DNS 루트 존

DNS 루트 존(DNS root zone)은 인터넷 도메인 네임 시스템(DNS)의 계층적 네임스페이스에서 최상위 DNS 존이다.

2016년 10월 1일 이전에는 루트 존이 ICANN에 의해 감독되었으며, ICANN은 관리를 IANA 역할을 하는 자회사에 위임했다.^[1] 배포 서비스는 베리사인이 제공했다. 이전에는 ICANN이 미국 상무부 산하 기관인 국립 통신 정보 관리국(NTIA)의 감독하에 관리 책임을 수행했다.^[2] 감독 책임은 ICANN의 거버넌스 구조 내에서 대표되는 글로벌 이해관계자 커뮤니티로 전환되었다.

DNS 정의 및 특정 프로토콜, 즉 단편화되지 않은 사용자 데이터그램 프로토콜^[2](UDP) 패킷의 실질적인 크기 제한으로 인해 DNS 이름 질의 응답에 수용될 수 있는 루트 네임 서버 주소는 실질적으로 최대 13개로 제한되었다. 그러나 루트 존은 여러 국가의 130개 이상의 위치에 있는 수백 개의 서버에서 서비스된다.^[3][4]

DNS 서비스 초기화

DNS 루트 존은 인터넷의 최상위 도메인에 대한 질의에 권한을 부여하는 13개의 루트 서버 클러스터에 의해 서비스된다.^[5][6] 따라서 모든 이름 확인은 루트 서버에 대한 질의로 시작하거나 한 번 루트 서버에서 얻은 정보를 사용한다.

루트 서버 클러스터는 a.root-servers.net에서 m.root-servers.net까지 공식 이름을 가진다.^[6] 이러한 이름을 주소로 확인하려면 DNS 리졸버는 먼저 .net 존에 대한 권한 있는 서버를 찾아야 한다. 이러한 순환 종속성을 피하려면 DNS에 부트스트랩 액세스를 위해 적어도 하나의 루트 서버 주소를 알아야 한다. 이를 위해 운영 체제 또는 DNS 서버 또는 리졸버 소프트웨어 패키지는 일반적으로 DNS 루트 서버의 모든 주소를 포함하는 파일을 포함한다. 일부 루트 서버의 IP 주소가 변경되더라도, 모든 네임 서버의 현재 목록을 검색하려면 적어도 하나가 필요하다. 이 주소 파일은 BIND 네임 서버 참조 구현에서 named.cache라고 불린다. 현재 공식 버전은 ICANN의 InterNIC에서 배포된다.^[7]

단일 작동 루트 서버의 주소를 사용하면 다른 모든 DNS 정보가 재귀적으로 발견될 수 있으며, 모든 도메인 이름에 대한 정보가 찾아질 수 있다.

중복성 및 다양성

루트 DNS 서버는 월드 와이드 웹 및 이메일과 같은 대부분의 인터넷 서비스가 도메인 이름을 기반으로 하기 때문에 인터넷 기능에 필수적이다. DNS 서버는 전체 인터넷의 잠재적 실패 지점이다. 이러한 이유로 여러 루트 서버가 전 세계에 분산되어 있다.^[8] 512옥텟의 DNS 패킷 크기는 프로토콜 확장(DNS용 확장 메커니즘 참조)이 이 제한을 해제할 때까지 DNS 응답을 13개 주소로 제한한다. 레이블 압축을 사용할 때 이 크기의 패킷에 더 많은 항목을 넣을 수 있지만, 13이 신뢰할 수 있는 한계로 선택되었다. IPv6, 즉 IPv4의 후속 인터넷 프로토콜이 도입된 이후로 이전 관행이 수정되고 추가 공간은 IPv6 네임 서버로 채워지고 있다.

루트 네임 서버는 트래픽 부하를 수용하기 위해 고대역폭 액세스가 가능한 여러 보안 사이트에서 호스팅된다. 처음에는 이러한 모든 설치가 미국에 있었지만, 분포가 변경되어 더 이상 그렇지 않다.^[9] 일반적으로 주어진 사이트의 각 DNS 서버 설치는 로드 밸런싱 라우터를 가진 컴퓨터 클러스터이다. 서버, 위치 및 속성의 포괄적인 목록은 https://root-servers.org/에서 볼 수 있다. 2023년 6월 24일 (2023-06-24) 기준^[update], 전 세계적으로 1708개의 루트 서버가 있었다.^[10]

