Defaults.Exposed › 보고서
도메인 및 DNS 하이재킹: 도메인이 탈취되는 방식과 도메인을 안전하게 잠그는 방법 (2026)
게시일 2026-07-01
2026-06-29 기준 수치 · 방법론 v7. 등급이 매겨진 261백만 개 도메인에 걸친 종합 센서스 데이터입니다. 하이재킹이란 도메인의 DNS 또는 등록 정보에 대한 제어권을 탈취하여 트래픽과 메일을 다른 곳으로 리다이렉트하는 것을 말합니다. 등급 산정 방식을 참고하세요.
도메인 하이재킹은 웹사이트 자체를 건드리지 않습니다. 대신 웹사이트를 가리키는 DNS 또는 등록기관(레지스트라) 계정을 장악하여, 여러분의 방문자와 이메일이 조용히 공격자에게 재라우팅되도록 만듭니다. 이 위험을 가장 크게 줄여주는 두 가지 DNS 제어 수단은 웹에서 가장 적게 배포된 축에 속합니다. 유효한 DNSSEC를 갖춘 도메인은 **1.99%**에 불과하며, CAA 레코드를 게시한 도메인은 단 **1.56%**뿐입니다. 도메인이 어떻게 탈취되는지, 그리고 어떻게 안전하게 잠글 수 있는지 살펴보겠습니다.
도메인은 실제로 어떻게 하이재킹되는가
- 등록기관 계정 탈취 — 등록기관 로그인에서 피싱당하거나 재사용된 비밀번호를 악용하면 공격자가 네임서버를 변경하거나 도메인을 통째로 이전할 수 있습니다. 영향력이 가장 크면서도 가장 예방하기 쉬운 경로입니다.
- DNS 레코드 변조 / 캐시 포이즈닝 — 위조된 DNS 응답이 사용자와 메일을 다른 곳으로 유도합니다. 이것이 바로 DNSSEC가 막도록 설계된 대상입니다. 그런데 이를 갖춘 도메인은 1.99%에 불과합니다(추가로 3.02%는 서명되었으나 손상된 상태입니다).
- 댕글링 레코드(dangling record) — 더 이상 소유하지 않는 클라우드 리소스를 계속 가리키도록 방치된 DNS 항목은 다른 누군가가 차지할 수 있습니다(서브도메인 탈취).
- 만료된 도메인 재등록 — 도메인을 만료되도록 방치하면 누구나 이를 재등록하여 잔여 트래픽과 신뢰를 물려받을 수 있습니다. 센서스 전체에서 도메인의 **6.2%**는 더 이상 확인되지 않으며, 이는 만료된 이름의 거대한 저장소입니다. 인터넷의 죽은 도메인을 참고하세요.
- 불량 인증서 발급 — 도메인에 대해 어떤 인증기관이 발급할 수 있는지를 제한하는 CAA 레코드가 없으면, 잘못 발급된 인증서를 더 쉽게 획득할 수 있습니다. CAA를 설정한 도메인은 1.56%에 불과합니다.
집중도가 시스템 차원의 위험 요소를 더한다
대부분의 도메인은 소수의 DNS 제공업체에 의존하므로, 단일 제공업체의 사고가 지나치게 넓은 파급력을 갖습니다. 인식 가능한 제공업체를 사용하는 도메인 중에서 가장 큰 네임서버 운영업체 하나가 **15.4%**를 담당하며, 상위 5개 업체를 합치면 **42.1%**에 달합니다. 집중도는 혼자서 고칠 수 있는 결함은 아니지만, 여러분이 직접 통제할 수 있는 제어 수단만큼은 제대로 갖춰야 할 이유가 됩니다. 네임서버 집중도를 참고하세요.
도메인을 안전하게 잠그는 방법
- 등록기관 계정을 보호하세요 — 고유한 비밀번호, 강력한 MFA를 사용하고 등록기관 잠금(registrar lock)(이전 금지)을 활성화하여, 명시적인 잠금 해제 없이는 도메인을 이전할 수 없도록 하세요.
- DNSSEC를 활성화하세요 — 호스트가 자동으로 처리해 주는 경우 활성화하면 리졸버 단계에서 위조된 DNS 응답을 차단합니다.
- CAA 레코드를 게시하세요 — 여러분이 사용하는 인증기관만 명시하여, 불량 인증서가 발급될 수 없도록 하세요.
- 댕글링 레코드가 있는지 DNS를 점검하세요 — 더 이상 통제하지 않는 리소스를 가리키는 항목을 제거하세요.
- 핵심 도메인이 절대 만료되지 않도록 하세요 — 등록을 자동 갱신하고 연락처 정보를 최신 상태로 유지하여, 갱신 안내가 누락되는 일이 없도록 하세요.
자주 묻는 질문
도메인 하이재킹이란 무엇인가요? 실제 서버를 침해하지 않고도 도메인의 등록 정보나 DNS에 대한 제어권을 탈취하여, 웹 및 이메일 트래픽을 다른 곳으로 리다이렉트하는 것입니다.
DNS 하이재킹은 어떻게 다른가요? DNS 하이재킹은 특히 도메인을 확인(resolve)하는 레코드를 (계정 탈취, 캐시 포이즈닝, 또는 손상된 DNS 호스트를 통해) 변조합니다. DNSSEC는 위조된 응답을 방어하지만, 이를 갖춘 도메인은 1.99%에 불과합니다.
단 하나의 최선의 보호책은 무엇인가요? 등록기관 계정을 잠그는 것입니다 — 고유한 비밀번호, MFA, 그리고 등록기관 이전 잠금. 대부분의 하이재킹은 정교한 공격이 아니라 계정 접근에서 시작됩니다.
DNSSEC가 하이재킹을 막아주나요? DNSSEC는 위조되거나 오염된 DNS 응답이라는 중요한 한 부류는 막아주지만, 등록기관 계정 탈취는 막지 못합니다. 계정 보안 및 CAA와 함께 사용하세요.
이 중에 비용이 많이 드는 것이 있나요? 없습니다. 등록기관 잠금, DNSSEC, CAA는 모두 무료 설정이며, 필요한 비용은 이를 적용하는 규율뿐입니다.
도메인의 DNS 방어 상태를 무료로 확인하세요
DNSSEC와 CAA가 갖춰져 있고 올바르게 구성되어 있는지 확인하세요 — 비공개로, 소유자만 확인할 수 있습니다.
도메인 확인하기 → · DNSSEC 수정하기 → · CAA 수정하기 → · 등급 산정 방식 → · 종합 데이터만 사용합니다. 데이터는 EU 내에서 저장 및 처리됩니다.