Defaults.Exposed › 보고서
DNSSEC 역설: 제대로 설정하는 도메인보다 망가뜨리는 도메인이 더 많다 (2026)
게시일 2026-06-29
2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 평가된 도메인에 대한 집계 인구조사 데이터. 평가 방법을 참고하세요.
DNSSEC는 도메인을 탈취하기 더 어렵게 만들어야 하지만, 너무 까다로운 탓에 제대로 작동하는 도메인보다 망가진 도메인이 더 많습니다. 261백만 개 도메인 중 **3.02%**는 서명되었으나 망가진 DNSSEC를 가진 반면, 유효한 경우는 단 **1.99%**에 불과합니다. 나머지 **94.99%**는 아예 시도조차 하지 않습니다. DNS는 보안 논의가 잊어버리는 계층이며, 수치가 이를 보여줍니다.
데이터가 말하는 것
| DNSSEC 상태 | 도메인 비율 |
|---|---|
| 유효 (서명됨, 작동) | 1.99% |
| 망가짐 (서명됨, 잘못 구성됨) | 3.02% |
| 전혀 서명되지 않음 | 94.99% |
유효 행보다 망가짐 행에 더 많은 도메인이 있습니다. 이것이 바로 역설입니다. DNSSEC를 켜는 소수 가운데 대부분이 잘못 설정합니다.
왜 망가진 DNSSEC가 DNSSEC 미적용보다 더 나쁜가요?
서명되지 않은 DNSSEC는 단지 보호되지 않은 상태일 뿐입니다. 망가진 DNSSEC는 능동적으로 위험합니다. 검증을 수행하는 리졸버는 서명이 확인되지 않는 도메인의 조회를 거부하므로, 잘못된 구성 하나로 인터넷의 상당 부분에서 도메인이 완전히 오프라인이 될 수 있습니다 — 웹사이트도, 이메일도 없이 — 수정될 때까지요. 당신을 보호하기 위한 바로 그 기능이 스스로 초래한 장애가 되는 것입니다. 이 위험과 함께 진정으로 까다로운 키 롤오버 및 등록기관 인계 때문에 채택률이 바닥 근처에 머무릅니다.
더 넓은 DNS 보안 격차
DNSSEC만 방치된 DNS 제어 수단인 것은 아닙니다. CAA 레코드 — 누가 당신 도메인의 TLS 인증서를 발급할 수 있는지 제한하고 잘못된 발급 공격의 한 부류를 조용히 차단합니다 — 는 도메인의 단 **1.56%**에만 존재합니다. DNS는 기초입니다. 탈취되면 하류의 다른 모든 제어 수단이 우회될 수 있습니다. 그런데도 가장 적은 소유자만이 손대는 계층입니다.
DNSSEC를 켜야 할까요?
대부분의 소규모 사업체에게 우선순위는 이메일 인증과 HTTPS가 먼저입니다 — 이것들이 매일 실제로 마주하는 공격을 막아줍니다. DNSSEC도 중요하지만, 제대로 했을 때만입니다. 망가진 서명은 없는 것보다 더 나쁩니다. 활성화한다면 서명과 키 롤오버를 대신 관리해 주는 제공업체를 사용하고, 이후 끝까지 검증되는지 확인하세요. DNSSEC 수정과 CAA 수정을 참고하세요.
자주 묻는 질문
망가진 DNSSEC가 정말 DNSSEC 미적용보다 더 나쁜가요? 네. DNSSEC가 없다는 것은 단지 추가 보호가 없다는 뜻입니다. 망가진 DNSSEC는 검증 네트워크에서 도메인이 조회되지 않게 만들 수 있어, 수정될 때까지 사이트와 이메일이 오프라인이 됩니다.
어느 정도 비율의 도메인이 DNSSEC를 올바르게 사용하나요? 2026-06-29 기준 단 1.99%로, 서명되었으나 망가진 3.02%보다 적습니다.
CAA 레코드란 무엇이며 필요한가요? CAA는 어떤 인증 기관이 당신 도메인의 인증서를 발급할 수 있는지 제한하여 잘못된 발급의 한 부류를 차단합니다. 도메인의 단 1.56%만이 이를 설정합니다. 저렴하고 위험이 낮은 추가 조치입니다.
소규모 사업체가 DNSSEC를 우선시해야 하나요? 보통 이메일 인증과 HTTPS 다음입니다. 그것들을 먼저 하고, 올바르게 관리할 수 있을 때만 DNSSEC를 추가하세요.
도메인의 DNS 보안을 무료로 확인하세요
DNSSEC와 CAA 상태 — 그리고 더 중요한 제어 수단들 — 을 비공개로, 소유자만 볼 수 있게 확인하세요.
도메인 확인하기 → · DNSSEC 수정 → · CAA 수정 → · 평가 방법 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.