Defaults.Exposed › 수정 › DNSSEC

DNSSEC 수정 방법

DNSSEC는 귀사 도메인의 주소록에 붙이는 디지털 봉인입니다. 인터넷이 '이 도메인은 어디에 있나요?'에 대한 답변이 실제로 귀사로부터 왔으며 도중에 변조되지 않았다는 것을 증명할 수 있게 합니다. 없으면 답변이 위조될 수 있으며 방문자는 조용히 다른 곳으로 보내질 수 있습니다.

비즈니스에 미치는 핵심 영향: DNSSEC 없이 DNS 답변을 오염시킬 수 있는 공격자는 고객이 브라우저에 귀사 실제 도메인 이름을 표시하는 동안 귀사 사이트의 완벽한 복사본으로 안내할 수 있습니다. 로그인, 카드 번호, 개인 데이터가 수집되고 귀사는 환불과 민원에서야 알게 됩니다. 반쪽짜리 DNSSEC 설정은 더 나쁩니다: 귀사가 알아챌 오류 없이 점점 더 많은 방문자에게 사이트에 접근할 수 없게 할 수 있습니다.

발생 가능한 비용

• 귀사 실제 도메인을 입력한 방문자가 비밀번호와 카드 정보를 캡처하는 유사 사이트로 조용히 리디렉션됩니다 — 주소 표시줄이 내내 귀사 도메인을 보여주기 때문에 사기 보고가 올 때까지 아무도 의심하지 않습니다.
• 이메일이 조용히 우회됩니다: 공격자가 귀사 메일 서버에 대한 답변을 위조하여 메시지를 읽거나 가로막고 귀사에게 코드를 이메일로 보내는 계정의 비밀번호를 재설정합니다 — 메일함을 건드리지 않고.
• 반쪽짜리 DNSSEC 설정(공개 봉인은 있지만 일치하는 키가 없는)이 대형 ISP와 기업 네트워크의 고객에게 웹사이트와 이메일이 무작위로 실패하게 합니다 — 재현할 수 없는 간헐적 '귀사 사이트가 저에게 다운됩니다' 보고.
• 잠재 고객의 보안 팀이 계약 전 사전 확인을 실행하여 DNSSEC가 없는 것을 확인하고 기본 사항에 취약하다고 표시합니다 — 무료 설정으로 거래를 위험에 빠뜨립니다.
• 공공 부문과 더 큰 B2B 구매자들이 점점 더 DNSSEC를 기준선으로 기대합니다(NIS2 같은 규정에 명시되어 있습니다); 없으면 대화가 시작되기 전에 조용히 입찰 자격을 박탈당합니다.

중요한 이유. DNS는 인터넷의 주소록이며 기본적으로 답변이 서명 없이 이동합니다 — 위조된 답변을 삽입할 수 있는 사람은 브라우저에 귀사 실제 도메인이 여전히 표시되는 동안 고객과 이메일을 원하는 곳으로 보낼 수 있습니다. DNSSEC는 그 답변에 변조 방지 봉인을 붙여 귀사로부터 진정으로 왔다는 것을 확인할 수 있게 합니다. 대부분의 공급업체에서 무료이며 실제 비용은 잘못 설정하는 것입니다.

쉬운 설명

누군가 귀사 웹사이트를 방문하거나 이메일을 보낼 때마다 컴퓨터가 인터넷에 간단한 질문을 먼저 합니다: “이 도메인이 실제로 어디에 있나요?” 귀사 사이트와 메일 서버의 주소 집합인 답변이 DNS(인터넷의 주소록)에서 돌아옵니다.

불편한 부분: 기본적으로 그 답변들이 서명 없이 이동합니다. 답변이 진짜임을 증명하는 것이 없습니다. 누군가 위조된 답변을 그 대화에 삽입할 수 있다면 — 그리고 그렇게 하는 잘 알려진 검증된 방법이 있습니다 — 방문자의 컴퓨터가 기꺼이 수락합니다. 그 순간부터 방문자는 브라우저가 주소 표시줄에 귀사 도메인 이름을 여전히 표시하는 동안 공격자의 서버와 대화할 수 있습니다.

DNSSEC가 수정입니다. DNS 답변에 변조 방지 디지털 봉인을 추가합니다. DNSSEC가 켜져 있으면 인터넷이 답변이 진정으로 귀사로부터 왔으며 도중에 변경되지 않았다는 것을 수학적으로 확인할 수 있습니다.

이 페이지는 검사가 함께 보는 두 부분을 다룹니다: 봉인이 게시되었는지(DS 레코드)와 그 뒤의 일치하는 키가 실제로 존재하는지(DNSKEY 레코드). 둘 다 없는 것은 고유한 문제이기 때문에 둘 다 중요합니다.

