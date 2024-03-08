게시일: 2024년 3월 8일
기고자: Tasmiha Khan, Michael Goodwin
DNSSEC는 암호화 인증을 사용하여 DNS 쿼리에서 반환된 DNS 레코드가 권한 있는 이름 서버에서 온 것이며 도중에 변경되지 않았는지 확인하는 도메인 이름 시스템(DNS)의 기능입니다.
간단히 말해서 DNSSEC는 사용자가 가짜 웹사이트가 아닌 실제 웹사이트로 연결되도록 하는 데 도움이 됩니다. 검색을 비공개로 유지하지는 않지만(전송 계층 보안 또는 TLS는 인터넷의 개인 정보를 보호하기 위해 설계된 보안 프로토콜임) 악의적인 엔티티가 조작된 DNS 응답을 DNS 요청에 삽입하는 것을 방지하는 데 도움이 됩니다.
DNSSEC(도메인 이름 시스템 보안 확장의 줄임말)는 DNS 프로토콜을 확장하고 DNS 스푸핑, DNS 캐시 포이징, 중간자 공격 및 기타 DNS 데이터 무단 수정과 같은 다양한 사이버 공격에 시스템을 취약하게 만드는 DNS의 취약점을 해결하는 데 사용됩니다. DNSSEC 배포는 이러한 잠재적 위험으로부터 DNS를 강화하여 인터넷에 보다 안전하고 안정적인 인프라를 제공하는 데 도움이 됩니다. DNS 확인자가 정보를 쿼리하면 디지털 서명 확인을 통해 DNS 조회 응답의 유효성을 검사하여 수신된 데이터의 신뢰성과 무결성을 확인합니다.
사이버 보안 위협이 계속 진화함에 따라 DNSSEC를 포함한 강력한 보안 조치에 대한 수요도 증가할 것으로 보입니다. 국제인터넷주소관리기구(ICANN)와 같은 조직은 DNS 보안에서 DNSSEC가 수행하는 중요한 역할에 관한 인식이 높아짐에 따라 DNSSEC의 전 세계적인 활용을 적극적으로 장려하고 있습니다.
DS 레코드는 상위 영역과 하위 영역 간에 보안 신뢰 체인을 설정하는 데 사용됩니다. 여기에는 DNSKEY 레코드의 암호화 해시가 포함됩니다.
DNSKEY 레코드(DNSSEC 키라고도 함)는 특정 DNS 영역과 연결된 공개 키를 저장합니다. 이러한 키는 디지털 서명을 확인하고 해당 영역 내에서 DNS 데이터의 신뢰성과 무결성을 보장하는 데 사용됩니다.
RRSIG 레코드에는 DNS 리소스 레코드 세트와 연결된 암호화 서명이 포함되어 있습니다.
이는 DNS의 특정 이름과 관련된 특정 유형의 모든 리소스 레코드의 모음입니다. 예를 들어 "example.com"와 연결된 두 개의 IP 주소가 있는 경우 이러한 주소에 대한 A 레코드가 함께 번들로 묶여 RRset을 형성합니다.
이는 도메인에 존재하는 레코드 유형을 나열하는 레코드이며 특정 도메인 이름의 인증된 존재 거부를 나타내는 데 사용됩니다. '다음 보안' 레코드를 반환하는 방식으로 작동합니다. 예를 들어, 재귀 확인자가 존재하지 않는 레코드에 대해 이름 서버를 쿼리하는 경우, 이름 서버는 요청된 레코드가 존재하지 않음을 나타내는 다른 레코드(서버에 정의된 "다음 보안 레코드")를 반환합니다.
이는 NSEC의 향상된 기능입니다. 공격자가 영역에 있는 기존 도메인의 이름을 예측하거나 추측하기 어렵게 만들어 보안을 강화합니다. NSEC와 유사한 방식으로 작동하지만 암호화 방식으로 해시된 레코드 이름을 사용하여 특정 영역의 이름이 나열되지 않도록 합니다.
영역 서명 키 쌍(공개 키 및 개인 키)은 RRset에 서명하고 확인하는 데 사용되는 인증 키입니다. DNSSEC에서는 각 영역에 ZSK 쌍이 있습니다. 개인 키는 RRSet의 디지털 서명을 만드는 데 사용됩니다. 이러한 서명은 이름 서버에 RRSIG 레코드로 저장됩니다. DNSKEY 레코드에 저장된 관련 공개 키는 서명을 확인하여 RRset의 신뢰성을 확인합니다. 그러나 공개 ZSK를 검증하려면 추가 조치가 필요합니다. 이를 위해 키 서명 키가 사용됩니다.
키 서명 키는 또 다른 공개/개인 키 쌍으로, 공개 영역 서명 키가 손상되지 않았는지 확인하는 데 사용됩니다.
