2018.09.20

인터넷 DNS 암호화 키, 10월 10일 교체된다··· ICANN "충격 작을 것"

Michael Cooney | Network World
앞으로 몇 달 안에 인터넷이 좀더 안전해진다. ICANN (Internet Corporation for Assigned Names and Numbers)이 인터넷 주소록이라 할 수 있는 DNS(Domain Name System) 보호에 활용되는 암호화 키를 변경하기로 결정했다.

벨기에 회의에서 ICANN 이사회는 2018 년 10월 11일에 DNS 루트의 키를 변경, 즉 "롤"(roll)하는 결정을 확정했다. 이 암호화 키가 바뀌는 것은 2010년 배치된 이후 처음이다.

이번 미팅에서 ICANN 측은 롤오버가 가져올 향상된 DNS 보안에 대해 강조했다. 인터넷 기술 및 설비의 지속적인 발전, IoT 장치의 배치 및 전세계 네트워크 용량의 증가가 발생하는 가운데, 충분한 보안성이 확보되지 못함에 따라 잠재적 공격 여지가 높아지고 있다고 ICANN 측은 설명했다.

ICANN은 "특히 공격 능력의 성장이 루트 서버 운영자 커뮤니티의 방어력 확장성을 넘어설 위험이 있다. 가까운 장래에는 대응할 수 있지만 장기적인 전망은 어둡다"라고 전했다.

이 기관에 따르면 KSK 롤오버는 새로운 암호화 공개 및 개인 키 쌍을 생성하고 유효성 확인자를 운영하는 당사자에게 새로운 공용 구성 요소를 배포하는 것을 의미한다. 이후 리졸버(Resovers)가 일반적인 주소를 IP 네트워크 주소로 변환하는 소프트웨어를 실행해 유효성을 확인하게 된다.

리졸버에는 인터넷 서비스 공급자, 엔터프라이즈 네트워크 관리자 및 기타 DNS 확인자 운영자, DNS 확인자 소프트웨어 개발자, 시스템 통합자, 그리고 루트의 "트러스트 앵커"를 설치하거나 출하하는 하드웨어 및 소프트웨어 유통 업체 등이 포함된다.

한편 ICANN은 롤오버 (rollover)로 인한 사용자의 영향을 최소화 할 것이라고 예상했지만 인터넷 사용자 중 일부는 도메인 네임을 '리졸브'함에 있어 문제에 직면할 수 있다. ICANN은 확인자의 유효성을 확인하는 사용자 중 99% 이상이 KSK 롤오버의 영향을받지 않을 것이라고 전하며, 자동 키 롤오버(RFC 5011 롤오버)를 수행하거나 수동으로 새 키를 설치하는 소프트웨어를 업데이트하면 이번 KSK 롤오버로 인한 문제를 피할 수 있다고 전했다.

ICANN의 CTO 데이비드 콘래드는 DNSSEC 유효성을 검증 한 네트워크 운영자가 수천 명에 이르는 것으로 나타났다며, 인터넷 사용자의 약 4 분의 1은 이러한 운영자에 의존한다고 전했다. 그는 이어 "전세계 어딘가에 최소한 몇몇 운영자는 준비되어 있지 않을 것이다. 그러나 이러한 최악의 경우에도 대책이 있다. DNSSEC 유효성 검사를 끄고 새로운 DNSSEC을 다시 활성화하면 DNS에 대한 완전한 연결성을 갖게 될 것"이라고 말했다.

2010년 KSK에서 2017년 KSK 버전으로의 루트 KSK 롤오버는 거의 1 년 전에 진행될 예정이었지만 인터넷 연결이 중단될 수 있다는 우려로 인해 올해 10월 11일까지 연기된 바 있다.

한편 ICANN의 리서치 담당 부사장 매트 라슨은 이번이 루트 키의 첫 번째 변경 사건이지만 마지막 사건은 아닐 것이라고 말했다.

