혁신

DNSSEC (DOMAIN NAME SYSTEM SECURITY EXTENSION)

단대단 인터넷 인증

안전한 인터넷을 위한 프로토콜 제공

IETF (Internet Engineering Task Force)는 DNSSEC (domain name system security extensions)용 실행 가능한 표준을 수립하기 위해 15년 이상 심혈을 기울여 왔습니다. DNSSEC는 공개 키 암호화를 사용해 권한 영역 데이터가 시스템에 들어오면 여기에 디지털 서명을 하고 목적지에 도착하면 이를 확인함으로써 DNS 데이터의 위조로부터 인터넷 커뮤니티를 보호합니다. 공개 키 암호화에 대해 자세히 알아 보세요.

디지털 서명을 통해 사용자들은 알려진 소스에서 데이터가 발생하여 전송 중에 변경되지 않았다는 사실을 확인할 수 있습니다. 또한 DNSSEC는 도메인 네임이 존재하지 않을 경우 이를 확인해 줍니다. 이 같은 기능은 인터넷에 대한 신뢰도를 유지하는 데 필수적입니다.

DNSSEC의 각 영역에는 한 쌍의 공개/개인 키가 있습니다. 영역의 공개 키는 DNS를 사용하여 게시되는 반면, 영역의 개인 키는 안전하게 오프라인으로 보관됩니다(이상적임). 영역의 개인 키는 해당 영역에서 개별 DNS 데이터에 서명하여, DNS와 함께 게시되는 디지털 서명을 만듭니다.

DNSSEC는 엄격한 신뢰 모델을 사용하며 이 신뢰 체인은 상위 영역에서 하위 영역으로 이동합니다. 높은 레벨(상위) 영역은 낮은 레벨(하위) 영역의 공개 키를 서명(또는 보증)합니다. 이처럼 다양한 영역들의 ANS (authoritative name server)는 레지스트라, ISP 웹호스팅업체 또는 웹사이트 운영자(등록자)가 관리할 수 있습니다.

Verisign DNSSEC Analyzer App

이 모바일 앱은 DNSSEC 설정과 관련된 정보 제공 및/혹은 문제 해결을 제공합니다.

일반 사용자가 특정 웹사이트에 액세스하기를 원하는 경우, 해당 사용자 컴퓨터의 스텁 리졸버(stub resolver)는 RNS (recursive name server)에 해당 웹사이트의 IP 주소를 요청합니다. 이 레코드를 요청한 후 서버는 또한 해당 영역에 연결된 DNSSEC 키를 요청합니다. 서버는 이 키를 사용해 받은 정보가 ANS 상에 있는 IP 주소 기록과 일치한다는 사실을 확인할 수 있습니다.

주소 레코드가 ANS (authoritative name server)에서 전송되었는지 그리고 전송 중에 변경되지 않았는지 RNS (recursive name server)가 확인하면 도메인 네임이 결정되고 사용자는 사이트에 액세스할 수 있습니다. 이 프로세스를 유효성 검사(validation)라고 부릅니다. 주소 레코드가 수정되었거나 지정된 소스로부터 온 것이 아닌 경우 RNS (recursive name server)는 사용자가 이 사기성 주소에 액세스하는 것을 허용하지 않습니다. DNSSEC는 도메인 네임이 존재하지 않는 것도 확인할 수 있습니다. 이 같은 절차를 거친 결과, DNS 쿼리와 응답은 MITM (man-in-the-middle) 공격, 또는 인터넷 사용자들을 피싱(phishing) 및 파밍(pharming) 사이트로 리디렉트할 수 있는 위조 등으로부터 보호할 수 있습니다.