ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

루트 영역 키 서명 키(KSK) 롤오버에서 예상되는 최소 사용자 영향

2018 年 07 月 18 日
作者: Matt LarsonMatt Larson

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

ICANN 조직은 2018년 10월 11일에 공개될 글로벌 도메인 이름 시스템(DNS)의 DNS 보안 확장자(DNSSEC) 신뢰 앵커(Trust Anchor) 업데이트는 아주 적은 수의 DNS 사용자에게만 영향을 미칠 것으로 예상합니다. 사용 가능한 모든 데이터를 신중하게 검토하고 대규모 의견 수집을 수행한 결과 루트 영역 키 서명 키(KSK)를 제공하기로 결정했습니다.

2010년에 처음으로 DNS 루트 영역에 서명한 이후로 DNS 보안 확장자 관행 및 정책 문서1는 루트 영역 KSK를 변경되는 경우를 설정했습니다. 다행히도 새로운 루트 영역 KSK를 관찰하는 대부분의 검증 확인자는 RFC50112에 정의된 "DNS 보안 확장자(DNSSEC) 신뢰 앵커의 자동 업데이트"를 사용하는 새로운 신뢰 앵커로 자동으로 새로운 루트 영역 KSK를 구성할 수 있습니다. 확인자 운영자는 ICANN의 다양한 지원 활동을 기반으로 루트 KSK가 변경되고 있음을 알게 되면 수동으로 신뢰 앵커 구성을 업데이트할 수 있습니다.

검증 확인자에 올바른 신뢰 앵커 집합이 구성되어 있는지를 동적으로 측정하는 표준화된 방법이나 확실한 방법은 없습니다. 현재 사용할 수 있는 최적의 방법은 2017년 4월에 공개된 "DNS 보안 확장자의 신뢰 앵커 지식 신호하기"(RFC 81453에 설명되어 있음)입니다. 이 프로토콜에서 검증자는 구성된 신뢰 앵커의 DNSKEY 키 ID를 조회 이름에 포함하는 DNS 조회를 내보냅니다. 이러한 쿼리는 루트 서버의 트래픽에서 수동적으로 관찰할 수 있습니다. 2017년 9월에는 소수의 확인자만 이 프로토콜을 사용했으며, 신뢰 앵커의 발표에 따르면 잘못 구성된 신뢰 앵커의 비율이 처음에 예상한 것보다 높은 것으로 나타났습니다. 그러나 당시 관찰된 신호는 제대로 파악되지 않았으므로, 결과적으로 ICANN 조직에서는 기술 커뮤니티의 도움을 받아 신호를 더 확실하게 파악하기 위해 루트 영역 KSK의 출시를 미루기로 결정했습니다.

ICANN 조직의 최고 기술 책임자 팀과 다른 부서가 자세히 연구한 결과, RFC 8145 데이터의 품질에 대한 우려가 제기되었습니다. 예를 들어 전달자에게 전송되는 DNS 조회 보고 신뢰 앵커 정보는 다른 조회와 동일하게 처리되며, 전달자가 검증하는지와 상관없이 루트 서버에 전송됩니다. 한가지 예로, 확인자가 검증하도록 구성되지 않아 새 신뢰 앵커가 없는 경우에도, 많이 사용되는 DNS 확인자 구현이 신뢰 앵커에 신호를 보내기도 했습니다. 이와 같은 구현 결정은 이후 소프트웨어 릴리스에서 반대로 바뀌었습니다. 또 다른 예로, 잘 알려진 DNS 확인자 라이브러리에서 신뢰 앵커에 신호를 보냈지만 신뢰 앵커 구성을 자동으로 업데이트하는 방법이 없기도 했습니다. 결과적으로 해당 DNS 확인자 라이브러리를 사용하는, 많이 이용되는 단일 사용자 VPN 구현이 단일로 배포되면 시간 경과에 따라 여러 다른 소스 주소에서 이전 신뢰 앵커 신호를 보냅니다. 서던캘리포니아대학교의 정보과학연구소(Information Sciences Institute)에서 근무하는 Wes Hardarker는 이러한 행동을 발견하여 라이브러리를 사용하는 공급업체에 이 사실을 알렸으며, 해당 공급업체는 소프트웨어를 업데이트했습니다. 이러한 변경으로 인해 이전 신뢰 앵커를 보고하는 소스 수가 현저히 줄어들었습니다.4

그러나 RFC 8145 데이터는 확인자만 보고하고, 해당 확인자에 의존하는 최종 사용자의 수는 표시하지 않습니다. 검증 확인자를 이용하는 사용자의 규모를 파악하기 위해 APNIC(Regional Internet Registry for the Asia Pacific region)에서는 Google의 광고 네트워크를 활용하여 DNS를 조회하는 측정 시스템을 사용했습니다. APNIC에서 고유 확인자 소스로 ICANN의 신뢰 앵커 신호 소스 교차점을 분석한 다음 추론을 통해 계산한 결과, 인터넷 사용자의 0.05%만 루트 KSK 출시로부터 부정적인 영향을 받을 것으로 예상되었습니다.5

앞으로 ICANN 조직은 DNS 보안 확장자 검증이 사용되었음을 나타내는 가장 적극적인 확인자 트래픽을 보유한 1,000개의 인터넷 서비스 제공업체(ISP)에 곧 연락하여 2018년 10월 11일에 루트 KSK가 출시됨을 파악하고 있는지 확인할 예정입니다. 해당 ISP를 대상으로 롤오버에 대한 준비 상태에 관한 설문 조사도 시행할 예정이며, 이로써 확인자 운영자가 KSK 롤오버에 대해 더 자세히 알게 될 수 있습니다.

2015년에 신뢰 앵커를 출시하기 위한 개발 계획을 처음 발표한 이후로 ICANN 조직에서는 국제, 지역 및 국내 회의에서 거의 100건에 달하는 발표 활동과 기술 언론에 게재한 150건 이상의 기사를 포함하는 홍보 캠페인을 현재까지 진행했습니다. ICANN 조직에서는 신뢰 앵커 롤오버와 관련된 9개의 블로그 기사도 게시했으며, 네트워크에 검증 확인자를 보유했지만 RFC 8145 데이터에 따르면 새로운 신뢰 앵커를 구성한 것으로 나타나지 않는 ISP에 계속 연락하고 있습니다.

이러한 노력과 그동안 ICANN 조직에서 수집할 수 있었던 데이터의 결과로 ICANN 조직에서는 2018년 10월 11일에 계획된 루트 KSK 롤오버가 극소수의 DNS 사용자에게만 영향을 미칠 것으로 점점 더 확신하고 있습니다.

 


1 https://www.iana.org/dnssec/icann-dps.txt

2 https://datatracker.ietf.org/doc/rfc5011/

3 https://datatracker.ietf.org/doc/rfc8145/

4 http://root-trust-anchor-reports.research.icann.org/

5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]

Authors

Matt Larson

Matt Larson

VP, Research
Read biographyRead biography