.jpg)
ICANN, 내년 1사분기 이후 루트 네임서버 루트존 DNSSEC 암호키 교체 시행
캐시 DNS 서버 관리자, DNSSEC 활성화 여부 점검 및 암호키 정보 최신으로 바꿔야
[보안뉴스 김경애 기자] 국제인터넷주소기구(ICANN)의 루트 네임서버 루트존 DNSSEC 암호키 교체가 내년 1사분기 이후에 진행될 예정이다.
.jpg)
[이미지=한국인터넷진흥원]
이번 DNSSEC 암호키 교체는 장기간 동일한 서명키가 사용됨에 따라 생길 수 있는 보안 문제를 예방하기 위해 새로운 서명용 암호화키를 생성·교체하는 작업이다.
ICANN에서는 DNS 정보의 위·변조로 발생할 수 있는 파밍 등 보안 사고를 예방하기 위해 2010년부터.kr, .com 등 최상위도메인 정보를 관리하는 루트 네임서버 루트존에 DNSSEC을 적용하고 있다.
이에 따라 한국인터넷진흥원(KISA)은 국내 ISP 등 캐시 네임서버 운영자들에게 “인터넷 접속 장애 등 피해가 발생하지 않도록 내년 1사분기 안에 DNSSEC 암호키 정보를 최신으로 반드시 갱신할 것”을 당부했다.
만약 내년 1사분기 교체 시행시점 이전에 최신 DNS SW로 업그레이드하는 등 ICANN 루트 네임서버의 루트존 DNSSEC 암호키 정보를 최신으로 갱신하지 않으면, 해당 캐시 네임서버를 이용하는 국내 이용자들이 인터넷 사이트에 접속하지 못하는 일이 발생할 수 있다.
DNSSEC 활성화 여부, 어떻게 점검하나
따라서 캐시 DNS 서버 관리자는 DNSSEC 활성화 여부를 점검해야 한다. 만약 DNSSEC가 활성화가 되어 있지 않으면 별도의 조치가 필요없지만, 활성화되어 있다면 신규 루트존 KSK 반영 여부를 점검해야 한다.
[이미지=한국인터넷진흥원]
DNSSEC 활성화 여부 점검방법은 먼저 dig @[DNS_IP주소] dnssec-failed.org A를 실행한다. dnssec-failed.org 도메인은 미국 ISP Comcast사가 점검용으로 제공 중이며, 의도적으로 서명검증을 오류 설정하는 도메인이다. DNSSEC 서명검증 적용 캐시 DNS 서버는 이 도메인의 질의에 대해 항상 SERVFAIL 오류응답을 처리하고, DNSSEC 서명검증 미적용 캐시 DNS 서버에는 A 레코드를 정상 응답으로 처리한다.
이 때문에 dnssec-failed.org A를 실행했을 때 NOERROR라고 표기된 경우는 정상응답이며, DNSSEC 서명검증이 미적용된 비활성화 상태로 볼 수 있다. 따라서 별다른 조치를 취하지 않아도 된다. 또한, IP 주소 정상 응답도 비활성화 상태로 이해하면 된다.
그러나 dig @[DNS_IP주소] dnssec-failed.org A를 실행하여 SERVFAIL 오류 응답으로 표기될 경우 DNSSEC 서명검증이 활성화된 상태로 신규 루트존 KSK 반영 여부를 점검해야 한다.
신규 루트존 KSK 반영 여부는 캐시 DNS 서버의 루트 서명키 선반영 여부를 먼저 확인해야 한다.
이와 관련 한국인터넷진흥원 DNSSEC 기술지원 담당자는 “신규 루트존 KSK가 미리 반영되어 있는 경우 별다른 조치를 취하지 않아도 되지만 그렇지 않은 경우 국내에서 가장 많이 사용하고 있는 BIND DNS와 윈도우 서버 이용자, 그리고 기업에서는 PowerDNS Recursor 캐시 DNS 서버에 따라 각각에 맞는 조치를 취해야 한다”고 강조했다.
국내 사용자와 기관에서 많이 사용하고 있는 BIND DNS의 경우 BIND rndc로 설정되어 있으면 rndc sectoots 명령으로 확인해 서명키가 ID 19036과 20326이 모두 표시되면 정상 처리 진행중으로 별도 조치가 필요 없다.
