□ 개요

 o 국제인터넷주소기구(ICANN)에서는 .kr, .com 등 최상위도메인 정보를 관리하는 루트DNS의 보안 강화를 위해, DNSSEC 키 서명키(KSK) 교체를 진행할 예정

 o 캐시DNS 운영기관에서는 서명키 정보 미갱신에 따른 DNS 질의오류가 발생하지 않도록 최신 DNS S/W로 업데이트 등 사전 점검 및 보완 조치 권고

 ※ DNSSEC(DNS Security Extension) : DNS 정보의 위‧변조를 방지하기 위해, DNS 정보에 공개키 암호화 기반 전자서명을 추가한 국제표준

 ※ 키 서명키(Key Signing Key) : DNSSEC 전자서명 및 서명 검증에 사용되는 암호화 키

□ 설명

 o ICANN에서는 2010년부터 루트DNS의 DNS 정보 위‧변조 방지를 위해 DNSSEC 기술을 적용하고 있으며, DNSSEC 키 서명키(KSK)의 보안성 강화를 위해 신규 키 생성 및 교체 작업 진행 중

 o 서명키 교체는 2018. 10. 12. (금) 오전 01:00 (한국시간)에 진행

 o DNSSEC 서명 검증 기능을 사용하면서 DNSSEC 키 서명키 정보를 갱신하지 않은 캐시DNS는 교체시점 이후 모든 DNS 질의에 오류 발생

□ 영향을 받는 제품

 o DNSSEC 서명 검증이 활성화된 모든 캐시DNS (DNS S/W 종류 무관)

   ※ 권한DNS 또는 DNSSEC 서명 검증이 비활성화된 캐시DNS는 영향 없음

□ 점검 및 조치 방안

 o 서명키 교체일 이전에 사용 중인 DNS S/W(BIND 등)을 최신 버전으로 업데이트하거나 수동으로 서명키 정보 업데이트

 o 자세한 점검 및 조치방법은 붙임. 캐시DNS 점검 및 조치 방법 또는 ICANN 홈페이지 참조

   ※ https://www.icann.org/dns-resolvers-checking-current-trust-anchors

□ 기타 문의사항

 o 루트 존 키 서명키 교체와 관련된 문의사항이나 기술지원 필요 시 아래 연락처로 문의

  - 한국인터넷진흥원 인터넷주소센터: 02-405-6464, in_dnssec@nic.or.kr

[참고사이트]

 [1] https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ko