"5G의 키워드라 불리는 초고속, 초저지연, 초연결이 실현되기 위해서는 도메인네임시스템(DNS)의 안정성도 중요하다. 기기들이 도메인으로 진입하는 과정에서도 초저지연 접속이 이뤄져야 한다."
인터넷 주소를 기기가 인식할 수 있는 IP 주소로 변환해주는 DNS가 5G 서비스에 대응한 변화를 앞두고 있다. 급증하는 트래픽과 분산서비스거부(DDoS) 공격에도 시스템이 마비되지 않도록 다양한 기술을 품는다.
임준형 한국인터넷진흥원(KISA) 인터넷주소기술팀장은 지난 6일 KISA가 관리하는 krDNS의 생존성 강화 전략에 대해 소개했다.
krDNS는 국가 도메인인 '.kr'·'.한국'을 기반으로 제공되는 인터넷 서비스 관련 DNS다. 국내 11개소, 글로벌 지역에서는 베이징·상파울로·샌프란시스코·프랑크푸르트 4개소를 두고 운영되고 있다.
임준형 팀장에 따르면 krDNS는 사이버 공격에도 시스템의 안정성을 유지하기 위한 네 가지 전략을 세웠다.
먼저 서버 가상화 기술을 도입한다. 급증하는 트래픽으로 인해 서버가 마비될 가능성을 대비해 대용량 DNS 처리 성능을 확보하기 위한 조치다.
이와 함께 DNS 소프트웨어(SW)인 BIND와 NSD를 혼합 사용, 단일 SW의 취약점을 이용한 공격을 극복할 수 있도록 했다.
국내 이동통신 3사와의 협업 하에 구축한 'DDoS 클린존'으로 공격 탐지·대응을 신속히 할 수 있는 체계도 구축했다. DDoS 공격 감지 시 대규모 유해 트래픽을 클린존에서 필터링하고, 정상 트래픽만 DNS에서 처리하게 하는 모델이다. 2차 방어 체계로 krDNS 자체 DDoS 방어 장비를 이용한 상세 차단도 계획 중이다.
임 팀장은 "현재 국내에서 300GB의 DDoS 트래픽까지 처리할 수 있다"며 "매년 용량을 늘려나갈 계획"이라고 말했다.
KISA는 내년부터 클라우드 기반 DDoS 방어 체계도 구축할 계획이다. 글로벌 지역에서 유입되는 대규모 DDoS 방어를 위한 것이다. 글로벌 클라우드 사업자가 보유한 네트워크와 서버 인프라를 활용해 DDoS 공격을 여러 지역으로 분산하고, krDNS의 응답 속도도 높일 방침이다.
이에 대해 임 팀장은 "아직 파트너십이 구축된 건 아니다"라며 "글로벌 클라우드 사업자와의 협업은 특정 기업이 아닌 전체 지역에 안배해 확대할 계획"이라고 설명했다.
관련기사
- '010' 보이스피싱, 발신번호 위장수법도 가지가지2019.09.09
- 내년 4월부터 전화번호 홈페이지 주소 허용된다2019.09.09
- KISA, 베트남 인터넷주소관리센터와 업무협약 연장2019.09.09
- LOL-베틀넷 DDos 공격한 해커, 징역 2년3개월 선고2019.09.09
KISA는 인터넷주소자원센터에서 krDNS를 관리하고 있다. 인터넷주소자원센터는 현재 KISA 서초 청사에서 운영되고 있으나, 연말까지 KISA 본원이 위치하는 전라남도 나주로 이전될 예정이다.
임 팀장은 "나주에 전문 데이터센터 설비를 구비하는 등 인프라를 강화했다며 "더 나은 보안, 안정성을 확보할 수 있게 될 것"이라고 전망했다.