DNS 운영자, 내년 3월까지 루트 네임서버 DNSSEC 암호키 갱신해야

By이유지

국제인터넷주소기구(ICANN)가 오는 2018년 1분기에 루트 네임서버 루트 존 DNSSEC(DNS Security Extension) 암호키(Key Signing Key)를 교체한다.

한국인터넷진흥원(KISA)은 ICANN의 이같은 정책 시행계획에 따라 국내 인터넷서비스제공업체(ISP) 등 캐시 네임서버 운영자들은 인터넷 접속 장애 등 피해가 발생하지 않도록 교체 시점 이전까지 DNSSEC 암호키 정보를 최신으로 반드시 갱신해야 한다고 당부했다.

ICANN은 도메인네임서버(DNS) 정보의 위·변조로 발생할 수 있는 파밍 등 보안 사고를 예방하기 위해 2010년부터 .kr, .com 등 최상위도메인 정보를 관리하는 루트 네임서버 루트 존에 DNSSEC을 적용하고 있다.

이번 DNSSEC 암호키 교체는 장기간 동일한 서명키가 사용됨에 따라 생길 수 있는 보안 문제를 예방하기 위해 새로운 서명용 암호화키를 생성·교체하는 작업으로, 내년 1분기에 진행될 예정이다.

이에 따라 국내 ISP 등 캐시 네임서버 운영자들은 반드시 교체 시행시점 이전까지 최신 DNS 소프트웨어로 업그레이드하는 등 ICANN 루트 네임서버의 루트 존 DNSSEC 암호키 정보를 최신으로 갱신해야 한다.

DNSSEC 서명 검증 기능을 사용하면서 DNSSEC 키 서명키 정보를 갱신하지 않은 캐시 네임서버는 교체시점 이후 모든 DNS 질의에 오류가 발생할 수 있다. 따라서 해당 캐시 네임서버를 이용하는 국내 이용자들이 인터넷 사이트에 접속하지 못하는 일이 발생할 수 있다.

KISA는 이번 DNSSEC 암호키 교체 시행과 관련, 국내 캐시 네임서버를 운영하고 있는 ISP 및 인터넷주소자원 운영기관 등에 조치방법을 상세 안내했다.

DNSSEC 암호키 갱신과 관련된 상세한 조치방법은 KISA 인터넷주소센터(https://한국인터넷정보센터.한국) 홈페이지 또는 이메일 문의(in_dnssec@nic.or.kr)를 통해 확인할 수 있다.

출처 : KISA KRNIC

* 용어 설명
– DNS : kisa.or.kr과 같이 사람이 인식하기 쉬운 도메인이름을 컴퓨터 서버가 인식할 수 있는 IP주소(예시 123.123.123.123)로 변환해주는 서버
– DNSSEC는 DNS 질의 및 응답정보의 위‧변조를 방지하기 위해, DNS 정보에 공개키기반구조(PKI)의 전자서명·인증 기능을 추가한 국제 인터넷 표준기술이다.
– 암호키 : DNSSEC 전자서명 및 서명 검증에 사용되는 암호화키

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다