ICANN(Internet Corporation for Assigned Names and Numbers)은 2026년 10월 11일에 DNS(도메인 이름 시스템)의 트러스트 앵커를 대체할 것이라고 오늘 발표했습니다. 이러한 변경을 "키 순환"(롤오버)이라고 하며 DNS의 장기적인 보안, 안정성 및 복원력을 유지하기 위한 중요한 단계로 간주됩니다.
트러스트 앵커의 공식 이름은 DNSSEC(DNS Security Extensions) 루트 영역 KSK(키 서명 키)입니다. 이 암호화 키는 DNSSEC 신뢰 시스템의 핵심이며 전송 중에 DNS 응답이 변조되지 않았는지 확인하는 데 사용되며, 인터넷 사용자가 웹사이트 및 온라인 서비스에 액세스할 때 신뢰할 수 있는 신뢰할 수 있는 DNS 데이터를 받을 수 있도록 도와줍니다. 이 순환은 글로벌 DNS 시스템에 대한 강력한 암호화 보안 보호를 계속 유지하기 위해 기존 키를 새로운 KSK로 대체합니다.
ICANN은 IANA 기능을 통해 DNS 루트 영역을 관리하고 글로벌 인터넷 커뮤니티와 협력하여 이러한 트러스트 앵커 순환을 조정합니다. ICANN은 관련 운영자가 시스템을 업데이트하고 자동 트러스트 앵커 업데이트 메커니즘이 제대로 작동하는지 확인할 수 있는 충분한 시간을 확보하여 네트워크 서비스 중단 위험을 최소화할 수 있도록 새로운 KSK를 사전에 완전히 공개할 것이라고 밝혔습니다. ICANN 산하 IANA 서비스 부사장이자 PTI(공용 기술 식별자) 회장인 Kim Davies는 이 트러스트 앵커 순환을 "DNS의 무결성을 보호하는 데 도움이 되는 신중하게 조정된 프로세스"라고 부르며 순환 전에 시스템이 새 키를 신뢰하도록 올바르게 구성되었는지 확인하도록 DNS 소프트웨어 운영자에게 상기시켰습니다. ICANN은 대부분의 일반 인터넷 사용자는 일상적인 사용에서 큰 변화를 경험하지 않지만 DNS 확인 소프트웨어 운영자가 사전에 기술적 준비를 완료하는 것이 중요하다고 강조했습니다.
ICANN이 발표한 일정에 따르면 이 순환은 2024년부터 2027년 말까지 단계적으로 구현됩니다. 이 기간 동안 현재 및 차세대 KSK는 동시에 유효한 상태로 유지되므로 다양한 재귀 파서에 충분한 전환 시간이 남습니다. 이러한 재귀 확인자는 일반적으로 인터넷 서비스 공급자, 기업 및 기타 조직에서 운영하며 최종 사용자를 대신하여 DNS 정보를 쿼리하고 유효성을 검사하는 일을 담당합니다. 계획에 따르면 새로운 KSK는 2026년 10월에 루트 영역 서명을 시작할 예정이며 기존 키는 2027년 1월에 공식적으로 폐기됩니다. ICANN은 이러한 전환 설계의 목표가 다양한 규모와 기술 조건의 운영자가 대규모 해결 실패를 방지하기 위해 설정된 기간 내에 적응을 완료할 수 있도록 보장하는 것이라고 지적했습니다.
ICANN은 특히 검증 기능이 있는 재귀 확인자, 특히 여전히 수동으로 구성된 트러스트 앵커를 사용하거나 이전 소프트웨어 버전을 실행하는 운영자에게 시스템에 대한 포괄적인 검토를 가능한 한 빨리 수행하여 이 교체에 대한 준비가 되었는지 확인하도록 상기시킵니다. ICANN은 관련 시스템이 트러스트 앵커를 적시에 업데이트하지 못하면 교체 날짜 이후에 DNS 확인 실패가 발생하여 사용자가 일부 웹사이트나 온라인 서비스에 액세스하지 못하게 될 수 있다고 경고했습니다. 위의 위험을 완화하려면 운영자는 자동 트러스트 앵커 업데이트 메커니즘을 테스트하거나 필요한 경우 새 KSK를 수동으로 가져와 새 키가 활성화되기 전에 모든 중요한 단계가 완료되었는지 확인하는 것이 좋습니다.
운영 지침 및 기술 리소스를 포함하여 이 KSK 롤오버에 대한 자세한 내용을 알아보기 위해 ICANN은 공식 웹사이트에 전용 페이지 "ICANN KSK 롤오버 정보 페이지"를 설정하여 글로벌 DNS 운영 커뮤니티에 자세한 지침과 지원 자료를 제공했습니다. ICANN은 모든 유형의 네트워크 인프라 운영자에게 최신 발표에 적극적으로 주의를 기울이고, 커뮤니티 협력에 참여하고, "차세대 주요 인터넷 보안 업데이트"로 간주되는 이 핵심 프로젝트를 완료하기 위해 협력할 것을 요청합니다.