DNSSEC는 답할 수 없는 질문—"누가 이것을 보냈는가?"—을 검증 가능한 것으로 바꿉니다: 누가 이것을 보증하는가? 리졸버가 루트에서 레코드까지 체인을 검증하는 방법을 알아봅니다.
DNS over TLS는 ISP가 어떤 사이트를 방문하는지 볼 수 없도록 조회를 암호화합니다—하지만 선택한 리졸버는 모든 것을 봅니다. 감시를 없애는 것이 아닙니다. 감시자를 선택하는 것입니다.
DNS 쿼리는 여러분이 방문하는 모든 사이트를 드러내며, 1980년대부터 암호화되지 않은 채 전송되어 왔습니다. DoH는 마침내 암호화를 도입했지만, 감시 자체를 없애지는 않습니다—감시자를 선택할 수 있게 해줄 뿐입니다.
공격자는 속삭임만 한 DNS 쿼리를 보내 비명만 한 응답을 유발합니다—요청하지도 않은 피해자를 향해서. 봇넷 임대에 쓴 수백 달러가, 다른 누군가가 감당해야 할 테라비트의 트래픽이 됩니다.
DNS는 응답이 진짜임을 증명할 방법이 없다. DNSSEC는 암호화 서명을 추가하여 리졸버가 응답이 실제로 주장하는 출처에서 왔는지 검증할 수 있게 한다—신뢰를 전제로 설계된 프로토콜에 인증을 더한 것이다.
DNS 하이재킹은 우리가 가장 믿어온 보안 습관—주소 표시줄 확인—을 무기로 바꿉니다. URL은 정상으로 보이고, 자물쇠 아이콘도 보일 수 있습니다. 하지만 실제로는 사기꾼과 연결된 상태입니다.
DNS 캐시 포이즈닝은 잔인한 진실을 파고듭니다: 리졸버는 먼저 답하는 쪽을 믿는다는 것. 공격자가 어떻게 DNS 캐시에 거짓 정보를 경쟁적으로 주입하는지, 카민스키 공격이 왜 인터넷 역사상 가장 대규모의 협력적 패치를 촉발했는지, 그리고 DNSSEC가 마침내 무엇을 가능하게 하는지 살펴봅니다.
이 페이지가 도움이 되었나요?