 보낼 수 있습니다.
이를 수행하는 방법에는 여러 가지가 있으며 대부분은 DNS 서버를 제어하는 것과 관련됩니다. 이를 DNS 하이재킹 또는 DNS 포이즈닝이라고 합니다.
도메인 하이재킹을 사용하면 해커가 기존 DNS 서버에서 아무것도 변경할 필요가 없습니다. 그들은 단순히 도메인 등록 계정(모든 기본 DNS 정보가 입력되는 곳)에서 도메인 정보를 변경하고 그들이 제어하는 도메인 서버를 가리킬 수 있습니다.
파밍
파밍은 하이재커가 귀하의 웹사이트를 장악하고 악성 사이트를 가리키거나 귀하의 사이트에 공격적인 콘텐츠를 게시하는 것입니다. 모든 트래픽이 귀하가 통제할 수 없는 콘텐츠로 향하기 때문에 이는 평판에 심각한 손상을 줄 수 있습니다.
피싱
도메인 하이재커는 웹사이트를 사용하여 사용자로부터 신용 카드, 주민등록번호, 로그인 등과 같은 귀중한 정보를 수집하고 많은 사람들의 삶에 영향을 미칠 수 있는 심각한 범죄 활동에 참여하여 도메인을 탈취할 때 더 큰 피해를 입힐 수 있습니다.
도메인이 도용된 경우 수행할 작업
하이재킹된 도메인을 복구하는 데는 시간이 걸리고 많은 번거로움과 비용이 들 수 있지만 가능하므로 이러한 일이 발생하더라도 절망하지 말고 조치를 취하십시오!
이전 섹션에서는 ShadesDaddy.com의 하이재킹에 대해 언급했습니다. 다음은 도메인을 복구하는 데 소요된 작업을 설명하는 도메인 소유자의 직접 계정입니다.
ShadesDaddy.com의 소유주인 Pablo Palatnik이 기사에서 언급했듯이 ICANN 및 Verisign과 같은 회사가 도메인 이름에서 수행하는 역할을 이해하는 것이 중요합니다.
이 안내서에서 ICANN에 대해 꽤 많이 다루었습니다. 도메인 하이재킹의 피해자인 경우 ICANN은 보안 팀에 문의하여 안내를 받을 것을 권장합니다. 그런 다음 공격과 관련된 상황에 대해 질문합니다.
또한 위 기사에서 언급한 바와 같이 Verisign은 도용(법원 명령 또는 ICANN 준수 통지 포함)의 경우 도메인 이름을 이전할 수 있는 권한을 가진 유일한 조직이라는 점에 유의해야 합니다.
이 문서에서도 지적한 바와 같이 도메인 이름이 공격을 받았음을 알게 되는 즉시 첫 번째 단계는 도메인 등록 기관에 즉시 경고 및 알리고 즉각적인 조치를 취하고 등록 기관 이전과 같은 ICANN 절차를 시작하도록 촉구하는 것입니다. 현재 귀하의 도메인 이름을 가지고 있는 등록기관과 통신하기 위한 분쟁 해결 정책이 마련되어 있습니다.
즉시 양도 취소를 요청하십시오. 등록기관은 일반적으로 이전 절차에 60일 이전 잠금을 적용하므로 도메인이 동일한 등록기관의 내부 계정으로 이전된 경우 도메인을 복구할 가능성이 더 높습니다.
너무 오래 기다리지 마십시오. 도메인 도둑이 자신의 흔적을 감추기 위해 도메인 이름을 여러 번 이동하려고 시도할 수 있으며 이로 인해 상황이 복잡해지고 도메인 복구가 더 어려워질 뿐입니다.
다음으로 해커가 다른 계정에 접근하지 못하도록 모든 암호를 변경해야 합니다.
등록 상표가 있는 경우 UDRP(Uniform Domain-Name Dispute-Resolution Policy)는 모든 ICANN 공인 등록기관이 도메인 이름 소유권에 대한 분쟁을 처리하기 위해 따라야 하는 계약입니다. 도메인의 빠른 금지를 허용하여 데이터가 수정되거나 다른 등록 대행자로 이동되는 것을 방지하고 등록 대행자 계정 간의 내부 이전도 방지합니다.
