DNS 서버 운영자들은 암호키를 교체해야 한다.
한국인터넷진흥원(KISA)은 국제인터넷주소기구(ICANN)의 28일 DNS 서버 암호 키 권고를 안내하며, DNS 암호키 정보를 최신으로 갱신할 것으로 당부했다.
ICANN은 내년 1분기 루트 네임서버 루트 존 DNSSEC 암호키 교체를 시행한다. 따라서 국내 ISP 등 캐시 네임서버 운영자들은 인터넷 접속 장애 등 피해가 발생하지 않도록 교체 시점 이전에 DNSSEC 암호키 정보를 최신으로 갱신해야 한다.
DNS는 사람이 인식할 수 있는 웹사이트의 도메인 이름을 컴퓨터가 인식하는 IP 주소로 변환해주는 서버이며, DNSSEC은 DNS 질의-응답정보의 위‧변조를 방지하기 위해 DNS 정보에 공개키 암호화 기반(PKI)의 전자서명·인증 기능을 추가한 국제 인터넷 표준기술이다.
ICANN은 DNS 정보의 위·변조로 발생할 수 있는 파밍 등 보안 사고를 예방하기 위해 2010년부터 .kr, .com 등 최상위도메인 정보를 관리하는 루트 네임서버 루트 존에 DNSSEC을 적용하고 있다.
이번 DNSSEC 암호키 교체는 장기간 동일한 서명키가 사용됨에 따라 생길 수 있는 보안 문제를 예방하기 위해 새로운 서명용 암호화키를 생성·교체하는 작업이다. 애초 ICANN은 한국 시간 2017년 10월 12일 새벽 1시에 암호키를 교체하기로 했으나, 내년 1분기로 미뤘다.
이에 따라 국내 ISP 등 캐시 네임서버 운영자들은 교체 시행시점 이전에 최신 DNS 소프트웨어로 업그레이드하는 등 ICANN 루트 네임서버의 루트 존 DNSSEC 암호키 정보를 최신으로 갱신해야 하며, 그렇지 않으면 해당 캐시 네임서버를 이용하는 국내 이용자들이 인터넷 사이트에 접속하지 못하는 일이 발생할 수 있다.
KISA는 이번 DNSSEC 암호키 교체 시행과 관련하여 국내 캐시 네임서버를 운영하고 있는 ISP 및 인터넷주소자원 운영기관 등에 조치방법을 상세 안내하였고, 비상 상황에 대비하기 위해 전담 기술지원 헬프데스크(02-405-6464, in_dnssec@nic.or.kr)를 운영할 계획이다.
