DNSSEC OVERVIEW

인터넷 주소 체계인 DNS(도메인 네임 시스템)는 인터넷 인프라에서 가장 핵심적인 구성 요소입니다. DNS 없이 인터넷은 제 기능을 수행할 수 없습니다. 하지만 DNS는 보안을 염두에 두고 설계된 체계가 아닙니다. 그 결과, MITM (man-in-the-middle) 공격 및 캐시 중독에 취약합니다. 이러한 위협은 위조된 데이터를 사용해 인터넷 트래픽을 사기성 사이트와 의도치 않은 주소로 리디렉트합니다.. DNS에 대해 자세히 알아 보세요

일단 사용자나 장치가 의심 없이 사기성 사이트에 도달하면, 사이버 범죄자들은 신용 카드 데이터를 추출하거나, 사용자 암호를 훔치거나, VoIP 통신 내용을 엿듣거나, 악성 소프트웨어를 심어 놓거나, 합법적 브랜드를 비방하는 이미지나 텍스트를 게시하거나 오해의 소지가 있는 정보를 제공하는 등의 행위를 할 수 있습니다. 단 1대의 DNS 서버가 수천 명의 사용자들에 대해 네임과 주소 해석 지점 역할을 할 수 있다는 점을 감안할 때, MITM 공격이나 캐시 중독이 미칠 수 있는 영향은 실로 막대할 수 있습니다.

일반 사용자가 누리게 되는 DNSSEC의 이점

DNSSEC는 인터넷 환경의 모든 구성원에게 기회를 제공합니다. DNSSEC가 가장 직접적이고 광범위하게 영향을 미치는 것이 바로 일반 사용자입니다.

• 신뢰할 수 있는 활동 - DNS 보안 강화, DNSSEC는 전자상거래, 온라인 뱅킹, 이메일 VoIP, 온라인 소프트웨어 배포 등, 다양한 인터넷 활동에 대한 신뢰도를 높여 줍니다.
• 고객 및 브랜드 보호 - DNSSEC는 고객들이 특정 리소스에 액세스를 시도했다가 의도치 않게 사이버 범죄의 희생자가 되는 위험을 줄여 줍니다.
• 새로운 유형의 안전한 거래 - DNSSEC는 새로운 유형의 안전한 데이터 거래를 가능케 하는 DNS 시스템의 새로운 장을 열고 있습니다.

IETF(Internet Engineering Task Force)는 DNSSEC(domain name system security extensions)를 위한 실행 가능한 표준을 수립하기 위해 15년 이상 심혈을 기울여 왔습니다. DNSSEC는 공개 키 암호화를 사용해 권한 영역 데이터가 시스템에 들어오면 여기에 디지털 서명을 하고 목적지에 도착하면 이를 확인함으로써 DNS 데이터의 위조로부터 인터넷 커뮤니티를 보호합니다. 공개 키 암호화에 대해 자세히 알아 보세요

디지털 서명을 통해 사용자들은 알려진 소스에서 데이터가 발생하여 전송 중에 변경되지 않았다는 사실을 확인할 수 있습니다. 또한 DNSSEC는 도메인 네임이 존재하지 않을 경우 이를 확인해 줍니다. 이 같은 기능은 인터넷에 대한 신뢰도를 유지하는 데 필수적입니다.

DNSSEC의 각 영역에는 한 쌍의 공개/개인 키가 있습니다. 영역의 공개 키는 DNS를 사용하여 게시되는 반면, 영역의 개인 키는 안전하게 오프라인으로 보관됩니다(이상적임). 영역의 개인 키는 해당 영역에서 개별 DNS 데이터에 서명하여, DNS와 함께 게시되는 디지털 서명을 만듭니다.

DNSSEC는 엄격한 신뢰 모델을 사용하며 이 신뢰 체인은 상위 영역에서 하위 영역으로 이동합니다. 높은 레벨(상위) 영역은 낮은 레벨(하위) 영역의 공개 키를 서명(또는 보증)합니다. 이처럼 다양한 영역들의 ANS(authoritative name server)는 레지스트라, ISP 웹호스팅업체 또는 웹사이트 운영자(등록자)가 관리할 수 있습니다.

일반 사용자가 특정 웹사이트에 액세스를 원하는 경우, 해당 사용자 컴퓨터의 스텁 리졸버(stub resolver)는 RNS(recursive name server)에 해당 웹사이트의 IP 주소를 요청합니다. 이 레코드를 요청한 후 서버는 또한 해당 영역에 연결된 DNSSEC 키를 요청합니다. 서버는 이 키를 사용해 받은 정보가 ANS 상에 있는 IP 주소 기록과 일치한다는 사실을 확인할 수 있습니다.

