DNSSEC

대부분의 시스템이 그렇듯이 DNS에도 보안 취약점이 좀 있는 편이다. 워낙 옛날에 대충 만든 구조다보니.. 허점들이 좀 많다.

DNS Lookup은 생각보다 많은 지점에서 네트워킹을 거쳐 동작하게 되는데

.png?type=w800) https://cyber0946.tistory.com/83
저 통신 지점들이 다 취약점이 될 수 있기 때문이다.
저기서 중간에 감청이나 위조를 하게되면, 클라이언트는 공격자가 설정한 이상한 사이트로 이동할 수도 있다.

저런 취약점을 보완해주는 보안 기술이 DNSSEC이다.
DNSSEC에는 여러가지 기술들이 사용되는데, 간단하게 말하면 공개키를 비롯한 DNS 레코드를 몇개 추가하고
이를 통해 위변조를 감지하는 것이다. 위조가 발견되면 요청이 실패한다.

원리에 대해서는 cloudflare가 정리를 잘한 편인 것 같다. 정확한 동작방식이 궁금하다면 아래 문서를 참조하길 바란다.
https://www.cloudflare.com/ko-kr/dns/dnssec/how-dnssec-works/

사용법

Cloudflare나, AWS Route53 같은 믿을만한 Domain 제공자들은 기본적으로 DNSSEC 기능을 제공한다.
기본값은 비활성화라서, 직접 켜줘야 한다.

이런식으로 말이다.

Cloudflare는 기능을 무료에, 원터치로 제공해준다.

AWS의 경우에는 Route53 호스팅 영역에 DNSSEC 활성화 기능이 있다.
완전 무료는 아니고, 인증키를 KMS로 사용하는데서 비용이 약간 나올 수 있다.

얘들은 원터치로 설정 가능하지도 않고, AWS답게 번거롭고 절차가 좀 있다.