2026년 7월 3일 알바니아(.AL) TLD의 DNSSEC 키 롤오버 실수로 알바니아 정부, 은행, 미디어 등 모든 .AL 도메인이 약 5시간 동안 다운된 사건을 다룬다. Cloudflare가 Negative Trust Anchor(NTA)로 빠르게 대응했지만, 기존 NTA 응답이 정상 검증 응답과 구분되지 않는 투명성 문제가 있었다. 이를 계기로 NTA 적용 여부를 DNS 응답에 직접 표시하는 EDE 33 코드가 IANA에 공식 등록됐다.
핵심 포인트- .AL 운영자가 새 DNSKEY를 발행하고 구 키를 제거했지만 루트 DS 레코드가 여전히 구 키를 가리켜 DNSSEC 신뢰 체인이 붕괴됐다.
- Cloudflare는 17:15 UTC에 모든 1.1.1.1 사용자에 NTA를 배포해 .AL을 비서명 영역으로 취급하도록 해 SERVFAIL을 해소했다.
- 기존 NTA 응답은 완전히 검증된 응답과 동일하게 보여 클라이언트가 DNSSEC 검증 우회 여부를 알 수 없었다.
- 새로 도입된 EDE 33은 NTA가 활성화된 모든 DNS 응답에 함께 반환되어 투명성을 제공한다.
- EDE 33은 IANA에 공식 등록됐고, Knot DNS kdig에 이미 구현됐으며 IETF DNSOP WG에서 표준화 진행 중이다.
상세 정리- DNSSEC 구조: 루트 영역부터 개별 도메인까지 신뢰 체인을 구축하며, DS 레코드가 하위 영역의 DNSKEY를 가리키는 방식으로 체인이 연결된다.
- 장애 시작(14:15 UTC): .AL 운영자가 새 DNSKEY를 발행하고 구 키(id=26319)를 제거했지만, 루트 DS 레코드는 여전히 구 키를 지정해 검증자들이 일치하는 키를 찾지 못해 모든 .AL 응답이 실패했다.
- 악화(17:00 UTC): 신규 DNSKEY도 제거되어 영역에 DNSKEY가 완전히 없는 상태(SERVFAIL + DNSKEY Missing)가 됐다.
- 영향 범위: 알바니아 정부 서비스, 은행, 미디어 등 모든 .AL 도메인이 약 5시간 동안 영향을 받았다.
- Cloudflare 대응(17:15 UTC): RFC 7646에 정의된 NTA를 설치해 .AL을 비서명 영역으로 취급하도록 하고, 모든 1.1.1.1 사용자에 NTA 배포 완료 후 SERVFAIL 비율이 급감했다.
- NTA 해제: 루트 영역에서 DS 레코드가 19:15 UTC에 제거된 후 NTA를 해제했다.
- 투명성 문제: NTA 적용 응답이 정상 DNSSEC 검증 응답과 동일하게 보여 운영자, 모니터링 도구, 클라이언트가 검증 우회 여부를 알 수 없는 구조적 문제가 있었다.
- EDE 33 구현: NTA 활성화된 모든 응답에 EDE 33 코드(Negative Trust Anchor)와 함께 근본 원인(EDE 9: DNSKEY Missing)도 표시해 진단 정보를 함께 제공한다.
- 표준화 현황: Babak Farrokhi(Quad9) 제안, IANA에 EDE 33 공식 등록, Knot DNS kdig에 구현 완료, Unbound는 PR 검토 중, 2026년 7월 IETF DNSOP WG 빈 회의에서 논의 예정이다.
- 선례: 2026년 5월 .DE TLD에서도 유사한 DNSSEC 장애가 발생했으며, 반복적인 TLD 수준 장애가 NTA 투명성 표준화의 동기가 됐다.
왜 읽나DNS/네트워크 인프라를 운영하는 엔지니어와 DNSSEC 표준에 관심있는 독자에게 실제 TLD 장애 사례와 EDE 확장 코드의 작동 방식을 제공한다.