그러나 UDRP는 주로 사이버 투기 또는 상표 위반에 대응하기 위한 방법으로 개발되었으므로 도메인 이름이 상표와 연결되지 않은 경우 그다지 도움이 되지 않을 수 있습니다.
ICANN에 따르면 도용된 도메인 이름을 복구하려면 문서화가 핵심입니다.
도메인 등록 또는 사용이 귀하의 정당한 소유임을 후원 등록기관에 입증할 수 있는 것이 매우 중요하므로 ICANN은 도메인 소유권에 대한 분쟁이 발생할 경우 "종이 추적"을 생성하기 위해 유지해야 하는 문서 목록을 제공합니다. 하이재킹된 도메인 이름에 등록자로 등록된 사람과 함께.
제공할 수 있어야 하는 기본 문서 중 일부는 다음과 같습니다.
- 도메인 기록(귀하 또는 귀하의 조직을 등록자로 표시하는 등록 기록 사본, 청구 기록, 이메일 영수증, 웹 로그, 아카이브, 세금 신고 등).
- 하이재킹된 도메인 이름에 연결되는 금융 거래(예: 구매 세부 정보를 보여주는 신용 카드 또는 은행 명세서)
- 도용된 도메인 이름과 관련된 등록기관의 서신(예: 도메인 갱신 통지, DNS 변경 통지, 전화 통화 기록 등)
- 도메인 이름을 언급하는 법적 문서(예: 도메인 이름이 포함된 것으로 나열된 비즈니스 판매 계약서).
Pablo Palatnik(결국 자신의 도메인 이름을 되찾을 수 있었던)에 따르면 귀하가 할 수 있는 몇 가지 추가 작업은 경험이 풍부한 변호사를 구하고, 법원 명령으로 일을 신속하게 처리하고, 귀하에게 일어난 일에 대해 소란을 피우는 것입니다. 예: 소셜 미디어에 게시).
리버스 도메인 하이재킹
명심해야 할 또 다른 사항은 귀중한 도메인 이름을 소유하고 있는 경우 "역도메인 하이재킹"(RDNH)의 피해자가 될 수도 있다는 것입니다.
이것은 상표 소유자가 도메인 이름 분쟁을 시작하고 귀하가 사이버 스쿼팅(예: 상표, 서비스 마크, 회사 이름 또는 개인 이름과 동일하거나 유사한 도메인 이름을 희망하는 도메인 이름 등록)을 사기로 주장 하여 도메인 이름을 얻으려고 시도하는 곳입니다 재판매하여 이익을 얻습니다.)
도메인 이름 하이재킹(리버스 사이버스쿼팅이라고도 함)이 일반적으로 사이버 범죄와 관련되어 있는 경우 리버스 도메인 하이재킹 은 기본적으로 등록된 도메인 이름 소유자의 도메인 이름을 박탈하기 위해 "악의"로 행동하는 것입니다.
이제 도메인 하이재킹이 얼마나 피해를 주고 심각한지 살펴보았으므로 사고의 위협을 최소화하고 방지하기 위해 수행할 수 있는 작업을 살펴보겠습니다.
도메인 이름 보안 개선 및 권장 사항
ICANN의 보고서는 도메인 하이재킹 사고로 이어질 수 있는 요인을 지적할 뿐만 아니라 도메인 보안을 개선하고 도메인 하이재킹으로부터 등록자를 보호하고 보호하는 데 도움이 되는 다양한 권장 사항을 레지스트리 및 등록 기관에 제공합니다.
이러한 권장 사항은 다음과 같은 영역을 다룹니다.
전자서신에서 신원 확인 요건 강화
ICANN은 모든 신원 확인 요구 사항을 우편이나 직접 확인할 때와 동일한 수준으로 높일 것을 권장합니다.
기록 개선
ICANN은 등록자 기록의 정확성과 무결성을 개선하기 위한 추가 방법을 조사할 것을 권장합니다.