그러나 rndc 기능이 미설정으로 되어 있을 경우 BIND DNS 서버의 루트 서명키 자동 업데이트 관리 파일 내용을 체크해야 한다. BIND DNS용 디렉토리에서 managed-keys.bind 파일 또는 *.mkeys 파일을 찾아 해당 파일 내용을 아래와 같이 출력한 후, KEYDATA 항목이 2개 존재하는 경우, 루트 도메인 서명키 자동 업데이트가 정상적으로 동작하는 것으로 조치할 필요가 없다.
만약 KEYDATA Key ID 19036 항목만 존재하는 경우에는 최신버전인 BIND9 DNS 소프트웨어로 업그레이드 조치를 해야 한다.
다음으로 윈도우 서버 2012 이상 DNS 사용자는 ICANN, ‘Updating of DNS Validating Resolvers with the Latest Trust Anchor’ 문서의 ‘Windows Server 2012R2 and 2016’ 섹션을 참조(https://www.icann.org/dns-resolvers-checking-current-trust-anchors)해 점검하고 조치해야 한다.
PowerDNS Recursor 캐시 DNS 서버의 경우 루트 서명키 자동 업데이트 기능이 없으므로 PowerDNS Recursor 4.0.5 버전보다 이전 버전일 경우 소프트웨어 업그레이드를 진행해야 한다.
따라서 신규 루트존 KSK가 선반영되지 않았을 경우 신규 서명키를 포함한 네임서버 소프트웨어 버전으로 업그레이드가 필요하다. 2017년 6월 이후 배포하는 최근 네임서버 소프트웨어는 신규 루트 서명키를 자체 포함하고 있기 때문에 네임서버 소프트웨어 버전을 업데이트해 조치할 수 있다.
여건상 소프트웨어 업그레이드 조치가 불가능한 경우 KISA에 기술지원 요청을 받을 수 있으며, KISA는 이번 DNSSEC 암호키 교체 시행과 관련해 비상 상황에 대비하기 위해 전담 기술지원 헬프데스크(전화:02-405-6464, 이메일: in_dnssec@nic.or.kr)를 운영할 계획이다.
한편, ICANN은 애초에 10월 12일 오전 1시에 암호키 갱신 작업을 진행할 예정이었는데, 전 세계 준비 미비를 이유로 암호키 갱신시점을 내년 1사분기 이후로 연기했다고 갑작스럽게 알려온 것으로 전해졌다.
[김경애 기자(boan3@boannews.com)]
캐시 DNS 서버 관리자, DNSSEC 활성화 여부 점검 및 암호키 정보 최신으로 바꿔야
[보안뉴스 김경애 기자] 국제인터넷주소기구(ICANN)의 루트 네임서버 루트존 DNSSEC 암호키 교체가 내년 1사분기 이후에 진행될 예정이다.
[이미지=한국인터넷진흥원]
이번 DNSSEC 암호키 교체는 장기간 동일한 서명키가 사용됨에 따라 생길 수 있는 보안 문제를 예방하기 위해 새로운 서명용 암호화키를 생성·교체하는 작업이다.
ICANN에서는 DNS 정보의 위·변조로 발생할 수 있는 파밍 등 보안 사고를 예방하기 위해 2010년부터.kr, .com 등 최상위도메인 정보를 관리하는 루트 네임서버 루트존에 DNSSEC을 적용하고 있다.
이에 따라 한국인터넷진흥원(KISA)은 국내 ISP 등 캐시 네임서버 운영자들에게 “인터넷 접속 장애 등 피해가 발생하지 않도록 내년 1사분기 안에 DNSSEC 암호키 정보를 최신으로 반드시 갱신할 것”을 당부했다.
만약 내년 1사분기 교체 시행시점 이전에 최신 DNS SW로 업그레이드하는 등 ICANN 루트 네임서버의 루트존 DNSSEC 암호키 정보를 최신으로 갱신하지 않으면, 해당 캐시 네임서버를 이용하는 국내 이용자들이 인터넷 사이트에 접속하지 못하는 일이 발생할 수 있다.
DNSSEC 활성화 여부, 어떻게 점검하나
따라서 캐시 DNS 서버 관리자는 DNSSEC 활성화 여부를 점검해야 한다. 만약 DNSSEC가 활성화가 되어 있지 않으면 별도의 조치가 필요없지만, 활성화되어 있다면 신규 루트존 KSK 반영 여부를 점검해야 한다.
