DNS over TLS (DoT) 설명

전통적인 DNS는 모든 쿼리를 평문으로 전송합니다. ISP는 당신이 조회하는 모든 도메인을 볼 수 있습니다. 카페 WiFi도 마찬가지입니다. 네트워크 경로상의 누구든 읽을 수 있습니다.

DNS over TLS (DoT)는 이러한 쿼리를 암호화합니다. 하지만 대부분의 설명이 건너뛰는 부분이 있습니다: 누군가는 여전히 그것을 해석해야 한다는 점입니다. 신뢰 자체를 없애는 것이 아니라, 누구를 신뢰할지를 선택하는 것입니다.

작동 방식

UDP 포트 53의 평문 대신, DoT는 TCP 포트 853에서 리졸버와 암호화된 TLS 연결을 수립합니다. 기기와 리졸버가 TLS 핸드셰이크를 수행합니다—인증서를 교환하고, 신원을 확인하고, 암호화 방식을 협상합니다. 그런 다음 DNS 쿼리가 이 터널을 통해 흐릅니다.

네트워크 관찰자는 알려진 리졸버의 포트 853으로 트래픽이 향하는 것을 볼 수 있습니다. DNS 쿼리가 이루어지고 있다는 사실은 알 수 있습니다. 하지만 무엇을 쿼리하는지는 볼 수 없습니다.

연결은 여러 쿼리에 걸쳐 유지됩니다. 조회할 때마다 TLS 핸드셰이크 비용을 지불하는 게 아니라 처음 한 번만 지불합니다. 연결이 수립되고 나면 DoT는 전통적인 DNS와 거의 비슷한 속도입니다.

포트 853의 절충

DoT는 포트 853을 사용합니다. 오직 포트 853만. 이것이 가장 큰 장점이 될 수도 있고 치명적인 약점이 될 수도 있습니다.

네트워크 관리자에게 전용 포트는 선물입니다. DoT 트래픽을 명확하게 식별할 수 있고, 라우팅하고, 정책을 적용하고, 발생 여부를 모니터링할 수 있습니다—내부를 보지 않고도. 네트워크에는 가시성과 제어를, 사용자에게는 외부 관찰자로부터의 프라이버시를 제공합니다.

감시나 검열을 피하려는 사용자에게 전용 포트는 표적입니다. 포트 853을 차단하면 DoT가 전부 막힙니다. 제한적인 네트워크는 방화벽 규칙 하나로 암호화된 DNS를 무력화할 수 있습니다.

여기서 DNS over HTTPS (DoH)가 갈라집니다. DoH는 포트 443으로 DNS 쿼리를 전송합니다—모든 HTTPS 웹 트래픽이 사용하는 바로 그 포트입니다. 웹 자체를 차단하지 않고는 막을 수 없습니다.

DoT: 네트워크에 투명하고, 차단 가능합니다. DoH: 네트워크에 보이지 않고, 제어 불가능합니다.

누구로부터 숨으려는지에 따라 선택하세요.

신뢰 집중 문제

전통적인 DNS에서는 쿼리가 분산됩니다—ISP가 볼 수 있고, 중간 네트워크가 캐시할 수 있으며, 여러 주체가 접근할 수 있습니다.

DoT를 사용하면 한 곳으로 집중됩니다. Cloudflare의 1.1.1.1. Google의 8.8.8.8. Quad9의 9.9.9.9. ISP는 더 이상 당신의 조회를 볼 수 없지만, 선택한 리졸버는 전부를 봅니다. 방문하는 모든 사이트. 연결하는 모든 서비스. 단 한 회사가 전부를 가져갑니다.

이것이 진짜 프라이버시 절충입니다. DNS 쿼리를 비공개로 만드는 것이 아닙니다. 누구에게는 숨기고 누구에게는 드러낼지를 선택하는 것입니다. 리졸버의 개인정보 처리 방침을 읽으세요. 로깅 정책을 이해하세요. 당신의 완전한 브라우징 기록을 그들에게 넘기는 셈입니다.