Registrar-Lock 및 EPP authInfo 구현 및 모범 사례
등록 기관 잠금 은 도메인 이름에 대한 무단, 원치 않는 또는 우발적인 변경을 방지하기 위해 등록 기관이 도메인 이름에 설정한 상태 코드입니다.
설정되면 도메인 레지스트리는 도메인 이름 수정, 이전 또는 삭제, 도메인 이름 연락처 세부 정보 변경 등과 같은 특정 작업이 수행되는 것을 금지합니다.
EPP authInfo 코드 (Auth-Code, EPP 코드, 인증 코드, 이전 코드 또는 Auth-Info 코드라고도 함)는 도메인 등록 기관 간에 도메인 이름을 이전하는 데 필요한 생성된 패스코드이며 도메인 이름 소유자가 이전을 승인했습니다.
ICANN은 레지스트라가 모든 도메인에 대해 동일한 EPP authInfo 코드를 사용하지 않을 것을 권장하며, 레지스트리 및 레지스트라는 고유한 EPP 코드가 사용되지 않을 때 EPP authInfo 코드의 적절한 사용 및 할당과 오용 위험을 설명하는 모범 사례를 리셀러 및 등록자에게 제공할 것을 권장합니다. .
향상된 커뮤니케이션
ICANN은 등록 기관과 등록 기관 간의 보류 중인 이전 통지를 등록자에게 선택 사항이 아닌 필수 사항으로 지정하면 도메인 이름 하이재킹 발생률을 줄일 수 있는지 여부를 조사할 것을 권장합니다.
비상 채널 및 절차 제공
ICANN은 레지스트라가 등록자로부터 비상 연락처 정보를 얻고 비상 지원 직원 연락처 정보를 다른 레지스트라, 리셀러 및 레지스트리와 공유하여 비상 상황에서 레지스트라 기술 지원 직원에게 연중무휴 24시간 액세스할 수 있도록 할 것을 권장합니다.
또한 ICANN은 등록자가 도메인 이름 등록 정보 및 DNS 구성의 즉각적인 개입 및 복원을 얻을 수 있도록 등록자가 정의할 긴급 절차 및 정책을 권장합니다.
대중 인식 개선
ICANN은 다음과 같은 영역에서 등록자에게 더 나은 교육을 제공할 것을 권장합니다.
- 도메인 이름 하이재킹, 등록자 사칭 및 사기 위협.
- 개입을 요청하고 도메인 이름 및 DNS 구성의 즉각적인 복원을 얻기 위한 절차.
- 등록 정보를 정확하게 유지합니다.
- Registrar-Lock, EPP authInfo 등과 같은 보호 메커니즘
책임 개선
ICANN은 이전 정책을 준수하지 않는 레지스트라를 처리하고 리셀러와 협력할 때 레지스트라가 더 많은 책임을 지도록 하기 위해 더 강력한 집행 메커니즘을 투자할 것을 권장합니다.
도메인 이름 보안 모범 사례: 도메인 이름을 안전하게 유지하기 위해 할 수 있는 일
등록 기관, 등록 기관 및 리셀러를 위한 도메인 보안을 개선하기 위해 ICANN이 수행하고 제안하는 모든 작업을 다루었으므로 이제 도메인 이름 등록자가 도메인 이름을 안전하게 유지하기 위해 무엇을 할 수 있는지 살펴보겠습니다.
신뢰할 수 있는 도메인 공급자 선택
이상적으로는 안전한 DNS 관리 패널과 연중무휴 기술 지원을 제공하는 공인 등록기관 또는 평판이 좋은 도메인 이름 리셀러로부터 도메인을 구입하는 것이 좋습니다.
보호 및 보안에 중점을 둔 온라인 지원 팀에 액세스하는 것이 중요합니다. 도메인에 문제가 발생하고 즉각적인 도움이 필요한 경우 첫 번째 연락 지점이 될 것이기 때문입니다.
사업체에 도메인 소유권 할당
항상 비즈니스 또는 법인에 도메인을 등록하십시오. 개인 이름으로 도메인 이름을 등록하지 마십시오. 이를 통해 비즈니스를 오가는 개인에 관계없이 비즈니스 연속성을 보장할 수 있습니다.
