DNSSEC 검증
도메인의 DNSSEC 서명(DS·DNSKEY) 적용 여부를 확인합니다.
DNSSEC 검증은 도메인에 DNSSEC(DNS Security Extensions) 서명이 적용되어 있는지 확인하는 도구입니다. 상위 존에 등록된 DS 레코드와 해당 존의 DNSKEY 레코드 존재 여부를 동시에 조회해, 도메인이 서명되어 있는지(미적용인지) 한눈에 판정합니다.
DNSSEC가 적용된 도메인은 응답이 위·변조되었는지 암호학적으로 검증할 수 있어, 캐시 포이즈닝 같은 공격으로부터 DNS 응답을 보호합니다. 도메인만 입력하면 됩니다(프로토콜·경로 불필요). 조회는 신뢰할 수 있는 공개 리졸버에 DNS over HTTPS로 질의합니다. 도메인의 다른 레코드는 DNS 레코드 조회로, 위임된 네임서버는 네임서버(NS) 확인으로 함께 점검하세요.
DNSSEC란 무엇인가
기본 DNS는 응답에 서명이 없어 중간에 누군가 값을 바꿔치기해도 클라이언트가 알아채기 어렵습니다. DNSSEC는 각 존의 레코드에 디지털 서명을 붙이고, 그 서명을 상위 존으로 이어지는 신뢰 사슬(chain of trust)로 검증하게 해 응답의 무결성과 출처를 보장합니다.
DS 레코드와 DNSKEY 레코드
- DNSKEY: 해당 존이 자신의 레코드에 서명할 때 쓰는 공개키입니다. 존 내부에 존재합니다.
- DS(Delegation Signer): DNSKEY의 해시 값으로, 상위 존(예: .com)에 등록됩니다. 부모가 자식 존의 키를 보증하는 연결 고리 역할을 합니다.
- 둘 중 하나라도 존재하면 이 도구는 DNSSEC가 적용된 것으로 판정합니다. 다만 완전한 검증을 위해서는 DS와 DNSKEY가 모두 올바르게 연결되어야 합니다.
왜 중요한가
DS가 상위 존에 등록되어야 신뢰 사슬이 완성됩니다. DNSKEY만 있고 DS가 없으면 실제로는 검증이 이뤄지지 않을 수 있습니다. 도메인을 옮기거나 키를 교체(롤오버)할 때 DS 등록이 누락되면 DNSSEC 검증 실패로 사이트 접속이 막힐 수 있으므로 주기적인 점검이 필요합니다.
자주 묻는 질문
AD 플래그까지 검증하나요?
아니요. 이 도구는 도구 한계상 리졸버의 AD(Authenticated Data) 플래그까지는 확인하지 않고, DS 또는 DNSKEY 레코드의 존재 여부로 DNSSEC 적용을 판정합니다. 완전한 체인 검증은 전용 검사기를 사용하세요.
DNSKEY는 있는데 DS가 없으면 어떻게 되나요?
존 내부에 서명은 있지만 상위 존이 그 키를 보증하지 않는 상태입니다. 신뢰 사슬이 끊겨 실제 검증은 동작하지 않을 수 있습니다. 등록기관(레지스트라)에 DS 등록이 필요합니다.
입력한 도메인은 외부로 저장되나요?
아니요. 도메인 이름만 공개 DNS 리졸버에 DNS over HTTPS로 질의하며, 결과는 부하 절감을 위해 잠시(약 2분) 캐싱됩니다. 별도로 저장하지 않습니다.
DNSSEC가 적용 안 됐다고 나오는데 보안에 문제가 있나요?
DNSSEC 미적용 자체가 즉각적인 취약점은 아닙니다. 다만 캐시 포이즈닝 등 DNS 응답 변조 공격에 대한 추가 방어 계층이 없는 상태이므로, 보안이 중요한 도메인이라면 적용을 권장합니다.
관련 도구
DNS / 도메인 →도메인 상태코드 해석기
clientTransferProhibited 등 EPP 도메인 상태코드를 쉽게 설명합니다.
DNS 변경 전 영향도 체크리스트
NS·MX·TXT 변경 전 위험 요소를 항목별로 점검합니다.
도메인 오타 후보 생성기
피싱·브랜드 보호용 유사·오타 도메인 후보를 생성합니다.
DNS 레코드 조회
도메인의 A·AAAA·MX·TXT·NS·CNAME·SOA 레코드를 실시간 조회합니다.
DNS 전파 확인
여러 공개 리졸버에서 같은 레코드를 조회해 전파 상태를 비교합니다.
역방향 DNS(PTR) 조회
IP 주소에 연결된 호스트명(PTR 레코드)을 조회합니다.