# DNS 루트 서명식의 비밀

> Clean Markdown view of GeekNews topic #25924. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=25924](https://news.hada.io/topic?id=25924)
- GeekNews Markdown: [https://news.hada.io/topic/25924.md](https://news.hada.io/topic/25924.md)
- Type: news
- Author: [frogred8](https://news.hada.io/@frogred8)
- Published: 2026-01-18T23:22:06+09:00
- Updated: 2026-01-18T23:22:06+09:00
- Original source: [frogred8.github.io](https://frogred8.github.io/docs/042_dns_root_ceremony/)
- Points: 3
- Comments: 1

## Topic Body

- 개요  
  - DNS 질의는 클라이언트 → recursive resolver(RR) → 루트 서버 → TLD 서버 → 권한 DNS 순으로 진행됨  
  - 여기서 루트와 TLD 레이어의 신뢰는 키 기반 서명으로 유지됨  
  - 이 문서에서는 루트 서명식에서 어떤 절차를 거쳐 갱신되는지 자세히 알아봄  
- 내용  
  - 루트 DNSSEC는 두 가지 키를 사용함  
     - KSK(Key Signing Key): 전체 DNSKEY 집합을 서명하는 최상위 서명 키  
     - ZSK(Zone Signing Key): 각 존(zone)의 레코드에 서명하는 키  
  - KSK는 7년 간격으로 롤오버되고 있었지만, 이제는 3년마다 한번씩 할거라고 함  
  - ZSK는 3개월 마다 갱신하고 있음  
  - 이를 위해 ICANN 주관으로 루트 서명식은 다수의 보안 담당자와 HSM 기반 다중 인증으로 진행하고, 진행 상황을 유튜브 라이브로 공개  
  - 서명식에서 사용한 문서와 체크섬 검증 및 공개 로그, 녹화 영상은 차후 외부로 공유  
    - 서명식 결과: https://www.iana.org/dnssec/ceremonies/55  
- 결론  
  - 이런 투명한 과정을 통해 인터넷 최상위 신뢰의 핵심인 루트 DNS는 암호학적 무결성과 신뢰 체계로 유지되고 있음

## Comments



### Comment 49802

- Author: roxie
- Created: 2026-01-23T22:46:07+09:00
- Points: 1

흐릿한 기억 속의 이 영상을 오랫동안 찾으려고 했는데 개념을 몰라서 못찾다가 드디어 보네요. 감사합니다!