DNS 보안 확장은 DNS의 보안 및 신뢰성을 향상시키도록 설계된 암호화 보안 프레임워크를 제공합니다. DNSSEC는 기본적으로 공개 키와 개인 키 쌍으로 구성된 시스템을 사용합니다. DNSSEC 유효성 검사를 사용하도록 설정하기 위해 영역 관리자는 개인 영역 서명 키와 DNSKEY 레코드로 배포되는 해당 공개 키를 사용하여 디지털 서명(RRSIG 레코드로 저장됨)을 생성합니다. 키 서명 키는 ZSK에 서명하고 인증하는 데 사용되어 추가적인 보안 계층을 제공합니다.
DNS 확인자는 쿼리될 때 요청된 RRset과 개인 영역 서명 키가 포함된 관련 RRSIG 레코드를 검색합니다. 그런 다음 확인자는 공개 ZSK 키를 보유하고 있는 DNSKEY 레코드를 요청합니다. 이 세 가지 자산은 확인자가 수신하는 응답을 함께 검증합니다. 그러나 공개 ZSK의 신뢰성은 여전히 확인이 필요합니다. 여기서 키 서명 키가 필요합니다.
키 서명 키는 공개 ZSK에 서명하고 DNSKEY에 대한 RRSIG를 만드는 데 사용됩니다. 이름 서버는 공개 ZSK에서와 마찬가지로 DNSKEY 레코드에 공개 KSK를 게시합니다. 이렇게 하면 두 DNSKEY 레코드를 모두 포함하는 RRset이 만들어집니다. 이는 개인 KSK에서 서명하고 공개 KSK에서 유효성을 검사합니다. 이 인증은 KSK의 목적인 공개 ZSK를 검증하고 요청된 RRset의 신뢰성을 확인합니다.
DNSSEC는 DNS 계층 구조 전반에 걸쳐 '신뢰 체인'을 구축하고 각 수준에서 DNS 데이터에 서명하여 데이터의 무결성과 신뢰성을 보장하는 검증 가능한 경로를 생성한다는 원칙에 따라 운영됩니다. 체인의 각 링크는 디지털 서명으로 보호되어 루트 영역 서버에서 시작하여 최상위 도메인(TLD) 서버를 통해 개별 도메인의 권한 있는 DNS 서버로 확장되는 트러스트 앵커를 생성합니다.
위임 서명자(DS) 레코드는 상위 영역에서 하위 영역으로 신뢰를 이전하는 데 사용됩니다. 확인자가 하위 영역으로 참조되는 경우 상위 영역은 상위 영역 DNSKEY 레코드의 해시가 포함된 DS 레코드를 제공합니다. 이는 하위 영역에서 해시된 공개 KSK와 비교됩니다. 일치는 공개 KSK의 신뢰성을 나타내며 하위 도메인(하위 영역)의 레코드를 신뢰할 수 있음을 확인자에게 알립니다. 이 프로세스는 영역 간에 작동하여 신뢰 체인을 구축합니다.
DNSSEC와 DNS 보안은 인터넷 보안 영역 내에서 서로 연관된 개념으로, 각각 고유한 초점과 범위를 가지고 있습니다. DNSSEC는 특히 도메인 이름 시스템의 보안을 강화하기 위해 설계된 일련의 DNS 확장을 의미합니다. 주요 목표는 개인 및 공개 키 암호화를 통해 DNS 레코드의 무결성과 신뢰성을 보장하는 것입니다.
DNS 보안은 전체 DNS 환경을 보호하기 위한 종합적인 접근 방식을 포괄하는 광범위한 용어입니다. DNSSEC는 DNS 보안의 중요한 구성 요소이지만, DNS 보안의 범위는 DNSSEC의 특정 프로토콜에 국한되지 않습니다. DNS 보안은 분산 서비스 거부(DDoS) 공격 및 도메인 도난을 비롯한 광범위한 위협을 해결하여 DNS 인프라를 손상시킬 수 있는 악의적인 활동으로부터 보호하기 위한 종합 전략을 제공합니다.
IBM NS1 Connect 관리형 DNS 서비스는 네트워크 중단을 방지하고 비즈니스를 항상 온라인 상태로 유지할 수 있도록 탄력적이고 빠르며 신뢰할 수 있는 DNS 연결을 제공합니다.
IBM Cloud DNS Services는 신속한 응답 시간, 최고의 중복성 및 고급 보안을 갖춘 퍼블릭 및 프라이빗 권한 DNS 서비스를 제공합니다. 이 서비스는 IBM Cloud 웹 인터페이스 또는 API를 통해 관리됩니다.
글로벌 네트워크와 고급 DNS 트래픽 조정 기능으로 애플리케이션 복원력과 가동 시간을 높이세요.
IBM NS1 Connect는 프리미엄 DNS 및 사용자 정의 가능한 고급 트래픽 조정을 통해 전 세계 어디서나 사용자에게 빠르고 안전한 연결을 제공합니다. NS1 Connect의 상시 가동 API-first 아키텍처를 통해 IT 팀은 네트워크를 보다 효율적으로 모니터링하고 변경 사항을 배포하며 일상적인 유지 관리를 수행할 수 있습니다.