주소 레코드가 ANS(authoritative name server)에서 전송되었는지 그리고 전송 중에 변경되지 않았는지 RNS(recursive name server)가 확인하면 도메인 네임이 결정되고 사용자는 사이트에 액세스할 수 있습니다. 이 프로세스를 유효성 검사(validation)라고 부릅니다. 주소 레코드가 수정되었거나 지정된 소스로부터 온 것이 아닌 경우 RNS(recursive name server)는 사용자가 이 사기성 주소에 액세스하는 것을 허용하지 않습니다. DNSSEC는 도메인 네임이 존재하지 않는 것도 확인할 수 있습니다. 이 같은 절차를 거친 결과, DNS 쿼리와 응답은 MITM(man-in-the-middle) 공격, 또는 인터넷 사용자들을 피싱(phishing) 및 파밍(pharming) 사이트로 리디렉트할 수 있는 위조 등으로부터 보호할 수 있습니다.

Versign은 DNSSEC가 전세계적으로 성공을 거둘 수 있도록 다음과 같은 3가지 핵심 원칙을 중심으로 하는 적극적이면서도 신중한 접근 방식을 지지하고 있습니다.

• DNSSEC는 구체적인 인터넷 취약성에 대한 바람직한 해결 방안이지만 반드시 다른 보안층에 의해 보완되어야 합니다.
• 통제 가능하고 조직적인 방식으로 DNSSEC를 롤아웃하는 것이 가장 안전합니다.
• DNSSEC에 대한 책임은 전체 인터넷 생태계가 공유합니다.

구체적인 취약점에 대한 바람직한 해결 방안

DNSSEC가 DNS 보안을 강화해 주기는 하지만 인터넷 인프라 보안에 대한 다층 접근 방식에서 하나의 구성 요소에 불과합니다. DNSSEC는 DDoS(분산 서비스 거부) 공격으로부터 네임 서버를 보호하거나, 데이터 교환의 기밀성을 보장하거나, 웹사이트 데이터를 암호화하거나, IP 주소 스푸핑 및 피싱을 방지하지는 않습니다. DDoS 완화, 보안 인텔리전스, SSL(Secure Sockets Layer) 암호화 및 사이트 유효성 검사, 이원 인증 등의 다른 보호 방법도 보다 안전한 인터넷을 만드는 데 매우 중요합니다. 이러한 메커니즘이 DNSSEC와 함께 사용되어야 합니다.

통제 가능하고 조직적인 롤아웃

DNSSEC를 광범위하게 구현한다는 것은 전체 인터넷 생태계에 영향을 미치는 복잡한 변화가 초래되고, 많은 리소스, 문서화 작업, 테스트 및 업계 조율이 필요하다는 것을 의미합니다. 모든 DNSSEC 롤아웃은 반드시 단계별로 진행되어야 하며, 특히 .com과 .net 등과 같이 전세계적으로 중요한 TLD(최상위 레벨 도메인)가 계속 안정적으로 운영될 수 있으려면 단계별 진행이 필수입니다. 조직 내부 및 업계 내에서 뿐만 아니라 국제적으로도 장기적 전략, 계획 수립 및 협력이 이루어졌을 때 성공적 구현을 위한 탄탄한 발판이 마련됩니다.

책임 공유

캐시 중독은 인터넷의 어느 시점에도 발생 가능하기 때문에 DNSSEC는 루트 영역과 TLD부터 개별 도메인 네임에 이르기까지 전세계적으로 구현될 때 가장 효과적입니다. 레지스트리, 레지스트라, 등록자, 호스팅업체, 소프트웨어 개발업체, 하드웨어 공급업체, 인터넷 웹 페이지를 운영하고 있는 정부, 기업 및 기관, 인터넷 기술 전문가 및 연합체 등, 대규모 작업의 성공 여부는 이들 모두에게 달려 있습니다.

정부, 금융 기관, ISP(인터넷 서비스 제공업체), 회사, 기타 조직들이 DNS에 관련된 위협을 점차 인식함에 따라 DNSSEC 채택이 대세가 되고 있습니다.

인터넷 루트 영역, .net, .com, .gov, .org, .museum 및 .edu 등과 같은 TLD(최상위 레벨 도메인), 그리고 여러 국가 코드 TLD(ccTLD)가 이미 전체 DNSSEC 구현을 완료했습니다. 이러한 TLD는 DNSSEC가 서명된 차상위 도메인 네임 승인을 시작했습니다. 일부 대형 ISP들은 사용자 쿼리에 응답하는 RNS(recursive name server)에 대한 유효성 검사(validation)를 개시할 계획이라고 발표한 바 있고, 일부 레지스트라의 경우 로드맵에 DNSSEC 시행을 포함시키고 있습니다. 또한 ICANN은 새 TLD에 대한 신청 접수를 개시했으며, ICANN은 새 TLD 신청자들에게 DNSSEC 구현 계획을 신청 승인에 대한 요건으로 명시할 가능성이 높습니다.

