DNSSEC(DNS Security Extensions)

I. DNS 보안 취약점을 개선하기 위한 기술, DNSSEC의 개요

가. DNSSEC(DNS Security Extensions)의 정의

   - DNS 캐시 포이즈닝과 같은 DNS 보안 취약점을 보완하기 위해 IETF를 중심으로 만들어진 DNS 보안강화 기술

나. DNSSEC 보안 취약점

구분	설명
DNS 캐시 포이즈닝	- DNS 정보를 위/변조하는 공격 - DNS 프로토콜 자체 취약성으로 DNS 캐시에 저장된 쿼리 위/변조
패킷 가로채기	- DNS 질의/응답 과정 중의 패킷을 가로채 정보 위/변조
정보제공 DNS로 위장한 공격	- 루트 네임서버, KR 네임서버 등 정보제공 DNS로 위장

---

II. DNSSEC 동작 개념도 및 전자서명을 위한 리소스 레코드

가. DNSSEC의 동작 개념도

- DNS 데이터의 위조/변조 가능성을 원천적으로 차단하기 위해, DNSSEC은 공개키 암호화 방식과 전자서명 기술을 DNS 체계에 도입 적용

나. 전자서명과 서명검증 절차를 위한 리소스 레코드

리소스 레코드(RR)	설명
DNSKEY	- 도메인 존의 공개키 데이터를 저장하여 제공하기 위한 RR
RRSIG	- 존 안에 있는 RRSet에 대한 개인 키의 전자 서명한 결과값을 갖는 RR
DS	- DNS 고유의 위임체계에 따라 보안 측면의 인증된 위임체계를 구성하기 위한 데이터를 저장하는 RR
NSEC/NSEC3	- “DNS 데이터 부재” 인증을 위해 정의된 RR