topics DNSSEC DNSSEC(DNS 보안 확장)란 무엇인가요?
DNS 솔루션 살펴보기 AI 업데이트 구독
기어, 로봇 팔, 휴대폰 픽토그램이 콜라주된 일러스트

게시일: 2024년 3월 8일
기고자: Tasmiha Khan, Michael Goodwin
DNSSEC(DNS 보안 확장)란 무엇인가요?

DNSSEC는 암호화 인증을 사용하여 DNS 쿼리에서 반환된 DNS 레코드가 권한 있는 이름 서버에서 온 것이며 도중에 변경되지 않았는지 확인하는 도메인 이름 시스템(DNS)의 기능입니다.

간단히 말해서 DNSSEC는 사용자가 가짜 웹사이트가 아닌 실제 웹사이트로 연결되도록 하는 데 도움이 됩니다. 검색을 비공개로 유지하지는 않지만(전송 계층 보안 또는 TLS는 인터넷의 개인 정보를 보호하기 위해 설계된 보안 프로토콜임) 악의적인 엔티티가 조작된 DNS 응답을 DNS 요청에 삽입하는 것을 방지하는 데 도움이 됩니다.

DNSSEC(도메인 이름 시스템 보안 확장의 줄임말)는 DNS 프로토콜을 확장하고 DNS 스푸핑, DNS 캐시 포이징, 중간자 공격 및 기타 DNS 데이터 무단 수정과 같은 다양한 사이버 공격에 시스템을 취약하게 만드는 DNS의 취약점을 해결하는 데 사용됩니다. DNSSEC 배포는 이러한 잠재적 위험으로부터 DNS를 강화하여 인터넷에 보다 안전하고 안정적인 인프라를 제공하는 데 도움이 됩니다. DNS 확인자가 정보를 쿼리하면 디지털 서명 확인을 통해 DNS 조회 응답의 유효성을 검사하여 수신된 데이터의 신뢰성과 무결성을 확인합니다.

사이버 보안 위협이 계속 진화함에 따라 DNSSEC를 포함한 강력한 보안 조치에 대한 수요도 증가할 것으로 보입니다. 국제인터넷주소관리기구(ICANN)와 같은 조직은 DNS 보안에서 DNSSEC가 수행하는 중요한 역할에 관한 인식이 높아짐에 따라 DNSSEC의 전 세계적인 활용을 적극적으로 장려하고 있습니다.

  
AI 및 IT 자동화 가이드

AI 및 IT 자동화를 위한 엔터프라이즈 가이드에서는 AI 기반 IT 자동화에 관한 심층적인 분석을 제공합니다. AI 기반 IT 자동화를 사용하는 이유와 방법, 작업을 방해하는 문제, 시작하는 방법 등을 살펴보세요.
관련 내용

IBM 뉴스레터 구독하기
관련 DNS 레코드 유형 및 용어

DNS를 보호하기 위해 DNS 보안 확장은 기존 DNS 레코드에 암호화 서명을 추가합니다. 이러한 서명은 A 레코드(IPv4 주소와 도메인 이름을 직접 연결), AAAA 레코드(도메인 이름을 IPv6 주소에 연결), MX 레코드(이메일을 도메인 메일 서버로 연결), CNAME 레코드(별칭을 실제 또는 '표준' 도메인 이름에 매핑) 등 다른 DNS 레코드 유형과 함께 DNS 네임 서버에 저장됩니다.

DNSSEC 기능을 이해하는 데 도움이 되는 기타 관련 레코드 및 용어는 다음과 같습니다.
DS 레코드(위임 서명자 레코드)

DS 레코드는 상위 영역과 하위 영역 간에 보안 신뢰 체인을 설정하는 데 사용됩니다. 여기에는 DNSKEY 레코드의 암호화 해시가 포함됩니다.
DNSKEY 레코드

DNSKEY 레코드(DNSSEC 키라고도 함)는 특정 DNS 영역과 연결된 공개 키를 저장합니다. 이러한 키는 디지털 서명을 확인하고 해당 영역 내에서 DNS 데이터의 신뢰성과 무결성을 보장하는 데 사용됩니다.
RRSIG 레코드(리소스 레코드 서명 레코드)

RRSIG 레코드에는 DNS 리소스 레코드 세트와 연결된 암호화 서명이 포함되어 있습니다.
RRset(리소스 레코드 세트)

이는 DNS의 특정 이름과 관련된 특정 유형의 모든 리소스 레코드의 모음입니다. 예를 들어 "example.com"와 연결된 두 개의 IP 주소가 있는 경우 이러한 주소에 대한 A 레코드가 함께 번들로 묶여 RRset을 형성합니다.
NSEC 레코드(다음 보안 레코드)

