--- title: ".de 최상위 도메인, DNSSEC 문제로 내려간 걸까? 로그로 보면 꽤 미묘함" published: 2026-05-05T20:16:35.000Z canonical: https://jeff.news/article/2182 --- # .de 최상위 도메인, DNSSEC 문제로 내려간 걸까? 로그로 보면 꽤 미묘함 Verisign DNSSEC 분석기 로그에는 루트, .de, nic.de 구간의 DNSKEY, DS, RRSIG, A 레코드 조회 결과가 그대로 담겨 있다. 캡처된 응답만 보면 여러 권한 서버가 NOERROR를 돌려주고, nic.de의 A 레코드도 81.91.170.12로 응답하고 있어 단순한 전체 장애라고 단정하긴 어렵다. - HN 제목은 `.de TLD offline due to DNSSEC?`인데, 제공된 로그만 보면 ‘.de 전체가 죽었다’고 말하긴 좀 빡셈 - 루트 서버 쪽 응답은 `NOERROR`고, `.de`에 대한 `DS` 레코드와 `RRSIG`도 반환됨 - `.de`의 네임서버로 `a.nic.de`, `f.nic.de`, `l.de.net`, `n.de.net`, `s.de.net`, `z.nic.de`가 내려오고, 각각 IPv4와 IPv6 glue 레코드도 같이 보임 - DNSSEC 체인 자체는 단계별로 꽤 많이 보임 - 루트의 DNSKEY 응답에는 키 태그 `38696`, `20326`, `54393`이 보이고, 루트 DNSKEY에 대한 `RRSIG`도 붙어 있음 - `.de`에는 `DS 26755 8 2 f341...e78d`가 있고, `.de` 권한 서버는 `DNSKEY` 키 태그 `32911`, `26755`와 서명을 반환함 - `nic.de` 쪽도 `.de`에서 `DS 26155 8 2 2f06...565d`로 위임되고, 권한 서버가 `DNSKEY` 키 태그 `36463`, `26155`를 돌려줌 - `nic.de` 자체도 A 레코드 응답이 있음 - 여러 권한 서버가 `nic.de. 3600 IN A 81.91.170.12`를 반환함 - 같은 응답에 `RRSIG A`가 붙어 있어서, 최소한 캡처된 시점의 권한 응답은 서명된 형태로 존재함 > [!NOTE] > 이 로그는 뉴스 기사라기보다는 DNSSEC 분석기 출력에 가까움. 그래서 결론은 “장애 확정”이 아니라 “어느 단계의 검증이 실패했는지 더 봐야 한다” 쪽임. - 흥미로운 지점은 `nic.de` 조회 중간에 응답 주체와 질의 대상이 바뀌며 체인을 계속 따라간다는 점임 - 루트에서 `.de` 위임을 받고, `.de`에서 `nic.de` 위임을 받고, 마지막으로 `nic.de` 권한 서버에서 실제 A/SOA/DNSKEY를 확인하는 구조임 - 운영자가 DNSSEC 문제를 디버깅할 때 보는 전형적인 흐름이라, 장애 대응하는 사람한테는 꽤 익숙한 그림임 --- ## 기술 맥락 - DNSSEC 장애는 그냥 “도메인이 안 열림”으로 끝나는 문제가 아니에요. 부모 존의 DS, 자식 존의 DNSKEY, 실제 레코드의 RRSIG가 서로 맞아야 해서, 한 군데만 어긋나도 검증 리졸버에서는 도메인이 죽은 것처럼 보여요. - 이 로그에서 중요한 건 `NOERROR`가 계속 나온다는 점이에요. 권한 서버가 응답을 안 하는 상황과, 응답은 하지만 검증 체인이 깨지는 상황은 대응 방식이 완전히 다르거든요. - `.de`처럼 국가 최상위 도메인(ccTLD)은 영향 범위가 엄청 커요. 특정 서비스 하나가 아니라 해당 TLD 아래의 수많은 도메인이 검증 실패 영향을 받을 수 있어서, DS와 DNSKEY 롤오버 타이밍이 특히 민감해요. - 운영 관점에서는 마지막 A 레코드만 볼 게 아니라, 루트부터 `DS -> DNSKEY -> RRSIG`가 어떻게 이어지는지 봐야 해요. 이 로그가 바로 그 경로를 보여주기 때문에, 단순 접속 장애보다 DNSSEC 체인 점검 자료에 더 가까워요. ## 핵심 포인트 - 루트는 .de의 DS 레코드와 RRSIG를 정상 반환함 - .de 권한 서버들은 nic.de의 NS와 DS 레코드를 제공함 - nic.de 권한 서버들은 DNSKEY, SOA, A 레코드에 대해 서명된 응답을 반환함 - 로그상 핵심 응답 코드는 대부분 NOERROR라서 제목만 보고 전체 오프라인이라고 말하긴 애매함 ## 인사이트 이런 케이스는 ‘사이트가 안 열린다’보다 DNSSEC 체인 어디에서 검증이 깨지는지 보는 게 핵심임. 로그에는 DS, DNSKEY, RRSIG가 단계별로 살아 있어서, 실제 장애라면 특정 리졸버나 검증 경로에서의 불일치를 더 봐야 함.