ISP를 위한 DNSSEC

DNS 위협에 대한 인식이 확산되었고 SSL 같은 다른 인터넷 보안 이니셔티브의 진행 방향을 감안할 때, 리스크 관리 및 안전한 인터넷 경험에 대한 소비자의 요구 등과 같은 내부적 요건에 힘입어 DNSSEC가 ISP의 비즈니스에서 필수적인 조건이 되었습니다.

지금 바로 행동에 옮김으로써 더욱 효과적으로 고객을 보호하고, 고객 보호 및 인터넷 보안 측면에서 리더라는 평판을 공고히하며 경쟁사와 차별화할 수 있습니다. 또한 얼리어답터로서 자사 비즈니스를 지원하고 수익을 창출하는 제품과 서비스(및 기타 업계 이니셔티브)의 개발에 영향을 미칠 수도 있습니다.

능동적인 ISP가 누릴 수 있는 이점

이처럼 중요한 요소를 능동적으로 추가함으로써 다음과 같은 이점을 누릴 수 있습니다.

• 고객들이 사이버 범죄의 희생자가 될 수 있는 위험을 감소시킬 수 있습니다.
• 회사의 브랜드 및 평판을 보호하고 강화할 수 있습니다.
• 고객의 신뢰도와 충성도를 유지할 수 있습니다.
• 고객에 대한 가치 제안의 일환으로 더욱 안전한 인터넷 경험을 제공할 수 있습니다.
• 보안 중심적 고객들을 유인 및 유지할 수 있습니다.
• 인터넷에 대한 신뢰도를 높여 핵심 비즈니스를 보호할 수 있습니다.
• DNSSEC의 미래를 좌우하는 리더십과 영향력을 발휘할 수 있습니다.

ISP는 인터넷이 제 기능을 발휘하고 DNSSEC가 성공적으로 보급되는 데 필수적인 역할을 합니다. ISP가 관리하는 RNS (recursive name server: 리졸버)는 인터넷 사용자들이 하루에 수백만 차례 도메인 네임을 신속하게 해석할 수 있도록 지원합니다. 또한 RNS는 캐시 중독의 주요 벡터이기도 합니다.

DNSSEC가 적용되는 RNS는 다음과 같은 방법으로 캐시 중독 방지를 도와 줍니다. RNS가 특정 영역의 ANS (authoritative name server)에 DNS 정보를 요청했는데 해당 영역이 서명된 경우, 해당 RNS도 해당 영역의 DNSSEC 키를 요청함으로써 자신이 수신하는 정보가 ANS 상에 있는 정보와 동일한지 여부를 확인할 수 있습니다.

인터넷 생태계 전체에 DNSSEC를 널리 배급하려면, 각 RNS (recursive name server)에 DNSSEC를 적용하고, 네트워크 인프라(예: 방화벽, 라우터, 스위치, 로드 밸런서 등)와 DNSSEC가 생성하는 더 큰 DNS 응답 기능이 호환되도록 해야 합니다. 또한, 점차적으로 DNSSEC를 개발 및 테스트 주기에 반영시키실 수 있습니다. DNS 호스팅 서비스를 제공하는 ISP의 경우, 이 서비스에 대해서도 DNSSEC 기능을 활성해야 합니다.

대부분의 상용 RNS는 이미 DNSSEC를 지원하고 있기 때문에 업데이트를 하거나 매개 변수만 변경하면 됩니다. 하지만 기존 네임 서버와 네트워크 장비들을 업그레이드하거나 교체해야 하는 경우가 있을 수 있습니다.

Verisign은 각각의 상황에 가장 적합한 최상의 DNSSEC 도입 전략을 식별하실 수 있도록 최선을 다해 돕고 있습니다.

아래 표를 보면, DNSSEC 구현과 관련해 몇몇 중요한 이슈에 대한 권장 대처 방법이 나와 있습니다.