DoT 설정

Android (9 이상): 설정 → 네트워크 → 프라이빗 DNS. one.one.one.one 또는 dns.google 같은 호스트 이름을 입력합니다. 이제 모든 앱이 암호화된 DNS를 사용합니다.

iOS/macOS: 구성 프로파일 설치가 필요합니다—Apple은 UI에서 이 설정을 직접 제공하지 않습니다. Cloudflare 등의 공급자가 다운로드 가능한 프로파일을 제공합니다.

Linux: DNSOverTLS=yes로 systemd-resolved를 구성하거나, 로컬 프록시로 Stubby를 실행합니다.

기업 환경: 내부 리졸버는 클라이언트에 일반 DNS를 사용하고, 인터넷으로 나갈 때는 DoT를 사용합니다. 모든 기기에 설정하는 대신 암호화 연결을 중앙에서 관리합니다.

언제 무엇을 사용할까

DoT를 사용할 때:

• ISP 및 네트워크 관찰자로부터 DNS 프라이버시를 원할 때
• 콘텐츠 내용은 보지 않으면서 트래픽 가시성이 필요한 기업 네트워크에 있을 때
• 네트워크에서 포트 853을 차단하지 않을 때

DoH를 사용할 때:

• 포트 853이 차단되었을 때
• 탐지하거나 필터링할 수 없는 DNS 암호화가 필요할 때
• 암호화된 DNS 트래픽의 존재 자체도 문제가 될 수 있을 때

둘 다 사용하지 않을 때:

• 자체 리졸버를 운영하면서 네트워크 경로를 신뢰할 때
• DNS를 처리하는 VPN을 이미 사용하고 있을 때
• 지연 시간이 중요하여 핸드셰이크 오버헤드를 감당할 수 없을 때

같은 질문에 대한 세 가지 답

누가 무엇을 보는가?

전통적인 DNS: 모두가 모든 것을 봅니다.

DoT: 네트워크는 트래픽이 존재한다는 것을 봅니다. 리졸버는 내용을 봅니다. 나머지는 아무것도 보지 못합니다.

DoH: 트래픽이 존재한다는 것을 아무도 보지 못합니다. 리졸버는 내용을 봅니다. 나머지는 아무것도 보지 못합니다.

상황에 맞게 선택하세요.

DNS over TLS 자주 묻는 질문

DoT가 내 브라우징을 완전히 비공개로 만들어 주나요?

아닙니다. DoT는 DNS 쿼리를 암호화하지만, ISP는 여전히 도메인 해석 후 연결한 IP 주소를 볼 수 있습니다. example.com을 조회했다는 사실은 알 수 없지만, 93.184.216.34에 연결했다는 것은 볼 수 있습니다. 실질적인 프라이버시를 원한다면 암호화된 DNS에 더해 VPN이나 Tor가 필요합니다.

DoH 대신 DoT를 선택하는 이유는 무엇인가요?

네트워크 관리자가 암호화된 DNS 트래픽을 내용 확인 없이 보고 관리할 수 있도록 하고 싶을 때입니다. 기업 환경에서는 쿼리 프라이버시를 보호하면서도 모니터링과 정책 시행이 가능하기 때문에 DoT를 선호합니다. 누구에게도 들키지 않는 DNS 암호화가 필요하다면 DoH를 선택하세요.

DoT가 브라우징 속도를 느리게 만드나요?

초기 TLS 핸드셰이크는 새로운 리졸버에 대한 첫 번째 쿼리에 50~100ms를 추가합니다. 그 이후로는 지속적인 연결을 통해 최소한의 오버헤드로 쿼리가 처리됩니다. 지리적으로 가까운 리졸버를 사용하면 대부분의 사용자는 차이를 느끼지 못합니다.

DoT를 사용하면 고용주가 내 DNS 쿼리를 볼 수 있나요?

설정에 따라 다릅니다. 개인 기기에서 외부 리졸버로 DoT를 설정했다면, 고용주의 네트워크는 DoT를 사용 중이라는 사실은 알 수 있지만 무엇을 쿼리하는지는 볼 수 없습니다. 고용주가 기기를 제어하거나 DNS 프록시를 운영한다면 DoT를 가로채거나 차단할 수 있습니다. 회사 네트워크에서는 IT 부서가 필요한 것은 볼 수 있다고 생각하는 게 현실적입니다.

출처