DNSSEC의 의미와 개념에 대해 알아봅시다.
DNSSEC 의미 및 개념 이해
DNSSEC(Domain Name System Security Extensions)는 DNS(Domain Name System)의 보안 취약점을 극복하기 위한 보안 기술 및 표준입니다. 규약DNSSEC(Domain Name System Security Extensions)는 DNS 응답 정보에 전자 서명 값을 첨부하여 수신자가 전자 서명 값을 확인할 수 있도록 함으로써 위조 및 변조를 방지하고 정보 무결성을 제공합니다. DNSSEC는 공개키암호화(Public Key Cryptography) 전자서명 기술을 적용해 데이터 위·변조 가능성을 근본적으로 차단한다. 공개키암호화의 전자서명 원리는 금융권에서 사용되는 공동인증서에 사용되는 기술구조이다.
DNSSEC 의미 및 개념 설명
DNSSEC(Domain Name System Security Extensions)는 DNS(Domain Name System) 데이터를 대상으로 한 데이터 위변조 공격을 방지하기 위한 인터넷 표준 기술을 말합니다. DNSSEC(Domain Name System Security Extensions)는 도메인 이름 시스템 보안 확장을 나타냅니다. 네임서버(DNS)의 응답을 확인하는 기술이다. DNSSEC는 DNS(Domain Name System)에 따른 호스트 이름에 해당합니다. IP(인터넷 프로토콜) 주소 획득 시 가짜 DNS 서버에서 위장된 정보가 전송되는 것을 방지하기 위해 공개키 암호화와 전자서명 구조를 활용하는 검증 기법이다. DNSSEC에서는 해당 DNS 서버가 응답하면 전사 서명을 첨부하여 보냅니다. 송신측과 수신측에서는 위변조 방지를 위해 전자서명을 검증하고, 응답이 공식 DNS 서버로부터 온 것인지도 검증합니다. 여기서, 전자서명이란 인감이나 서명을 통해 본인이 작성한 것임을 확인하는 전자서명으로, 전자파일이 변조되지 않았음을 증명하는 수단이다. DNSSEC는 전자파일이 변조되지 않았음을 입증하는 데 사용되는 방법입니다. DNSSEC는 파일이 변조되지 않았음을 증명하는 데 사용되는 방법입니다. DNS 데이터에 대한 위·변조 공격에 대응할 수 있는 보안 기술입니다. DNSSEC는 DNS 정보의 위·변조를 방지하기 위해 3가지 핵심 기술을 사용합니다. DNSSEC의 3가지 핵심 기술은 무결성, 서버 인증, 신뢰 체인입니다.[DNSSEC의 3가지 핵심 기술]
무결성이란 DNS 결과와 기록이 정확하고 변조되지 않았음을 증명하는 기술입니다. 일관성 검사는 캐싱된 DNS 정보와 서버로부터 받은 기록값이 정확한 값인지 전자서명 과정을 통해 확인합니다. 해시 값은 공개 키를 사용하여 확인됩니다. 서버 인증은 DNS 레코드가 올바른 DNS 서버에서 검색된 값임을 증명하는 기술입니다. DNS 결과 값이 올바른 DNS Zone에서 파생되었는지 확인합니다. Chain of Trust는 각 DNS 서버가 각 DNS 계층에 맞는 서버임을 증명하는 기술입니다. DNSSEC는 DNS 보안을 강화합니다. 이를 위해 만들어진 보안 기술입니다. DNSSEC는 DNS를 대체하는 것이 아니라 DNS에 보안 기능을 추가하여 DNS의 보안을 강화합니다. DNS의 작동 원리에서 클라이언트, 확인자, 서버의 세 가지 구성 요소가 DNS 프로세스에서 역할을 합니다. 인터넷 사용자 도메인 주소를 입력하고 웹 사이트에 접속을 시도하면, 사용자의 웹 브라우저인 클라이언트측에서는 접속하려는 도메인 이름에 해당하는 IP 주소를 조회하기 위해 해당 도메인의 DNS 정보를 요청합니다. 여기서는 클라이언트에 설치된 Stub Resolver가 도메인 주소를 쿼리합니다. DNS Resolver는 클라이언트로부터 쿼리 요청을 받아 도메인 정보에 대한 결과를 전송합니다. DNS Resolver는 각 이름 서버에 재귀적으로 연결하여 주소를 얻도록 구성됩니다. DNS 서버는 DNS 해석기로부터 요청을 받아 실제 DNS 정보를 제공합니다. 역할을 합니다. 여기서 각 구간마다 보안 취약점이 존재합니다. 권한 있는 DNS 서버와 캐시 DNS 서버 사이에는 DNS 질의 응답 과정에서 DNS 데이터의 위변조에 대한 공격을 탐지하는 수단이 제공됩니다. 캐시 DNS 서버와 사용자 호스트 간의 연결은 사용자 호스트가 전자 서명을 확인할 수 있는 확인자를 사용하는 경우 보호되지만 그렇지 않은 경우에는 보호되지 않습니다. 권한 있는 DNS 서버와 권한 있는 DNS의 동적 업데이트 사이의 전체 전송 구간은 TSIG가 적용된 인증 시스템으로 보호될 수 있습니다. TSIG 기술은 네임서버 관리영역의 운영을 보호할 수 있는 별도의 공유키 암호화 방식을 말합니다. 권한 있는 DNS 서버(Authoritative Domain Name Server)는 도메인 이름에 대한 정보를 기록하고 관리할 수 있는 정당한 권한을 가지며, 도메인 정보에 대한 외부 질의에 응답하는 DNS 서버를 말합니다. 풀 서비스 리졸버는 다른 DNS 서버에 쿼리하여 DNS 정보를 검색하는 DNS 서버를 의미합니다. 쿼리된 내용은 캐시에 저장됩니다. DNSSEC(Domain Name System Security Extensions)는 ISP나 조직이 운영하는 캐시 DNS 서버를 대상으로 하는 파밍 공격이나 DNS 캐시 중독 공격에 대응할 수 있습니다. DNSSEC는 세계 최고의 DNS인 Root DNS에 적용되어 현재 글로벌하게 확장되었습니다.