문제: 네임 서버 소프트웨어의 이전 버전들이 DNSSEC를 지원하지 않는다.
설명: DNS는 매우 유연성이 뛰어난 플랫폼입니다. 따라서, 관리자들은 네임 서버 소프트웨어를 자주 업데이트할 필요가 없었습니다. BIND의 레거시 버전을 포함해, 일부 네임 서버 소프트웨어의 경우 DNSSEC를 지원하지 않습니다.	권장 방법: 네임 서버를 점검하고 DNSSEC 프로토콜 RSA-SHA256, NSEC 및 NSEC3을 지원하는 버전으로 업그레이드하십시오. 다음 DNSSEC-호환 버전: BIND 9.9.0, 9.81-p1, 9.7.4-p1 및 Unbound 1.4.16 사용을 고려하십시오.
문제: DNSSEC 구현 패킷은 기존 DNS 패킷보다 크기가 더 크다(> 512 바이트).
설명: DNSSEC 패킷은 기존 패킷보다 더 크고 다른 정보를 담고 있습니다. DNSSEC 호환 네임 서버 소프트웨어는 서버의 리소스 사용을 늘릴 수 있습니다. 크기가 더 큰 패킷의 경우 ISP 운영을 위한 CPU, 서버 메모리, 대역폭 등에 필요한 용량 요건을 늘릴 수 있습니다.	권장 방법: 네임 서버가 구동되고 있는 하드웨어를 검토해 보고, 해당 서버가 늘어난 로드를 감당할 수 있도록 조치해 주십시오.
문제: RNS (recursive name server)는 유효성 검사(validation)가 "켜진 상태(turned on)"여야 한다.
설명: 고객들에게 DNSSEC 기능을 제공하려면 반드시 RNS의 DNSSEC 유효성 검사(validation) 기능을 활성화시켜야 합니다.	권장 방법: 유효성 검사(validation) 기능을 "켜진 상태(turn on)"로 바꿀 것인지를 평가해 보고 결정합니다. 그런 다음 DNSSEC를 인식하는 유효한 RNS를 설정하고 유지합니다.
문제: DNSSEC를 도입할 경우 시스템 관리자들이 수행해야 하는 DNS 관리 책임이 늘어난다.
설명: DNS 운영을 책임지고 있는 시스템 관리자들은 정기적으로 유지관리를 실시하고, 루트 영역 운영자들이 디지털 서명용으로 새로운 공개/개인 키를 롤오버하면 (DNSSEC 인증에 사용되는) 공개 키를 업데이트해야 합니다.	권장 방법: DNS 운영을 관리하는 시스템 관리자들이 DNSSEC와 신뢰 앵커(trust anchor) 유지 및 관리 개념에 대해 잘 알고 있도록 해야 합니다. 기술 교육을 실시하고 사용 가능한 각종 도구들에 대해 친숙해질 수 있도록 하십시오.
문제: 일반 사용자들이 DNSSEC 유효성 검사(validation) 장애에 직면한다.
설명: ISP와 인터넷 커뮤니티가 가지고 있는 가장 큰 우려 중 하나는 사기성 DNS 데이터가 감지되거나 DNS 인증에 사용되는 디지털 서명이 만료되었을 때 일반 사용자가 부딪치게 되는 경험입니다.	권장 방법: 고객 지원팀에 대해 교육과 훈련을 실시해 사용자 중에서 그러한 장애가 발생할 경우 이를 진단하고 설명할 수 있도록 하십시오. Verisign, 다른 ISP 및 인터넷 생태계의 다른 참여자들과 협력해 이 문제에 대한 표준화된 해결책을 찾는 것이 좋습니다.

일반 사용자들의 신뢰를 유지하고 경쟁 우위를 제공해 주는 DNSSEC 구현 시스템이라는 목표에 도달할 때까지 꾸준히 노력하는 것이 좋습니다. 레지스트라 및 ISP와의 협력, 그리고 .edu, .net 및 .com과 같은 루트 영역 내에 DNSSEC를 도입하기 위해 노력하는 과정에서 얻은 교훈을 바탕으로, 시작 단계에서는 다음과 같은 사항의 이행을 권고합니다.

연구 및 교육

• 귀하의 사이버 보안 전략에 DNSSEC가 적합한지 파악합니다.
• DNSSEC 구현의 이점과 문제점을 파악합니다.
• 공개 키 암호화, 암호화 표준, 디지털 서명 및 공개/개인 키의 작동 방식을 이해합니다.
• 귀하의 IT 및 고객 지원 인력들이 DNSSEC 관련 문제를 처리할 수 있는 교육을 받습니다.
• Verisign 리소스를 활용하고, DNSSEC에 대해 고객들에게 어떻게 알릴지에 대한 전략을 수립합니다.

계획

• DNSSEC 채택을 위한 타임라인을 수립합니다.
• 기존의 DNS 아키텍처에 DNSSEC를 통합하기 위한 방법을 결정합니다.
• 레지스트라 또는 다른 신뢰 앵커(trust anchor)들로부터 제공되는 공개 키 업데이트의 통합을 체계적으로 진행하기 위한 정책 및 절차를 수립합니다.

평가 및 업데이트

• 회사의 인프라를 확인하고 점검합니다. 예를 들어, 현재 어떤 버전의 BIND나 Unbound DNS 프로그램을 구동하고 있는지 확인하고, 네임 서버들이 NSEC3와 SHA-256을 지원하는지 여부를 판단합니다.
• DNSSEC가 네트워크 대역폭에 영향을 미칠지 여부, 그리고 만약 그렇다면 어떤 영향을 미칠지를 판단합니다(크기가 더 큰 DNSSEC 패킷으로 인해 네트워크 트래픽이 늘어납니다).
• DNSSEC가 RNS의 관리에 어떤 영향을 미칠지 고려해 봅니다.
• DNSSEC가 로드맵에 적합한 하드웨어 공급업체에게 요청하여 귀하의 기존 네트워크 장치에 사용 가능한 업그레이드가 있는지 확인합니다.
• 구현을 지원하는 제품과 서비스를 평가합니다.
• 필요에 따라 DNS 하드웨어 및 네임 서버 소프트웨어를 업데이트해 DNSSEC와 호환되도록 합니다.

참여

• 산업 컨소시엄, 표준 기관, 소프트웨어 및 하드웨어 공급업체와의 협력을 통해 귀하의 필요사항을 충족시키는 솔루션과 접근 방식을 개발합니다.
• 협력과 전략 수립을 통해 DNSSEC 가 "악성(bad)" 데이터를 감지했을 경우 일반 사용자의 경험 문제에 대처합니다.