그는 "앞으로 더 많은 주요 롤오버를 수행될 것이다. 네트워크 운영자, ISP 및 기타 관계자들이 앞으로 보다 변화에 익숙해질 것으로 본다"라고 말했다. ciokr@idg.co.kr 

2018.09.20

인터넷 DNS 암호화 키, 10월 10일 교체된다··· ICANN "충격 작을 것"

Michael Cooney | Network World
앞으로 몇 달 안에 인터넷이 좀더 안전해진다. ICANN (Internet Corporation for Assigned Names and Numbers)이 인터넷 주소록이라 할 수 있는 DNS(Domain Name System) 보호에 활용되는 암호화 키를 변경하기로 결정했다.

벨기에 회의에서 ICANN 이사회는 2018 년 10월 11일에 DNS 루트의 키를 변경, 즉 "롤"(roll)하는 결정을 확정했다. 이 암호화 키가 바뀌는 것은 2010년 배치된 이후 처음이다.

이번 미팅에서 ICANN 측은 롤오버가 가져올 향상된 DNS 보안에 대해 강조했다. 인터넷 기술 및 설비의 지속적인 발전, IoT 장치의 배치 및 전세계 네트워크 용량의 증가가 발생하는 가운데, 충분한 보안성이 확보되지 못함에 따라 잠재적 공격 여지가 높아지고 있다고 ICANN 측은 설명했다.

ICANN은 "특히 공격 능력의 성장이 루트 서버 운영자 커뮤니티의 방어력 확장성을 넘어설 위험이 있다. 가까운 장래에는 대응할 수 있지만 장기적인 전망은 어둡다"라고 전했다.

이 기관에 따르면 KSK 롤오버는 새로운 암호화 공개 및 개인 키 쌍을 생성하고 유효성 확인자를 운영하는 당사자에게 새로운 공용 구성 요소를 배포하는 것을 의미한다. 이후 리졸버(Resovers)가 일반적인 주소를 IP 네트워크 주소로 변환하는 소프트웨어를 실행해 유효성을 확인하게 된다.

리졸버에는 인터넷 서비스 공급자, 엔터프라이즈 네트워크 관리자 및 기타 DNS 확인자 운영자, DNS 확인자 소프트웨어 개발자, 시스템 통합자, 그리고 루트의 "트러스트 앵커"를 설치하거나 출하하는 하드웨어 및 소프트웨어 유통 업체 등이 포함된다.

한편 ICANN은 롤오버 (rollover)로 인한 사용자의 영향을 최소화 할 것이라고 예상했지만 인터넷 사용자 중 일부는 도메인 네임을 '리졸브'함에 있어 문제에 직면할 수 있다. ICANN은 확인자의 유효성을 확인하는 사용자 중 99% 이상이 KSK 롤오버의 영향을받지 않을 것이라고 전하며, 자동 키 롤오버(RFC 5011 롤오버)를 수행하거나 수동으로 새 키를 설치하는 소프트웨어를 업데이트하면 이번 KSK 롤오버로 인한 문제를 피할 수 있다고 전했다.

ICANN의 CTO 데이비드 콘래드는 DNSSEC 유효성을 검증 한 네트워크 운영자가 수천 명에 이르는 것으로 나타났다며, 인터넷 사용자의 약 4 분의 1은 이러한 운영자에 의존한다고 전했다. 그는 이어 "전세계 어딘가에 최소한 몇몇 운영자는 준비되어 있지 않을 것이다. 그러나 이러한 최악의 경우에도 대책이 있다. DNSSEC 유효성 검사를 끄고 새로운 DNSSEC을 다시 활성화하면 DNS에 대한 완전한 연결성을 갖게 될 것"이라고 말했다.

2010년 KSK에서 2017년 KSK 버전으로의 루트 KSK 롤오버는 거의 1 년 전에 진행될 예정이었지만 인터넷 연결이 중단될 수 있다는 우려로 인해 올해 10월 11일까지 연기된 바 있다.

한편 ICANN의 리서치 담당 부사장 매트 라슨은 이번이 루트 키의 첫 번째 변경 사건이지만 마지막 사건은 아닐 것이라고 말했다.

그는 "앞으로 더 많은 주요 롤오버를 수행될 것이다. 네트워크 운영자, ISP 및 기타 관계자들이 앞으로 보다 변화에 익숙해질 것으로 본다"라고 말했다. ciokr@idg.co.kr 

X