현대적 추세는 넓은 지리적 영역에 걸쳐 탄력성 및 로드 밸런싱을 제공하기 위해 애니캐스트 주소 지정 및 라우팅을 사용하는 것이다. 예를 들어, 베리사인이 유지 관리하는 j.root-servers.net 서버는 애니캐스트 주소 지정을 사용하여 질의할 수 있는 전 세계에 위치한 104개(2016년 1월 기준^[update])의 개별 서버 시스템으로 대표된다.^[11]

관리

인터넷 루트 존 파일의 내용은 IANA 기능을 수행하는 ICANN의 자회사에 의해 조정된다. 베리사인은 존 파일을 생성하여 다양한 루트 서버 운영자에게 배포한다.

1997년, 인터넷이 미국 정부 통제에서 민간으로 이전될 때 NTIA는 루트 존에 대한 관리권을 행사했다. 1998년 상무부 문서는 기관이 2000년까지 "민간 부문이 DNS 관리에서 주도권을 잡을 수 있도록 하는 전환에 전념하고 있다"고 명시했지만, 전환을 위한 조치는 취해지지 않았다. 2014년 3월, NTIA는 관리권을 "글로벌 이해관계자 커뮤니티"로 전환할 것이라고 발표했다.^[5]

통신 정보 담당 상무부 차관인 로렌스 E. 스트릭클링에 따르면, 2014년 3월은 역할을 글로벌 인터넷 커뮤니티로 전환하기 시작하기에 적절한 시기였다. 이 조치는 미국과 동맹국이 감시에 참여했다는 폭로 이후 압력으로 이루어졌다. ICANN 이사회 의장은 둘 사이에 연관성이 없다고 부인했으며, 전환 과정은 오랫동안 진행되어 왔다고 말했다. ICANN 회장 파디 체하데는 이 조치를 역사적이라고 불렀으며, ICANN이 다중 이해관계자 통제로 나아갈 것이라고 말했다. ICANN과 관련이 없는 인터넷 역사에 대한 다양한 저명인사들도 이 조치를 환영했다.^[5]

NTIA의 발표는 ICANN이 역할을 수행하는 방식에 즉각적인 영향을 미치지 않았다.^[5][12] 2016년 3월 11일, NTIA는 루트 존에 대한 관리 역할을 전환하기 위한 제안된 계획을 받았으며, 향후 90일 내에 검토할 것이라고 발표했다.^[13]

이 제안은 채택되었고, IANA 기능을 수행하기 위한 ICANN의 갱신된 계약은 2016년 9월 30일에 만료되어 감독 책임이 ICANN의 거버넌스 구조 내에서 대표되는 글로벌 이해관계자 커뮤니티로 전환되었다. 전환 계획의 한 구성 요소로,^[14] DNS 루트 존 관리를 포함한 IANA 기능을 수행하기 위해 Public Technical Identifiers(PTI)라는 새로운 자회사를 만들었다.

루트 존의 데이터 보호

루트 존 서명

2010년 7월부터 루트 존은 DNSSEC 서명으로 서명되어,^[15] 다른 공개 키 기반 구조(PKI)를 위한 신뢰 앵커를 제공하는 데 사용될 수 있는 도메인 네임 시스템을 위한 단일 신뢰 앵커를 제공한다. 루트 존 DNSKEY 섹션은 키 서명 세레모니에서 증인 앞에서 검증 가능한 방식으로 수행되는 루트 존 키 서명 키로 주기적으로 재서명된다.^[16][17] ID 20326을 가진 KSK2017은 2020년 현재 유효하다.

ZONEMD 레코드

루트 존 파일은 DNSSEC으로 서명되지만, NS 레코드와 같은 일부 DNS 레코드는 DNSSEC 서명으로 보호되지 않는다. 이러한 약점을 해결하기 위해 RFC 8976에서 ZONEMD라는 새로운 DNS 리소스 레코드가 도입되었다. ZONEMD는 DNSSEC을 대체하지 않는다. DNS 루트 존 파일의 완전한 보호를 보장하기 위해 ZONEMD와 DNSSEC은 함께 사용되어야 한다.^[18][19]

DNS 루트 존에 대한 ZONEMD 배포는 2023년 12월 6일에 완료되었다.^[20]

DNS over TLS

B-루트 DNS 서버는 포트 853에서 DNS over TLS(DoT)에 대한 실험적인 지원을 제공한다.^[21]

같이 보기

• 루트 네임 서버
• 대체 DNS 루트
• AS112
• 인터넷 백본