예를 들어 비즈니스 관리자가 자신의 이름으로 도메인 이름을 등록한 다음 퇴사한다고 가정합니다. 귀하의 비즈니스는 도메인을 잃거나 중단되거나 관련된 문제가 있는 경우 도메인 이름 소유권을 되찾기 위해 많은 번거로움을 겪을 위험이 있습니다.
도메인 이름 잠그기
도메인 잠금(등록자 잠금)은 승인되지 않은 제3자가 도메인을 다른 등록자에게 이전하는 것을 방지하여 도메인 이름을 추가로 보호합니다.
도메인을 "잠금 해제" 상태로 두면 도메인 하이재커가 귀하의 허가 없이 도메인 이름을 이전하거나 도메인의 이름 서버를 리디렉션할 수 있으므로 도메인 등록을 확보한 직후 도메인 이름 관리 시스템을 통해 도메인 이름을 잠급니다.
도메인 프라이버시 활성화
앞서 언급했듯이 도메인 하이재커가 도메인을 하이재킹하는 데 필요한 모든 것은 도메인 이름과 관리 연락처의 이메일 주소입니다.
따라서 등록된 도메인과 연결된 이메일 계정을 보호하는 것이 매우 중요합니다. 이를 수행하는 가장 좋은 방법은 도메인을 등록할 때 개인 도메인 등록 사용을 고려하는 것입니다.
비공개 도메인 등록(도메인 프라이버시, 도메인 프라이버시 및 보호, WHOIS 프라이버시 또는 WHOIS 프라이버시 보호라고도 함)은 WHOIS 데이터베이스 내에서 이름, 전화번호 및 이메일 주소를 공개적으로 볼 수 없도록 숨기는 간단하고 저렴한 방법을 제공합니다. 온라인 익명성.
참고: 일부 도메인 레지스트리는 도메인 프라이버시 서비스를 허용하지 않습니다.
예를 들어, .com.au 도메인 또는 기타 .au 확장자를 등록할 때 auDA(공인된 .au 이름 공간 감독자)는 등록자 연락처 정보 정책의 섹션 2.4, b)에서 다음과 같이 언급합니다.
"등록자는 등록자 또는 등록자 연락처의 실제 신원을 숨기는 효과가 있을 수 있는 행위를 해서는 안 됩니다(예: 비공개 또는 대리 등록 서비스 사용)..."
강력한 암호 선택
사이버 범죄 활동이 만연한 오늘날의 세계에서 더 이상 암호 보안에 대해 논의해서는 안 됩니다. 그러나 약한 암호는 데이터 보안에 대한 가장 큰 위협 중 하나이므로 등록 기관 계정에 약한 암호를 선택하지 마십시오. 당신은 단지 문제를 일으킬 것입니다.
대신 강력한 암호를 선택하여 추측하는 것이 거의 불가능해집니다. 기본 암호 보안 권장 사항을 따르십시오. 최소 하나의 숫자 값, 하나의 기호 및 무작위로 선택된 문자를 사용하여 최소 8자(길수록 좋음)의 암호를 생성하십시오.
비밀번호를 정기적으로 업데이트하세요
이것은 암호 보안의 또 다른 기본적이지만 중요한 영역입니다. 모든 보안 조언에도 불구하고 많은 기업이 팀 구성원과 내부적으로 암호를 공유하고 다른 팀 구성원과 암호를 공유할 수 있습니다. 일정 기간 동안 정보가 여러 번 공유되면 특히 더 이상 회사에 있지 않은 사람들이 정보에 액세스할 수 있는 경우 실질적인 보안 위협이 될 수 있습니다.
따라서 도메인 등록 계정 비밀번호를 정기적으로 변경해야 합니다. 이를 수행하기에 좋은 시기는 레지스트라가 ICANN의 정책에 따라 수행해야 하는 연락처 세부 정보를 확인하고 업데이트하라는 요청을 보낼 때입니다.
여전히 암호 보안의 주제에 있는 동안…
도메인 등록 기관 로그인 정보를 절대 공유하지 마십시오
도메인 등록 계정에 액세스할 수 있는 사람이 적을수록 조직 내부에서 보안 침해가 발생할 가능성이 줄어듭니다.
