고유한 보안 시스템 없이 기업 호스트에 구축되는 DNS(Domain Name System, 도메인 네임 시스템) 서버는 서버의 취약성이 거듭 노출되어 캐시 포이즈닝(cache poisoning), 전화 착신 전환, 중간자 공격부터 비밀번호 도용, 이메일 재라우팅, DoS(Denial of Service, 서비스 거부) 등을 비롯한 다양한 악성 공격의 목표 대상이 됩니다.
도메인 네임 시스템 보안 확장(DNSSEC, Domain Name Systems Security Extensions) 프로토콜은 수신 메시지가 송신 메시지와 동일한 메시지인지를 검증할 수 있도록 DNS 정보에 전자 서명을 추가하여 DNS 서버 계층을 보호합니다.
DNSSEC는 기본적으로 공개 키 기반 구조(PKI)를 구현하여 DNS 서버 간의 안전한 통신 방법을 제공합니다. PKI 기술인 DNSSEC에는 키 생성과 서명, 키 관리와 같은 몇 가지 새로운 절차가 필요합니다. 하지만 DNSSEC가 지닌 잠재적 이점에도 불구하고, 이를 통해 원하는 이점을 확실히 누릴 수 있는 것은 아닙니다. 바로 DNSSEC로 생성한 리소스 레코드가 암호화되지 않은 파일에 보관되기 때문입니다.DNSSEC가 지닌 이점을 완벽히 누리고자 하는 기업은 전체 DNSSEC 기반 구조 전반을 철저하게 보호해야 합니다. 이러한 목표를 추구하는 기업에는 다음과 같은 기능이 필요합니다.
DNS 서비스의 유효성을 검증하기 위해, DNSSEC는 공개 키 암호 방식을 활용하여 DNS 메시지에 전자 서명을 추가합니다. 필요한 보안 수준을 구현하려면 개인 서명 키에 대한 강력한 보안이 필수적입니다. 서명 키와 키에 대응하는 전자 인증서가 손상되면, DNS 계층의 신뢰 체인(CoT, Chain of Trust)이 끊어져 시스템 전체를 쓸 수 없게 됩니다. 하드웨어 보안 모듈(HSM)이 개입하는 부분이 바로 여기입니다.
HSM은 전자 서명의 핵심인 암호 키와 암호화 처리 과정을 물리적, 논리적으로 보호하는 전용 시스템입니다. HSM이 지원하는 기능은 다음과 같습니다.
강화된 중앙집중식 장치에 암호키를 보관하는 HSM은 보안이 허술한 이기종 플랫폼에 암호키와 같은 자산을 보관하는 데서 발생하는 위험을 배제할 수 있습니다. 또한, 이러한 중앙집중식 관리 방식은 보안 관리 업무를 대폭 간소화합니다.
An Anchor of Trust in a Digital World Business and governmental entities recognize their growing exposure to, and the potential ramifications of, information incidents, such as: Failed regulatory audits Fines Litigation Breach notification costs Market set-backs Brand...