DNSSEC TIMELINE

1990년	DNS에서 주요한 결함이 발견되었고 DNS 보안에 대한 대화가 시작됨.
1995년	DNSSEC가 IETF 내에서 공식 주제로 선정됨.
1999년	DNSSEC 프로토콜(RFC2535)이 완성되고, 최초의 DNSSEC 지원 구현으로 BIND9가 개발됨.
2001년	대형 네트워크에 대해 DNSSEC 배치를 불가능하게 만드는 작동 문제가 발생. IETF가 프로토콜을 다시 작성하기로 결정함.
2005년	DNSSEC 표준이 여러 RFC 4033, 4034, 4035로 작성됨. 10월에는 스웨덴(.se)이 자국 지역에서 DNSSEC를 활성화함.
2007년	7월에 ccTLD.pr(푸에르토리코)가 DNSSEC를 활성화한 후 9월에 .br(브라질), 10월에 .bg(불가리아)가 DNSSEC를 활성화함.
2008년	NSEC3 표준(RFC 5155)이 게시됨. 9월에 ccTLD .cz(체코 공화국)이 DNSSEC를 활성화함.
2009년	Verisign과 EDUCAUSE, 엄선된 .edu 등록자를 위해 DNSSEC 테스트 베드 개최. Verisign 및 ICANN, 내부 사용을 위해 루트 영역에 서명함. ICANN 및 Verisign, KSK로 ZSK 서명.
2010년	최초의 루트 서버, 서명된 루트 서비스 개시 및 DURZ (deliberately unvalidatable root zone) 방법론 활용. 서명된 루트 서비스 제공 루트 서버들, DURZ 방법론 활용 ICANN, 미국 버지니아 주 쿨페퍼에서 최초의 KSK 기념 행사 개최. ICANN, 루트 영역 신뢰 앵커 발표 및 루트 운영업체, 실제 키로 서명된 루트 서비스 개시 - 서명된 루트 영역 이용 가능. Verisign 및 EUDCAUSE, .edu 도메인용 DNSSEC 구현. Verisign, .net 도메인용 DNSSEC 구현.
2011년	2월에, DNSSEC 구현 가능 .gov 레지스트리 업무가 Verisign으로 이관됨 3월에, .com이 서명되고 Verisign Managed DNS 서비스가 DNSSEC 호환 완전 지원으로 개선됨. 59개의 TLD가 루트 영역에서 신뢰 앵커로 서명됨.
2012년	1월에, Comcast, 자사 고객들이 DNSSEC-인증 리졸버를 사용한다고 발표. 3월에, 서명된 TLD의 수가 90개로 증가함.

Verisign의 역할

2000년부터 DNSSEC 개발에 참여해 온 Verisign과 Verisign 엔지니어들은 NSEC3 프로토콜의 개발에서 주도적인 역할을 수행하고 있습니다. Versigin은 DNSSEC 테스트,구현 및 채택이 진행되어 가는 과정에서 지속적으로 인터넷 기술 커뮤니티와 협력해 나가고 있습니다 예를 들어, 우리는 DNSSEC 채택 촉진을 위한 업계 전담 조직인 DNSSEC Coalition에 적극적으로 참여하고 있습니다. 또한 베스트 프랙티스를 사용하는 것을 보장하기 위해, DNSSEC 구현을 통해 습득한 교훈을 공유하며, 전체 레지스트리에 걸쳐 일관된 DNSSEC 접근 방식을 지원합니다.

2010년 7월, Verisign은 IANA (Internet Assigned Numbers Authority) 및 미국 상무부(DoC)와 협력하여 루트 영역(DNS 계층의 시작점)에서 DNSSEC 도입을 완료했습니다. 또한 2010년 7월에 DNSSEC를 .edu에 채택한 Verisign은 2010년 12월에 .net 및 2011년 3월에 .com에서 DNSSEC를 채택했습니다. .gov, .org, 그리고 브라질, 불가리아, 체코 공화국, 푸에르토리코, 스웨덴 등과 같은 국가 코드 TLD 네임 등, 많은 TLD들이 다른 레지스트리를 통해 서명을 하고 있습니다.

Verisign은 또한 인터넷 생태계 구성원들이 DNSSEC의 이점을 누릴 수 있도록 지원하기 위해 여러 단계의 조치를 취하고 있습니다. 그러한 조치에는 기술 리소스를 게시하고, 운영 테스트 환경을 제공하며, 교육 세션을 선도하고, 산업 포럼에 참여하며, DNSSEC 관리를 단순화하는 도구를 개발하고 커뮤니티를 상호운용성 연구실로 지원하는 것이 포함됩니다.