[이미지=한국인터넷진흥원]
DNSSEC 활성화 여부 점검방법은 먼저 dig @[DNS_IP주소] dnssec-failed.org A를 실행한다. dnssec-failed.org 도메인은 미국 ISP Comcast사가 점검용으로 제공 중이며, 의도적으로 서명검증을 오류 설정하는 도메인이다. DNSSEC 서명검증 적용 캐시 DNS 서버는 이 도메인의 질의에 대해 항상 SERVFAIL 오류응답을 처리하고, DNSSEC 서명검증 미적용 캐시 DNS 서버에는 A 레코드를 정상 응답으로 처리한다.
이 때문에 dnssec-failed.org A를 실행했을 때 NOERROR라고 표기된 경우는 정상응답이며, DNSSEC 서명검증이 미적용된 비활성화 상태로 볼 수 있다. 따라서 별다른 조치를 취하지 않아도 된다. 또한, IP 주소 정상 응답도 비활성화 상태로 이해하면 된다.
그러나 dig @[DNS_IP주소] dnssec-failed.org A를 실행하여 SERVFAIL 오류 응답으로 표기될 경우 DNSSEC 서명검증이 활성화된 상태로 신규 루트존 KSK 반영 여부를 점검해야 한다.
신규 루트존 KSK 반영 여부는 캐시 DNS 서버의 루트 서명키 선반영 여부를 먼저 확인해야 한다.
이와 관련 한국인터넷진흥원 DNSSEC 기술지원 담당자는 “신규 루트존 KSK가 미리 반영되어 있는 경우 별다른 조치를 취하지 않아도 되지만 그렇지 않은 경우 국내에서 가장 많이 사용하고 있는 BIND DNS와 윈도우 서버 이용자, 그리고 기업에서는 PowerDNS Recursor 캐시 DNS 서버에 따라 각각에 맞는 조치를 취해야 한다”고 강조했다.
국내 사용자와 기관에서 많이 사용하고 있는 BIND DNS의 경우 BIND rndc로 설정되어 있으면 rndc sectoots 명령으로 확인해 서명키가 ID 19036과 20326이 모두 표시되면 정상 처리 진행중으로 별도 조치가 필요 없다.
그러나 rndc 기능이 미설정으로 되어 있을 경우 BIND DNS 서버의 루트 서명키 자동 업데이트 관리 파일 내용을 체크해야 한다. BIND DNS용 디렉토리에서 managed-keys.bind 파일 또는 *.mkeys 파일을 찾아 해당 파일 내용을 아래와 같이 출력한 후, KEYDATA 항목이 2개 존재하는 경우, 루트 도메인 서명키 자동 업데이트가 정상적으로 동작하는 것으로 조치할 필요가 없다.
만약 KEYDATA Key ID 19036 항목만 존재하는 경우에는 최신버전인 BIND9 DNS 소프트웨어로 업그레이드 조치를 해야 한다.
다음으로 윈도우 서버 2012 이상 DNS 사용자는 ICANN, ‘Updating of DNS Validating Resolvers with the Latest Trust Anchor’ 문서의 ‘Windows Server 2012R2 and 2016’ 섹션을 참조(https://www.icann.org/dns-resolvers-checking-current-trust-anchors)해 점검하고 조치해야 한다.
PowerDNS Recursor 캐시 DNS 서버의 경우 루트 서명키 자동 업데이트 기능이 없으므로 PowerDNS Recursor 4.0.5 버전보다 이전 버전일 경우 소프트웨어 업그레이드를 진행해야 한다.
따라서 신규 루트존 KSK가 선반영되지 않았을 경우 신규 서명키를 포함한 네임서버 소프트웨어 버전으로 업그레이드가 필요하다. 2017년 6월 이후 배포하는 최근 네임서버 소프트웨어는 신규 루트 서명키를 자체 포함하고 있기 때문에 네임서버 소프트웨어 버전을 업데이트해 조치할 수 있다.
여건상 소프트웨어 업그레이드 조치가 불가능한 경우 KISA에 기술지원 요청을 받을 수 있으며, KISA는 이번 DNSSEC 암호키 교체 시행과 관련해 비상 상황에 대비하기 위해 전담 기술지원 헬프데스크(전화:02-405-6464, 이메일: in_dnssec@nic.or.kr)를 운영할 계획이다.
한편, ICANN은 애초에 10월 12일 오전 1시에 암호키 갱신 작업을 진행할 예정이었는데, 전 세계 준비 미비를 이유로 암호키 갱신시점을 내년 1사분기 이후로 연기했다고 갑작스럽게 알려온 것으로 전해졌다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)