Defaults.Exposed › 설정 › DNSSEC

AWS Route 53에서 DNSSEC 설정하는 방법

Route 53에서 KMS 키로 DNSSEC 서명을 활성화하고 도메인 등록 업체에 DS 레코드를 추가하여 DNS 응답 위변조를 방지하세요.

비즈니스에 미치는 영향

누군가 귀사 웹사이트를 방문하거나 이메일을 보낼 때, 그들의 컴퓨터는 먼저 DNS 시스템에 올바른 주소를 질의합니다. 그 응답은 일반적으로 서명 없이 전송되므로, 조회를 조작할 수 있는 공격자는 방문자를 가짜 사이트로 조용히 유도하거나 이메일을 자신의 서버로 돌릴 수 있습니다. 주소창에는 귀사 실제 도메인이 그대로 표시됩니다.

DNSSEC는 이를 방지합니다. DNS 응답에 암호화 서명을 적용하므로, 귀사를 조회하는 측에서 응답이 진정으로 귀사에서 왔으며 전달 중에 변경되지 않았음을 증명할 수 있습니다. 쉽게 말해, 귀사 도메인을 고객에게 불리하게 돌리는 공격인 도메인 하이재킹과 캐시 포이즈닝을 차단합니다. 기능 자체는 무료이지만 서명 키는 소규모 AWS KMS 키를 사용하여 월별 소액의 비용이 발생하며, 활성화할 수 있는 가장 강력한 보호 중 하나입니다.

Route 53에서 DNSSEC의 작동 방식

Route 53은 이해하고 시작하면 도움이 되는 방식으로 작업을 분리합니다:

• Route 53은 AWS KMS(Key Management Service)에 저장된 키를 사용해 호스팅 영역에 서명합니다. 서명을 켜면 공개 키(DNSKEY)가 게시되고 DS 레코드가 생성됩니다.
• 도메인 등록 업체, 즉 도메인을 갱신하는 회사가 해당 DS 레코드를 상위 영역(예: .com)에 게시해야 나머지 인터넷이 서명을 신뢰합니다.

Route 53을 통해 도메인을 등록한 경우(Amazon Registrar), 등록 업체 단계도 여전히 필요하지만 AWS 콘솔 내에서 처리됩니다. 등록 업체가 다른 회사라면 DS 레코드를 그곳에 수동으로 복사합니다.

실제 위험 — 신중하게 하세요

DNSSEC를 잘못 설정하면 전체 도메인이 오프라인이 될 수 있습니다. 그런 일이 발생하는 두 가지 방식:

• 등록 업체의 DS 레코드가 Route 53이 서명에 사용하는 키와 일치하지 않는 경우.
• 서명을 비활성화하거나 KMS 키를 삭제하거나 Route 53에서 DNS를 이전하면서 먼저 등록 업체에서 DS 레코드를 제거하지 않은 경우 — 오래된 DS 레코드가 더 이상 존재하지 않는 서명을 계속 요구하여 조회가 실패합니다.

아래 순서를 정확히 따르세요. 그리고 Route 53에서 DNS를 이전할 계획이 있다면, 등록 업체에서 DS 레코드를 제거하고 서명을 비활성화한 다음 이전하세요.

Route 53이 DNS를 관리하는지 확인하세요

Route 53이 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. 도메인의 네임서버가 호스팅 영역에 나열된 4개의 Route 53 네임서버를 가리키는지 확인하세요. Route 53 콘솔에서 Hosted zones로 이동해 도메인을 열고 NS 레코드 값을 확인하세요. 등록 업체의 네임서버 설정이 이와 일치해야 합니다. 네임서버가 다른 곳을 가리킨다면 실제로 DNS를 관리하는 업체에서 DNSSEC를 활성화하세요.

Route 53 단계별 설정

1. AWS 콘솔에 로그인하고 Route 53을 여세요.
2. Hosted zones로 이동해 도메인의 호스팅 영역을 여세요.
3. DNSSEC signing 탭을 열고 Enable DNSSEC signing을 선택하세요.
4. **key-signing key(KSK)**를 위해 고객 관리 KMS 키를 제공해야 합니다:
   • Create customer managed key(또는 적합한 기존 키 선택)를 클릭하세요.
   • 키는 비대칭 키여야 하며 사용법은 Sign and verify, 사양은 ECC_NIST_P256이어야 합니다. 그리고 미국 동부(버지니아 북부) us-east-1 리전에 있어야 합니다. Route 53 DNSSEC는 해당 리전의 키를 요구합니다.
   • KSK 이름을 지정하세요.
5. 확인하고 서명을 활성화하세요. Route 53이 이제 호스팅 영역에 서명합니다.
6. 여전히 DNSSEC signing 탭에서 DS record / Establish a chain of trust를 찾으세요. Route 53이 Key Tag, Signing algorithm, Digest algorithm, Digest(그리고 종종 준비된 DS 레코드 줄)를 포함한 필요한 값들을 표시합니다.
7. 이제 도메인 등록 업체로 이동해 DS 레코드를 추가하세요:
   • Route 53에 도메인이 등록된 경우(Amazon Registrar): 콘솔에서 도메인 설정 아래에 안내가 있을 수 있으며, 도메인의 DNSSEC 섹션에 값을 복사해 넣으세요.
   • 등록 업체가 다른 회사인 경우: 해당 업체의 DNSSEC / DS 레코드 섹션을 열고 6단계의 값을 정확하게 입력하세요 — Key Tag, Algorithm(보통 13), Digest Type(보통 2), Digest.
8. 등록 업체에서 저장하세요. DS 레코드가 상위 영역에서 수락되면 신뢰 체인이 완성됩니다.

Route 53에서 자주 하는 실수

• KMS 키는 us-east-1에 있어야 합니다. Route 53 DNSSEC는 다른 리전의 KSK 키를 수락하지 않습니다. 이것이 첫 번째 장애물입니다.
• 올바른 키 유형을 사용하세요. 비대칭, 서명 및 검증, ECC_NIST_P256 KMS 키여야 합니다. 대칭 키나 잘못된 사양의 키는 KSK로 작동하지 않습니다.
• 두 시스템이 필요합니다. Route 53에서 서명을 활성화하는 것만으로는 아무것도 되지 않습니다. DS 레코드도 등록 업체에 등록해야 합니다. 5단계에서 멈추고 왜 유효성 검사가 안 되는지 의아해하는 분들이 많습니다.
• Digest를 정확하게 복사하세요. Digest에서 문자 하나라도 틀리면 등록 업체의 DS 레코드가 Route 53의 서명 키와 일치하지 않아 도메인이 오프라인이 됩니다. 직접 다시 입력하지 말고 붙여 넣으세요.
• 서명이 활성화된 동안 KMS 키를 삭제하지 마세요. 그리고 Route 53이 여전히 서명 중인 동안 등록 업체에서 DS 레코드를 제거하지 마세요.
• DNS를 이전하기 전에 올바른 순서로 비활성화하세요. 이전하려면: 등록 업체에서 DS 레코드를 제거하고, 전파될 때까지 기다린 다음, Route 53에서 서명을 비활성화하세요. 순서를 바꾸면 안 됩니다.
• 시간이 필요합니다. DNSSEC 변경은 몇 분에서 하루까지 완전히 전파되고 유효성 검사가 완료되는 데 걸릴 수 있습니다.

설정 확인

Route 53에서 서명이 활성화되고 등록 업체에 DS 레코드가 설정되면, 이 사이트의 무료 점검 기능을 실행하세요. DNSSEC가 귀사 도메인에 올바르게 게시되어 신뢰받고 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.