이는 도메인에 존재하는 레코드 유형을 나열하는 레코드이며 특정 도메인 이름의 인증된 존재 거부를 나타내는 데 사용됩니다. '다음 보안' 레코드를 반환하는 방식으로 작동합니다. 예를 들어, 재귀 확인자가 존재하지 않는 레코드에 대해 이름 서버를 쿼리하는 경우, 이름 서버는 요청된 레코드가 존재하지 않음을 나타내는 다른 레코드(서버에 정의된 "다음 보안 레코드")를 반환합니다.
NSEC3(다음 보안 버전 3)

이는 NSEC의 향상된 기능입니다. 공격자가 영역에 있는 기존 도메인의 이름을 예측하거나 추측하기 어렵게 만들어 보안을 강화합니다. NSEC와 유사한 방식으로 작동하지만 암호화 방식으로 해시된 레코드 이름을 사용하여 특정 영역의 이름이 나열되지 않도록 합니다.
영역 서명 키(ZSK)

영역 서명 키 쌍(공개 키 및 개인 키)은 RRset에 서명하고 확인하는 데 사용되는 인증 키입니다. DNSSEC에서는 각 영역에 ZSK 쌍이 있습니다. 개인 키는 RRSet의 디지털 서명을 만드는 데 사용됩니다. 이러한 서명은 이름 서버에 RRSIG 레코드로 저장됩니다. DNSKEY 레코드에 저장된 관련 공개 키는 서명을 확인하여 RRset의 신뢰성을 확인합니다. 그러나 공개 ZSK를 검증하려면 추가 조치가 필요합니다. 이를 위해 키 서명 키가 사용됩니다.
키 서명 키(KSK)

키 서명 키는 또 다른 공개/개인 키 쌍으로, 공개 영역 서명 키가 손상되지 않았는지 확인하는 데 사용됩니다. 
DNSSEC의 작동 방식

DNS 보안 확장은 DNS의 보안 및 신뢰성을 향상시키도록 설계된 암호화 보안 프레임워크를 제공합니다. DNSSEC는 기본적으로 공개 키와 개인 키 쌍으로 구성된 시스템을 사용합니다. DNSSEC 유효성 검사를 사용하도록 설정하기 위해 영역 관리자는 개인 영역 서명 키와 DNSKEY 레코드로 배포되는 해당 공개 키를 사용하여 디지털 서명(RRSIG 레코드로 저장됨)을 생성합니다. 키 서명 키는 ZSK에 서명하고 인증하는 데 사용되어 추가적인 보안 계층을 제공합니다.

DNS 확인자는 쿼리될 때 요청된 RRset과 개인 영역 서명 키가 포함된 관련 RRSIG 레코드를 검색합니다. 그런 다음 확인자는 공개 ZSK 키를 보유하고 있는 DNSKEY 레코드를 요청합니다. 이 세 가지 자산은 확인자가 수신하는 응답을 함께 검증합니다. 그러나 공개 ZSK의 신뢰성은 여전히 확인이 필요합니다. 여기서 키 서명 키가 필요합니다.

키 서명 키는 공개 ZSK에 서명하고 DNSKEY에 대한 RRSIG를 만드는 데 사용됩니다. 이름 서버는 공개 ZSK에서와 마찬가지로 DNSKEY 레코드에 공개 KSK를 게시합니다. 이렇게 하면 두 DNSKEY 레코드를 모두 포함하는 RRset이 만들어집니다. 이는 개인 KSK에서 서명하고 공개 KSK에서 유효성을 검사합니다. 이 인증은 KSK의 목적인 공개 ZSK를 검증하고 요청된 RRset의 신뢰성을 확인합니다.
DNS 신뢰 사슬

DNSSEC는 DNS 계층 구조 전반에 걸쳐 '신뢰 체인'을 구축하고 각 수준에서 DNS 데이터에 서명하여 데이터의 무결성과 신뢰성을 보장하는 검증 가능한 경로를 생성한다는 원칙에 따라 운영됩니다. 체인의 각 링크는 디지털 서명으로 보호되어 루트 영역 서버에서 시작하여 최상위 도메인(TLD) 서버를 통해 개별 도메인의 권한 있는 DNS 서버로 확장되는 트러스트 앵커를 생성합니다.

