□ 개요
o 국제인터넷주소기구(ICANN)에서는 .kr, .com 등 최상위도메인 정보를 관리하는 루트 네임서버의 보안 강화를 위해,
DNSSEC 키 서명키(KSK) 교체를 진행
o 캐시 네임서버 운영기관에서는 서명키 정보 미갱신에 따른 DNS 질의오류가 발생하지 않도록 최신 DNS S/W로 업데이트 등
사전 점검 및 보완 조치 권고
□ 설명
o ICANN에서는 2010년부터 루트 네임서버의 DNS 정보 위‧변조 방지를 위해 DNSSEC 기술을 적용하고 있으며,
DNSSEC 키 서명키(KSK)의 보안성 강화를 위해 신규 키 생성 및 교체 작업 진행 중
o 서명키 교체는 2017. 10. 12. (목) 오전 01:00 (한국시간)에 진행
o DNSSEC 서명 검증 기능을 사용하면서 DNSSEC 키 서명키 정보를 갱신하지 않은 캐시 네임서버는 교체시점 이후
모든 DNS 질의에 오류 발생
□ 영향을 받는 제품
o DNSSEC 서명 검증이 활성화된 모든 캐시 네임서버 (DNS S/W 종류 무관)
※ 권한 네임서버 또는 DNSSEC 서명 검증이 비활성화된 캐시 네임서버는 영향 없음
□ 해결 방안
o 서명키 교체일 이전에 사용 중인 DNS S/W(BIND 등)을 최신 버전으로 업데이트하거나 수동으로 서명키 정보 업데이트
o 자세한 점검 및 조치방법은 붙임. 캐시 네임서버 점검 및 조치 방법 참조
□ 용어 설명
o DNSSEC(DNS Security Extension) : DNS 정보의 위‧변조를 방지하기 위해, DNS 정보에 공개키 암호화 기반 전자서명을
추가한 국제표준
o 키 서명키(Key Signing Key) : DNSSEC 전자서명 및 서명 검증에 사용되는 암호화 키
□ 기타 문의사항
o 루트 존 키 서명키 교체와 관련된 문의사항이나 기술지원 필요 시 아래 연락처로 문의
- 한국인터넷진흥원 인터넷주소센터: 02-405-6464, in_dnssec@nic.or.kr
[참고사이트]
[1] https://한국인터넷정보센터.한국
[2] https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ko
'취약점 정보2' 카테고리의 다른 글
Oracle Security Alert Advisory - CVE-2017-9805 (0) | 2017.09.26 |
---|---|
Samba 취약점 보안 업데이트 권고 (0) | 2017.09.22 |
Cisco Releases Security Updates (0) | 2017.09.21 |
SMB 취약점(CVE-2017-12163) (0) | 2017.09.21 |
SMB 취약점(CVE-2017-12151) (0) | 2017.09.21 |