비즈니스 피해 사례

• 보이지 않는 리디렉션. 공격자가 귀사 도메인의 DNS 답변을 오염시킵니다. 고객이 귀사 실제 웹 주소를 입력하고 표시줄에서 귀사 실제 도메인을 보고 공격자가 호스팅하는 귀사 로그인이나 결제 페이지의 흠잡을 데 없는 복사본에 도착합니다. 카드 번호와 비밀번호가 범죄자에게 직접 갑니다. “귀사 사이트를 통해 해킹당했습니다” 전화에서야 알게 됩니다.

• 조용한 이메일 가로채기. DNS는 귀사 웹사이트만을 가리키는 것이 아닙니다; 메일 서버를 가리킵니다. 그 답변을 위조하면 들어오는 이메일이 먼저 공격자를 통해 우회될 수 있습니다.

• 재현할 수 없는 장애. 반쪽짜리 DNSSEC 설정에서 옵니다. 공개 봉인(DS)이 등록업체에 있지만 일치하는 키(DNSKEY)가 없거나 잘못되어 있습니다. DNSSEC를 확인하는 ISP와 기업 네트워크의 방문자들이 도메인을 전혀 해석할 수 없습니다. 귀사와 귀사 기술 담당자에게는 사이트와 이메일이 잘 작동하지만 실제 고객 일부는 “이 사이트에 접근할 수 없습니다”를 받습니다.

• 잃은 거래. 잠재 고객이 서명 전 도메인의 일상적인 사전 계약 스캔을 실행합니다. DNSSEC가 없으면 “DNS 보안 기본 사항”에 빨간 표시가 나타납니다.

• 자격이 부여되지 않는 입찰. 규정과 구매자 체크리스트가 점점 더 DNSSEC를 예상 기준선 위생으로 명명합니다(NIS2의 DNS 보안 조항에 참조되어 있습니다).

실제 내용

DNSSEC는 신뢰 체인으로 작동하며 서로 동의해야 하는 두 가지 작동 부품이 있습니다.

DNSKEY — 귀사 키. DNS 공급업체가 암호화 키를 보유하고 DNS 레코드에 서명하는 데 사용합니다. 그 키의 공개 반쪽이 DNSKEY 레코드로 게시됩니다.

DS 레코드 — 키를 보증하는 지문. DS(위임 서명자) 레코드라고 하는 그 키의 짧은 지문이 한 수준 위에 — 등록업체를 통해 도메인의 레지스트리에 — 게시됩니다. 이것이 나머지 인터넷이 귀사 키를 신뢰할 수 있게 합니다.

DNSSEC가 실제로 보호하려면 둘 다 있고 일치해야 합니다:

• DS 있음 + DNSKEY 있음 및 일치 → 좋음. 신뢰 체인이 완전합니다. 위조된 답변이 거부됩니다. 이것이 “통과” 상태입니다.
• DS 없음(DNSKEY도 없음) → DNSSEC가 단순히 켜져 있지 않음. 보호가 없지만 아무것도 손상되지 않습니다. 가장 일반적인 “아직 완료되지 않은” 상태입니다.
• DS 있음, DNSKEY 없거나 일치하지 않음 → 손상됨, 꺼진 것보다 나쁨. 인터넷이 없는 키를 가리키는 게시된 봉인을 봅니다. 검증 리졸버가 도메인이 변조되었다고 결론 짓고 해석을 거부합니다 — 위에서 설명한 간헐적 장애를 일으킵니다. 이것이 수정해야 할 가장 긴급한 상태이며 검사가 높은 심각도로 표시합니다.
• DNSKEY 있음, 등록업체에 DS 없음 → 켜졌지만 활성화되지 않음. 레코드에 서명했지만 지문이 한 수준 위에 등록되지 않아 나머지 인터넷이 신뢰할 방법이 없습니다.

좋은 상태를 한 줄로: 라이브 DNSKEY와 지문이 일치하는 등록업체의 DS 레코드, 둘 다 빠른 조회로 확인.

수정 방법 (무료, 약 10~30분)

도메인이나 웹사이트를 관리하는 사람에게 이 섹션을 전달하세요. 대부분의 공급업체에서 무료이며 두 반쪽이 동기화되도록 신중하게 수행하는 것만이 유일한 비용입니다.

황금 규칙: 먼저 서명을 활성화하고(DNSKEY 생성), 그런 다음 등록업체에 DS 레코드를 게시하세요 — 절대 반대 순서로 하지 마세요. 키가 존재하기 전에 DS를 게시하는 것이 장애를 일으키는 것입니다.