위임 서명자(DS) 레코드는 상위 영역에서 하위 영역으로 신뢰를 이전하는 데 사용됩니다. 확인자가 하위 영역으로 참조되는 경우 상위 영역은 상위 영역 DNSKEY 레코드의 해시가 포함된 DS 레코드를 제공합니다. 이는 하위 영역에서 해시된 공개 KSK와 비교됩니다. 일치는 공개 KSK의 신뢰성을 나타내며 하위 도메인(하위 영역)의 레코드를 신뢰할 수 있음을 확인자에게 알립니다. 이 프로세스는 영역 간에 작동하여 신뢰 체인을 구축합니다.
DNSSEC vs. DNS 보안

DNSSEC와 DNS 보안은 인터넷 보안 영역 내에서 서로 연관된 개념으로, 각각 고유한 초점과 범위를 가지고 있습니다. DNSSEC는 특히 도메인 이름 시스템의 보안을 강화하기 위해 설계된 일련의 DNS 확장을 의미합니다. 주요 목표는 개인 및 공개 키 암호화를 통해 DNS 레코드의 무결성과 신뢰성을 보장하는 것입니다.

DNS 보안은 전체 DNS 환경을 보호하기 위한 종합적인 접근 방식을 포괄하는 광범위한 용어입니다. DNSSEC는 DNS 보안의 중요한 구성 요소이지만, DNS 보안의 범위는 DNSSEC의 특정 프로토콜에 국한되지 않습니다. DNS 보안은 분산 서비스 거부(DDoS) 공격 및 도메인 도난을 비롯한 광범위한 위협을 해결하여 DNS 인프라를 손상시킬 수 있는 악의적인 활동으로부터 보호하기 위한 종합 전략을 제공합니다.  
관련 솔루션
IBM NS1 Connect 관리형 DNS

IBM NS1 Connect 관리형 DNS 서비스는 네트워크 중단을 방지하고 비즈니스를 항상 온라인 상태로 유지할 수 있도록 탄력적이고 빠르며 신뢰할 수 있는 DNS 연결을 제공합니다.

 IBM NS1 Connect Managed DNS 살펴보기 라이브 데모 요청
IBM Cloud DNS Services

IBM Cloud DNS Services는 신속한 응답 시간, 최고의 중복성 및 고급 보안을 갖춘 퍼블릭 및 프라이빗 권한 DNS 서비스를 제공합니다. 이 서비스는 IBM Cloud 웹 인터페이스 또는 API를 통해 관리됩니다.

 IBM Cloud DNS Services 살펴보기
IBM DNS 네트워크 복원력 및 가동 시간

글로벌 네트워크와 고급 DNS 트래픽 조정 기능으로 애플리케이션 복원력과 가동 시간을 높이세요.

 IBM DNS 네트워크 복원력 및 가동 시간 살펴보기
리소스 DNS(Domain Name System)란 무엇인가요?

DNS를 사용하면 사용자가 숫자 인터넷 프로토콜 주소가 아닌 URL을 사용하여 웹 사이트에 연결할 수 있습니다.

 DNS 서버란 무엇인가요?

DNS 서버는 사용자가 웹 브라우저에서 검색하는 웹 사이트 도메인 이름을 해당 숫자 IP 주소로 변환합니다. 이 프로세스를 DNS 확인이라고 합니다.

DNS 레코드란 무엇인가요?

도메인 이름 시스템(DNS) 레코드는 DNS 서버 내에서 도메인 이름을 인터넷 프로토콜(IP) 주소와 연결하는 데 사용되는 일련의 지침입니다.

네트워킹이란 무엇인가요?

컴퓨터 네트워크의 작동 방식과 네트워크 설계에 사용되는 아키텍처 및 네트워크의 보안 유지 방법에 대해 알아보세요.

 네트워크 보안이란 무엇인가요?

네트워크 보안은 내부 및 외부 사이버 위협과 사이버 공격으로부터 컴퓨터 네트워크와 시스템을 보호하는 데 중점을 둔 사이버 보안 분야입니다.

 데이터베이스 보안이란 무엇인가요?

데이터베이스 보안은 데이터베이스 기밀성, 무결성 및 가용성을 설정하고 보존하기 위해 설계된 다양한 도구, 제어 및 조치를 의미합니다.
다음 단계 안내

IBM NS1 Connect는 프리미엄 DNS 및 사용자 정의 가능한 고급 트래픽 조정을 통해 전 세계 어디서나 사용자에게 빠르고 안전한 연결을 제공합니다. NS1 Connect의 상시 가동 API-first 아키텍처를 통해 IT 팀은 네트워크를 보다 효율적으로 모니터링하고, 변경 사항을 배포하고, 일상적인 유지 관리를 수행할 수 있습니다.

 NS1 Connect 살펴보기 라이브 데모 예약하기