KISA 운영 홈페이지 보기
- 대표홈페이지
- 한국인터넷진흥원
- 인터넷침해대응
- 인터넷침해대응센터
- 암호이용활성화
- 불법스팸대응센터
- 실시간스팸차단리스트
- 산업지원 및 인력양성
- 정보보호산업지원센터
- 사이버보안인재센터
- 정보보안 국가기술자격
> 인터넷주소자원 > 도메인네임시스템(DNS) > DNSSEC이란? > DNSSEC 개념
DNSSEC(DNS Security Extensions)은 DNS 데이터 대상의 "데이터 위조-변조 공격"을 방지하기 위한 인터넷 표준기술입니다.
DNS 데이터의 위조-변조 가능성을 원천적으로 차단하기 위해, DNSSEC은 공개키 암호화방식(Public Key Cryptography)의 전자서명 기술을 DNS 체계에 도입 적용하였습니다. 공개키 암호화방식의 전자서명 메커니즘은 금융권 등에서 널리 사용하는 공인인증서가 사용하고 있는 기술이기도 합니다.
<DNSSEC은 전자데이터로 된 DNS정보에 서명코드를 추가하여 정보를 인증>
<도메인과 IP주소에 대한 검증 절차가 수행되므로 해커에 의한 데이터 위·변조시 확인 가능>
| 공격유형 | 방어여부 | 비고 |
|---|---|---|
| 파밍 (캐시 포이즈닝) | 방어/방지 | - DNS 데이터 위-변조 방식 이용 공격에 효과적 대응 |
| 피싱 | 해당없음 | - 피싱은 유사 도메인네임 사용하지만, 데이터 위-변조에 해당하지 않음 |
| DDoS 공격 | 해당없음 | - DDoS 공격방어 메커니즘이 아님 |
| 웜바이러스에 의한 호스트 정보변조 | 해당없음 | - DNSSEC은 DNS 질의응답 절차관련 "데이터 위-변조" 방지기술 |
DNSSEC은 인터넷 상의 도메인에 대한 DNS 질의응답 절차 가운데 발생할 수 있는 "DNS 데이터 위-변조" 공격에 대응할 수 있는 보안기술입니다. 권한 DNS서버 간 존 데이터 전송 또는 동적업데이트와 같은 네임서버 관리영역의 동작에 대해서는 별도의 공유키 암호화 방식인 TSIG 기술을 사용하여 보호체계를 적용할 수 있습니다.
<DS RR 내용 예>
| 구분 | 보호영역 여부 | 비고 |
|---|---|---|
| 권한 DNS서버 ⇔ 캐시 DNS서버 | 보호 | - DNS 질의응답 절차 중 DNS 데이터 위-변조 공격검출 수단제공 |
| 캐시 DNS서버 ⇔ 사용자 호스트 | 조건부 보호 | - 사용자 호스트에 서명검증 가능한 리졸버(Validator) 사용시 보호 - 그렇지 않은 경우, 보호할 수 없음 |
| 권한 DNS서버 간 존 전송 | 대상 아님 | - TSIG 적용 인증체계로 보호 |
| 권한 DNS서버 동적 업데이트 | 대상 아님 | - TSIG 적용 인증체계로 보호 |