간단한 경로(권장 — Cloudflare):

1. Cloudflare에서 Cloudflare가 실제로 DNS를 실행하는지 확인합니다(네임서버가 Cloudflare를 가리킵니다).
2. DNS → 설정 → DNSSEC → DNSSEC 활성화로 이동합니다. Cloudflare가 키를 자동으로 생성하고 관리합니다(DNSKEY 측 자동 생성).
3. Cloudflare가 등록업체에 게시할 DS 레코드 세부 정보를 보여줍니다.
4. 도메인 등록업체(예: GoDaddy, Namecheap, OVH)에 로그인하여 DNSSEC 섹션을 찾습니다. Cloudflare가 제공한 DS 값을 붙여넣습니다.
5. 완전한 전파를 위해 24~48시간을 기다립니다. 사이트와 이메일은 내내 작동합니다.

다른 DNS 공급업체(AWS Route 53, 웹 호스트 등):

1. DNS 공급업체의 제어 패널에서 DNSSEC / “이 영역 서명”을 활성화합니다. 이것이 서명 키를 생성하고 DNSKEY 레코드를 게시합니다.
2. 공급업체가 생성하는 DS 레코드를 복사합니다.
3. DNSSEC 설정 아래 등록업체에서 DS 레코드를 추가합니다.
4. 등록업체가 수락했는지 확인하고 전파를 기다립니다.

플랫폼 참고:

• Cloudflare — 한 번의 클릭으로 활성화, 그런 다음 등록업체에서 하나의 DS 붙여넣기. 단연 가장 쉬운 경로.
• AWS Route 53 — 호스팅 영역에서 DNSSEC 서명을 활성화하고 도메인 등록업체에 DS 레코드를 추가합니다.
• Microsoft 365 / Google Workspace — 이것들은 이메일을 실행하며 일반적으로 DNS 영역이 아닙니다. DNSSEC는 DNS 레코드가 실제로 있는 곳(종종 등록업체, 호스트 또는 Cloudflare)에서 활성화됩니다.
• DNS 공급업체가 DNSSEC를 전혀 지원하지 않는 경우? 이것은 구형 또는 저가 호스트에서 흔합니다. 깔끔한 수정은 지원하는 공급업체로 DNS 관리를 이전하는 것(Cloudflare는 무료)입니다.

작동 확인:

• dig DS yourdomain.com 및 dig DNSKEY yourdomain.com 실행 — 둘 다 레코드를 반환해야 합니다.
• 또는 무료 온라인 DNSSEC 검사기를 사용하여 녹색/유효한 신뢰 체인을 확인합니다.
• 둘 다 일치하는 레코드를 반환할 때까지 완료로 간주하지 마세요. DNSKEY가 없는 DS는 손상된 상태입니다 — 즉시 수정하거나 제거하세요.

흔한 실수

• 키가 존재하기 전에 DS를 게시. 가장 큰 피해 실수: DNS 공급업체에서 서명이 실제로 활성화되기 전에 등록업체에 DS 레코드를 추가하는 것. 이것이 “게시된 봉인, 없는 키” 상태를 만들어 도메인을 DNSSEC를 확인하는 방문자에게 해석 불가능하게 만듭니다.
• 공급업체 전환 후 오래된 DS 남기기. DNS 공급업체를 이전하거나 서명을 비활성화하지만 등록업체에서 이전 DS 레코드를 제거하거나 업데이트하는 것을 잊으면 더 이상 존재하지 않는 키를 가리킵니다.
• 1단계에서 중단. DNS 공급업체에서 서명을 활성화하지만(DNSKEY 생성) 등록업체에 DS를 추가하지 않습니다. DNS 대시보드에서 모든 것이 “켜짐”으로 보이지만 DS가 없으면 보호가 활성화되지 않습니다.
• HTTPS나 이메일 인증이 이미 커버한다고 가정. 자물쇠와 이메일 인증(SPF / DKIM / DMARC)은 가치 있지만 다른 문제를 해결합니다. 이것들 중 어느 것도 위조된 DNS 답변이 방문자를 처음부터 잘못된 곳으로 보내는 것을 막지 않습니다.
• 활성화 후 모니터링 없음. 키가 교체되고 공급업체가 변경되고 레코드가 편집됩니다. 오늘 완벽한 설정이 몇 달 후 조용히 손상될 수 있습니다.

등급에서의 위치

두 검사 모두 DNS 보안 점수에 영향을 미칩니다. DS 레코드 검사가 두 가지 중 더 높은 우선순위입니다: 없는 DS는 실제 격차이며 실패로 채점됩니다. DNSKEY 검사는 체인의 나머지가 온전한지 확인합니다 — 일치하는 DS 와 DNSKEY 둘 다 있을 때만 통과하고 위험한 “DS-없는-키” 손상 상태를 높은 심각도로 표시합니다.

호스트에서 설정하기

주요 제공업체별 단계별 안내:

• GoDaddy에서 DNSSEC 설정하기
• Namecheap에서 DNSSEC 설정하기
• Cloudflare에서 DNSSEC 설정하기
• AWS Route 53에서 DNSSEC 설정하기

FAQ