가능하면 도메인 등록 기관 로그인 세부 정보에 대한 액세스를 반드시 알아야 하는 사람으로만 제한하십시오. 그리고 그들이 더 이상 조직의 일부가 아닌 경우 로그인 세부 정보를 즉시 변경하십시오.
10년 동안 도메인 이름을 등록하세요
사용 가능한 최대 등록 기간을 선택합니다. 많은 등록 기관에서 최대 10년 동안 등록을 보호할 수 있습니다.
한동안 사업을 할 계획이라면 향후 10년 동안 도메인 등록을 고려하십시오.
자동 갱신 켜기
도메인 이름 갱신 알림을 놓치고 도메인 이름 갱신을 잊은 경우 도메인 이름이 만료되어 다른 사람이 등록하게 될 위험이 있습니다.
최대 등록 기간을 선택하고 자동 갱신을 켜면 도메인 이름을 잃지 않을 수 있습니다.
백업 결제 정보 제공
도메인 이름 계정에서 둘 이상의 지불 방법 입력을 허용하는 경우 두 번째 지불 방법에 대한 세부 정보를 제공하십시오.
이렇게 하면 도메인 갱신 청구 실패(예: 만료된 신용 카드)로 인해 도메인 이름을 잃을 위험이 최소화됩니다.
백업 연락처 정보 제공
도메인 이름 계정에서 백업 연락처 정보(백업 연락처 이메일 주소 포함)를 제공할 수 있는 경우 기본 연락처 이메일에 문제가 발생하는 경우 인증된 사용자가 도메인 이름 계정에 대한 액세스를 쉽게 검색할 수 있습니다.
또 다른 중요한 점을 제시합니다…
등록된 도메인의 이메일과 다른 연락처 이메일 주소 사용
Perl.com의 도메인 하이재킹 사례에서 볼 수 있듯이 등록 계정의 연락처 이메일 주소가 동일한 등록된 도메인 이름에 연결된 경우 도메인이 하이재킹되면 전체 조직이 "커뮤니케이션"될 수 있습니다(즉, 하이재커가 귀하의 도메인 및 귀하의 이메일).
따라서 등록된 도메인과 연결된 이메일 주소가 아닌 다른 이메일 주소를 사용하는 것이 가장 좋습니다. 또한 계정에 백업 연락처 이메일 주소가 있으면 도움이 됩니다.
도메인 이름 상태를 정기적으로 모니터링
등록자가 자신의 도메인을 보호하기 위해 ICANN에서 권장하는 방법 중 하나에는 도메인 이름 상태를 정기적으로 모니터링하고 도메인의 연락처 및 인증 정보를 적시에 정확하게 유지 관리하는 것이 포함됩니다.
정기적인 비즈니스 검토의 일부로 도메인 이름 등록 상태를 사전에 모니터링하면 문제를 더 빨리 감지하는 데 도움이 됩니다.
추가 도메인 보안 팁
도메인과 온라인 상태를 안전하게 유지하기 위해 탐색할 수 있는 몇 가지 다른 옵션은 다음과 같습니다.
도메인 이름 변형 등록
사기꾼과 해커는 종종 다른 알려진 도메인과 유사한 도메인 이름을 등록하여 브랜드를 사칭하거나 순진한 사용자가 로그인 세부 정보, 은행 정보 등과 같은 기밀 세부 정보를 제공하도록 속일 수 있습니다.
널리 사용되는 도메인 이름의 변형을 등록하면 브랜드를 보호할 뿐만 아니라 피싱이나 도메인 이름 타이포스쿼팅(웹에 URL을 잘못 입력하는 인터넷 사용자를 대상으로 하는 일종의 사회 공학 공격)과 같은 일반적인 해킹 기술에 대한 추가 보호 계층이 생성됩니다. 오타, 철자가 틀린 변형, 대체 철자, 단수/복수 변형 또는 다른 도메인 확장자가 포함된 다른 등록된 도메인 이름에 브라우저 및 착륙 타이포스쿼팅은 도메인 모방, URL 하이재킹, 스팅 사이트 또는 가짜 URL이라고도 합니다.
