범용 DNSSEC

DNSSEC는 DNS의 신뢰성과 무결성을 높여줍니다. 보통 인터넷 전화번호부라고 부르는 DNS는 도메인 이름을 숫자로 나타낸 인터넷 주소로 변환합니다. 하지만 DNS는 기본적으로 안전하지 않은 프로토콜입니다. DNS 레코드의 출처를 보장하지 않고 제공되는 모든 주소를 의심 없이 받아들입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • DNSSEC가 무엇인지 알아보기
  • DNSSEC의 중요성 이해하기
  • Cloudflare에서 DNSSEC 배포를 쉽게 만드는 방법 알아보기

글 링크 복사

Cloudflare는 사용이 편리한 DNSSEC를 제공하며 설정하는 데 몇 분밖에 걸리지 않습니다.

지금 등록

DNSSEC란 무엇입니까?

DNSSEC는 암호화 서명을 통해 DNS 레코드를 확인하여, 이 과정을 거치지 않았다면 안전하지 않았을 프로토콜에 보안 계층을 더해줍니다. DNS 확인자는 레코드와 관련된 서명을 점검하여 요청한 정보가 중간자 공격자가 아닌 권한 네임 서버에서 온 것인지 확인할 수 있습니다. DNSSEC를 사용하면 도메인을 방문하는 사람들이 다른 사람의 웹 서버가 아닌 여러분의 웹 사이트에 있는 콘텐츠를 보도록 보장할 수 있습니다.

DNSSEC 작동 방식을 자세히 알아보세요.

DNSSEC는 왜 중요할까요?

잘 알려져 있는 Kaminsky 공격과 같이, DNS 캐시 포이즈닝 및 응답 위조는 DNS가 생겼을 때부터 글로벌 DNS 인프라에서 알려져 있었던 취약성이었습니다. 캐시 포이즈닝은 공격자가 잘못된 레코드를 저장하도록 DNS 네임 서버를 속이는 경우에 발생합니다. 캐시 항목이 만료될 때까지 해당 네임 서버는 요청하는 모든 사람에게 가짜 DNS 레코드를 반환합니다.

이렇게 하면 웹 사이트로 향하는 트래픽을 공격자가 가로챌 수 있습니다. 방문자가 웹 브라우저에 도메인을 입력하면, 여러분의 웹 사이트로 연결되는 대신에 무언가 잘못되었다는 것도 알지 못한 채 다른 서버로 라우팅되는 것입니다. 공격자는 피싱을 계획하고, 원치 않는 광고를 제공하며, 웹 트래픽을 모니터링하고, 특정 도메인에 대한 액세스를 차단하는 데 DNS 하이재킹을 이용할 수 있습니다.

웹 사이트의 무결성과 평판을 신경쓰고 있다면, DNSSEC를 고려해야 합니다.

범용 DNSSEC 소개

DNSSEC는 암호화 서명을 통해 DNS 레코드를 확인하여, 이 과정을 거치지 않았다면 안전하지 않았을 프로토콜에 보안 계층을 더해줍니다. DNS 확인자는 레코드와 관련된 서명을 점검하여 요청한 정보가 중간자 공격자가 아닌 권한 네임 서버에서 온 것인지 확인할 수 있습니다. DNSSEC를 사용하면 도메인을 방문하는 사람들이 다른 사람의 웹 서버가 아닌 여러분의 웹 사이트에 있는 콘텐츠를 보도록 보장할 수 있습니다.

범용 DNSSEC를 사용하면 웹 자산에 다음과 같은 이점이 있습니다.

  • DNS 중간자 공격으로부터 보호
  • DNS 영역 열거로부터 보호
  • .bank, .trust, .gov TLD 요건을 충족할 사용자 친화적 솔루션

DNSSEC는 루트 DNS 네임 서버까지의 모든 경로에 신뢰 체인을 마련해 중간자 공격을 방지합니다. 이 신뢰 체인은 방문자가 요청한 DNS 레코드가 도중에 변조되지 않았음을 보장해줍니다.

Cloudflare가 DNSSEC를 고유하게 구현 시, elliptic curve cryptography를 활용하여 공격자가 영역을 탐색하고 프라이빗 DNS 레코드를 검색하는 것을 방지합니다.

.bank 및 .trust와 같은 최상위 도메인(TLD)은 방문자에게 신뢰를 전달하도록 설계되었습니다. 도메인 소유자가 DNSSEC 등 다양한 보안 프로토콜을 따르도록 요구하여 신뢰를 전달합니다. 직접 DNSSEC를 구현하기는 어려우며 오류가 발생하기 쉬운 과정이 될 수 있습니다. Cloudflare에서는 몇 번의 클릭만으로 DNSSEC 요건을 충족할 수 있습니다.

대규모 DNSSEC

Cloudflare는 DNSSEC를 통해 하루에 수십억 건의 요청을 보호합니다. 매주 수억 명이 DNS 캐시 포이즈닝 및 중간자 공격으로부터 보호되고 있는 것입니다.

범용 DNSSEC는 세계 최대 규모의 DDoS 공격을 견뎌낸 Cloudflare 네트워크를 기반으로 구축되었습니다. Cloudflare는 DNSSEC 구현이 DDoS 증폭 공격에 악용되지 않도록 특별한 예방 조치까지 취해 놓았습니다. 웹 사이트가 공격을 받고 있더라도 DNS 레코드가 빠르고 효율적으로 방문자에게 반환된다는 점을 믿을 수 있습니다.

Cloudflare는 Montecito Bank & Trust가 도메인을 보호하고 .bank 확장자 요건을 충족하도록 도왔습니다. 자세히 알아보려면 사례 연구를 읽어보세요.

Cloudflare는 DNSSEC를 쉽게 만듭니다

이제 Cloudflare의 모든 웹 사이트에서 DNSSEC를 무료로 사용할 수 있습니다. 고객의 영역에 서명하고 키를 관리하는 어려운 작업은 Cloudflare가 모두 처리합니다. 몇 번의 클릭만으로 DNS 위조로부터 도메인을 보호할 수 있습니다. Cloudflare 대시보드에서 DNSSEC를 활성화하고 registrar에 DNS 레코드 하나를 추가하기만 하면 됩니다.

  1. Cloudflare 대시보드에 로그인하고 계정과 도메인을 선택합니다.
  2. DNS > 설정으로 이동합니다.
  3. DNSSEC에서 DNSSEC 사용을 클릭합니다.
  4. 대화 상자에서는 등록 기관에 DS 레코드를 생성하는 데 도움이 되는 몇 가지 필수 값에 액세스할 수 있습니다. 대화 상자를 닫고 나면 DNSSEC 카드에서 DS 레코드를 클릭하여 이 정보에 액세스할 수 있습니다.
enabling-dnssec

등록 기관이 DS 레코드를 게시하면 도메인에서 DNSSEC가 활성화됩니다. 타사 DNSViz 도구를 사용하여 DNSSEC 구성을 확인할 수 있습니다. 범용 DNSSEC는 Universal SSL, 글로벌 CDN, 자동 WCO(웹 콘텐츠 최적화) 등 다른 Cloudflare 보안 및 성능 주요 기능 모두와 원활하게 작동하도록 설계되었습니다.