페이지 상단으로

인터넷주소자원

DNSSEC이란?

홈으로 > 인터넷주소자원 > 도메인네임시스템(DNS) > DNSSEC이란? > DNSSEC 개념
  • 등장배경
  • DNSSEC 개념
  • DNSSEC 작동원리

DNSSEC 개념

DNSSEC(DNS Security Extensions)은 DNS 데이터 대상의 "데이터 위조-변조 공격"을 방지하기 위한 인터넷 표준기술입니다.

DNS 데이터의 위조-변조 가능성을 원천적으로 차단하기 위해, DNSSEC은 공개키 암호화방식(Public Key Cryptography)의 전자서명 기술을 DNS 체계에 도입 적용하였습니다. 공개키 암호화방식의 전자서명 메커니즘은 금융권 등에서 널리 사용하는 공인인증서가 사용하고 있는 기술이기도 합니다.

<DNSSEC은 전자데이터로 된 DNS정보에 서명코드를 추가하여 정보를 인증>

DNS정보에 서명코드를 추가



<도메인과 IP주소에 대한 검증 절차가 수행되므로 해커에 의한 데이터 위·변조시 확인 가능>

DNSS정보 검증 절차

보안침해 공격에 대한 DNSSEC이 제공하는 보안성 범위

보안침해 공격에 대한 DNSSEC이 제공하는 보안성 범위 표입니다.
공격유형 방어여부 비고
파밍 (캐시 포이즈닝) 방어/방지 - DNS 데이터 위-변조 방식 이용 공격에 효과적 대응
피싱 해당없음 - 피싱은 유사 도메인네임 사용하지만, 데이터 위-변조에 해당하지 않음
DDoS 공격 해당없음 - DDoS 공격방어 메커니즘이 아님
웜바이러스에 의한 호스트 정보변조 해당없음 - DNSSEC은 DNS 질의응답 절차관련 "데이터 위-변조" 방지기술

DNS 구성체계 중 DNSSEC이 제공하는 보안 안정성 범위

DNSSEC은 인터넷 상의 도메인에 대한 DNS 질의응답 절차 가운데 발생할 수 있는 "DNS 데이터 위-변조" 공격에 대응할 수 있는 보안기술입니다. 권한 DNS서버 간 존 데이터 전송 또는 동적업데이트와 같은 네임서버 관리영역의 동작에 대해서는 별도의 공유키 암호화 방식인 TSIG 기술을 사용하여 보호체계를 적용할 수 있습니다.

DNSSEC이 제공하는 보안 안정성 범위

<DS RR 내용 예>

DNS 구성체계 중 DNSSEC이 제공하는 보안 안정성 범위 표입니다.
구분 보호영역 여부 비고
권한 DNS서버 ⇔ 캐시 DNS서버 보호 - DNS 질의응답 절차 중 DNS 데이터 위-변조 공격검출 수단제공
캐시 DNS서버 ⇔ 사용자 호스트 조건부 보호 - 사용자 호스트에 서명검증 가능한 리졸버(Validator) 사용시 보호
- 그렇지 않은 경우, 보호할 수 없음
권한 DNS서버 간 존 전송 대상 아님 - TSIG 적용 인증체계로 보호
권한 DNS서버 동적 업데이트 대상 아님 - TSIG 적용 인증체계로 보호