도메인 SSL 인증서 사용
도메인에 SSL 인증서를 추가하면 해커가 사용자 장치와 웹사이트 간의 암호화된 연결을 "수신"하여 신용 카드 번호, 은행 로그인 세부 정보, 연락처 세부 정보, 이메일 주소 등과 같은 중요한 데이터를 훔치는 것을 방지할 수 있습니다.
다단계 인증 사용
Multi-factor authentication (MFA) is a security measure that requires at least two or more proofs of identification in order to grant users access.
A 2-step verification method like two-factor authentication (2FA) adds an extra layer of protection by making sure that only you can sign in to your account.
Use DNSSEC
Domain Name System Security Extensions (DNSSEC) is an advanced DNS feature that strengthens DNS authentication using cryptographic digital signatures and adds an extra layer of security to domains by attaching digital signature (DS) records to their DNS information to determine the authenticity of the source domain name.
When DNSSEC is enabled, DNS lookups use a digital signature to verify that the source of your site's DNS is valid. If the digital signature doesn't match, web browsers won't display the site.
Although DNSSEC can improve domain security, protect your domains from potential cache poison attacks and DNS spoofing, and is useful if you have valuable data to protect, it is not automatically enabled as implementation often requires significant effort and expense and needs to be specifically enabled by network operators and domain name owners.
DNSSEC can also reduce site performance, make DNS more prone to failure, and some domain extensions (eg country code domains) don't support it. Hence support and adoption of DNSSEC worldwide is currently slow.
Use A VPN
If you have the need to be extremely security-conscious about your site, you can use a Virtual Private Network (VPN) to access your domain name account and stave off hackers on the lookout for unsecure connections where they can siphon valuable data.
A VPN hides your public IP address and adds security and anonymity when connecting to web-based services and sites.
Don't Let Your Security Guard Down
In addition to all of the above recommendations, it's important to also use common sense and remain vigilant to scams, malware, and other attempts to trick you into giving up valuable details that could see your domain name account being hacked and hijacked.
Some basic precautions you can take include:
- Don't share logins, passwords, and email addresses. Especially not for administrative accounts.
- Use SPAM filters. Yes, spammers have ways of getting around filters, but any suspected spam you can automatically send into a junk mail folder will provide at least a modicum more protection than not using any spam filters at all.
- Never open attachments sent from unknown sources . Unfortunately, even family and friends can forward you emails with attachments containing viruses, so it's important to be extra vigilant. If you are unsure about an attachment, check with the sender to make sure it's legit.
- Don't click any links inside spam messages . Not even the “Unsubscribe” link. It not only makes you vulnerable to viruses and malware, it also confirms to spammers that your email address is active.
Make Your Domain Name Security A Priority
Hopefully, this guide has helped to increase your awareness of how important it is to keep your domain name safe, secure, and protected. The security of your entire digital presence depends on it.
As mentioned at the beginning of this article, keeping your business secure is a complex undertaking. It requires hardening on many levels, and working with trusted partners and solutions.
At WPMU DEV, our aim is to become more than your all-in-one WordPress platform provider. We want to be the business partner you can trust and rely on to grow your business profitably and securely.
If you sell WordPress web development services or plan to start a web development business, consider becoming a WPMU DEV member and buying your domains through our white label integrated domain and hosting reselling platform (soon to be fully automated).
When you register a domain with WPMU DEV either for your own business or on behalf of your clients as a reseller, you get the following security features to help keep your domain safe and protected included at no additional cost:
- Registrar Lock
- Privacy Protection
- HTTPS (if your site is hosted with us, we provide free SSL and force HTTPS).
- Longer Registration Periods (up to 10 years)
- Contact Info Update Verification (whenever you update your contact information, we check our database and if we don't have that data, you will receive a verification email before updating the information.)
- 2FA Options For Members (should your WPMU DEV account password ever become compromised, unauthorized users will still require a 2FA code to be able to login).
- 24/7 Technical Support . Receive expert support on all things WordPress, hosting, and domains any time, any day.
Learn more about the benefits of registering your domains with WPMU DEV or visit our documentation section.