DNSSEC는 암호화와 어떻게 다른가요?

"DNSSEC는 암호화된 DNS와 동일하지 않나요?"라는 질문을 자주 듣습니다.

그렇지 않습니다. DNSSEC는 중간자 공격으로부터 네트워크를 보호하지만, 암호화와는 다른 공개 키 암호화를 통해 보호합니다. 즉, DNSSEC는 인증 형태는 제공하지만 기밀 유지 형태는 제공하지 않습니다.

DNSSEC는 공개 키 암호화를 사용하여 DNS 쿼리를 디지털 방식으로 '서명' 또는 인증합니다. 영역 레코드에서 DNSSEC가 활성화되면 수신 디바이스는 수신한 정보를 권한 있는 서버에서 보낸 원본 정보와 비교할 수 있습니다. 이는 공개 키를 사용하여 데이터를 인증하는 디지털 서명을 통해 활성화됩니다.

DNSSEC에서 인증 키는 암호화를 통해 보호되지만 데이터 자체는 보호되지 않습니다. 여전히 DNSSEC로 보호된 트래픽을 가로채고 읽을 수 있습니다. 데이터 경로의 어딘가에서 데이터가 조작되어 목적지로 전송되면 수신 서버는 공개 키가 일치하지 않기 때문에 뭔가 잘못되었다는 것을 알 수 있습니다.

반면 암호화는 암호화를 사용하여 데이터 자체를 인코딩합니다. 암호화는 공격자가 데이터 경로 어딘가에서 쿼리를 가로챌 경우 공격자가 볼 수 있는 내용을 변경하여 기밀성을 보장합니다. 공격자가 암호화 키를 사용하여 신호를 해독하지 못하면 해당 데이터를 이해할 수 없게 만듭니다. 이 키는 공개적으로 공유되지 않으므로 암호화는 데이터를 조작으로부터 보호합니다.

DNS는 인터넷에서 가장 오래된 프로토콜 중 하나입니다. 인터넷이 처음 만들어졌을 때만 해도 인터넷은 거의 모든 사람이 서로를 알고 있는 훨씬 작은 공간이었습니다. 보안은 나중에 생각한 사항이었습니다.

인터넷 보안이 문제가 되었을 때 DNS는 매우 널리 사용되어 중요한 변경 사항이 있으면 전체 시스템이 중단될 정도였습니다. DNS를 대체하기 위해 완전히 암호화된 프로토콜을 개발하기보다는 기존 시스템에 인증 메커니즘을 적용하기로 결정했습니다.

DNSSEC는 타협점이었습니다. 쿼리와 데이터의 인증이 가능해져 프로토콜의 보안이 강화되었습니다. 하지만 기본 시스템을 변경하지 않고도 인터넷이 계속 성장할 수 있었기 때문에 아무것도 다시 설계할 필요 없이 계속 성장할 수 있었습니다. DNSSEC 배포는 조직이 원하는 경우 전환할 수 있도록 선택 사항으로 설정되었습니다.

DNS 캐시 포이즈닝(DNS 스푸핑이라고도 함)은 DNSSEC를 배포해야 하는 큰 이유입니다. DNS 스푸핑 공격에서는 DNS 쿼리에 대한 합법적인 응답을 인증되지 않은 응답으로 대체합니다. 그러면 해당 답변이 캐시에 고착되어 '유효 기간'이 만료될 때까지 계속해서 오답을 반환하고 사용자를 악성 사이트로 안내합니다.

DNSSEC는 DNS 응답을 인증하여 정답만 반환되도록 함으로써 이러한 종류의 공격으로부터 보호합니다. 암호화는 DNS 연결의 기본 데이터를 보호할 수 있지만 DNS 스푸핑 공격으로부터 보호하지는 못합니다.

안타깝게도 인터넷 트래픽의 약 20%(ibm.com 외부 링크)만이 DNSSEC를 통해 검증됩니다. 이는 불과 몇 년 전에 비해 크게 증가한 수치이지만, 여전히 목표치에는 한참 못 미치는 수준입니다. 사용성 문제, 정보 부족, 게으름 등이 복합적으로 작용하여 그 격차가 크게 벌어진 것입니다.

NS1은 모든 고객에게 DNSSEC를 배포할 것을 강력히 권장하며, 간단한 배포 프로세스를 통해 DNSSEC의 사용을 장려합니다. 다른 공급자와 달리 NS1은 전용 DNS 제품을 통해 보조 공급자 또는 중복 DNS 옵션으로 DNSSEC를 지원합니다.