관리형 DNS vs. 자체 호스팅 DNS

DNS는 절대 실패해서는 안 되는 유일한 서비스입니다. 웹 서버가 다운되면 사용자는 오류 페이지를 봅니다. DNS가 다운되면 사용자는 아무것도 볼 수 없습니다—도메인 자체가 존재하지 않게 됩니다. 이런 이유로 관리형과 자체 호스팅 중 어느 DNS를 선택하느냐는 조직이 내리는 가장 중요한 인프라 결정 중 하나입니다.

이 질문은 사실 DNS에 관한 것이 아닙니다. 여러분의 조직이 어떤 곳인지에 관한 것입니다.

인프라에 대한 두 가지 철학

관리형 DNS는 어려운 문제를 해결하는 데 비용을 지불하는 방식입니다. Cloudflare, Route 53, NS1 같은 제공업체들은 전 세계 수백 개의 거점을 운영합니다. DNS 가용성, DDoS 완화, 쿼리 성능만을 전담하는 팀을 보유하고 있습니다. 공격자가 여러분의 도메인을 노릴 때, 제공업체가 자체 서버를 증발시킬 만한 트래픽을 대신 흡수합니다.

웹 인터페이스나 API를 통해 레코드를 설정합니다. 존 전송, 소프트웨어 패치, 용량 계획에 대해 신경 쓸 필요가 없습니다. 쿼리당 요금을 지불합니다—소규모 사이트는 월 약 20달러, 수십억 건의 요청을 처리하는 대규모 기업은 수천 달러입니다.

자체 호스팅 DNS는 일반적으로 BIND, PowerDNS, NSD를 사용해 직접 authoritative 네임서버를 운영하는 방식입니다. 서버 위치, 구성 방법, 로깅 내용, 캐싱 동작까지 모든 것을 제어합니다. 보안 강화, 소프트웨어 업데이트, 새벽 3시에 울리는 장애 알림까지 모든 책임도 함께 집니다.

비용 구조는 역전됩니다. 쿼리당 요금을 내는 대신 인프라와 전문 인력에 투자합니다. 월 수십억 건이라는 대규모에서는 더 저렴해질 수 있습니다. 그보다 작은 규모에서는 엔지니어링 인력 비용까지 고려하면 오히려 더 비쌉니다.

관리형 DNS가 주는 것

스스로는 구축할 수 없는 수준의 안정성입니다.

주요 DNS 제공업체들은 거의 편집증적이라 할 만한 이중화를 통해 100% 가동 시간을 달성합니다. 수십 개 국가에 걸친 애니캐스트 네트워크를 운영하며, 테라비트 단위의 DDoS 공격을 처리합니다—어떤 자체 호스팅 인프라도 감당하기 어려운 규모입니다.

이 안정성은 겉으로 드러나지 않는 운영 영역까지 미칩니다. DNS 소프트웨어에 치명적인 취약점이 발견되면, 제공업체는 여러분이 자는 동안 전체 서버에 패치를 적용합니다. 트래픽이 급증하면 용량이 자동으로 늘어납니다. 공격자가 취약점을 탐색할 때는 보안 팀이 대응합니다.

단점은 의존성입니다. 장애는 발생합니다—Cloudflare의 2019년 7월 장애는 수백만 개의 도메인에 영향을 미쳤습니다. 비슷한 수준의 안정성을 직접 달성해야 하는 책임을 지는 것보다 낫기 때문에 그 위험을 감수하는 것입니다.

자체 호스팅이 주는 것

제어권. 완전하고 타협 없는 제어권입니다.

DNS 서버의 위치를 정확히 정할 수 있습니다—데이터 보관 위치 요건에 중요한 사항입니다. 어떤 쿼리가 로깅되고 그 데이터가 어디에 저장되는지 통제할 수 있습니다—개인정보 보호 규정 준수에 중요합니다. 관리형 서비스가 지원하지 않는 DNS 동작도 직접 구현할 수 있습니다.

의료, 금융, 공공 기관에서는 이런 제어권이 선택이 아닙니다. 규제로 인해 DNS 쿼리 데이터를 제3자에게 전송하는 것이 금지될 수 있습니다. 보안 정책상 모든 인프라가 특정 관할 구역 내에서 운영되어야 할 수 있습니다. 규정 준수 감사에서 관리형 서비스가 제공하기 어려운 DNS 운영의 가시성이 요구될 수도 있습니다.

비용 절감은 정말 대규모일 때만 현실이 됩니다. 월 10억 건 미만의 쿼리를 처리하는 조직은 엔지니어링 인력 비용을 솔직하게 계산하면 자체 호스팅으로 비용을 아끼기 어렵습니다. 그 문턱을 넘으면 경제성이 달라집니다—단, 이미 DNS 전문성을 갖춘 조직에 한해서입니다.

자체 호스팅, 선택 전에 솔직하게 따져보세요

이미 DNS 엔지니어를 고용하고 있습니까? 이를 위해 새로 채용해야 한다면 비용 이점은 사라집니다.

지리적 분산을 달성할 수 있습니까? 고가용성 DNS는 여러 위치에 authoritative 서버가 필요하고, 애니캐스트를 통해 올바르게 공지되어야 합니다. 데이터센터에 서버 한 대를 두는 것과는 다릅니다.

DDoS 공격을 견딜 수 있습니까? 공격자들은 DNS가 핵심이기 때문에 정확히 그것을 노립니다. DNS DDoS 공격이 성공하면 서비스 품질이 저하되는 것이 아닙니다—인터넷에서 여러분의 존재 자체가 지워집니다.

영원히 유지 관리할 수 있습니까? 이것은 완료할 수 있는 프로젝트가 아닙니다. 끝나지 않는 운영 약속입니다.

하나라도 "아니오"라고 답했다면 관리형 DNS가 정답입니다.

하이브리드 접근 방식

많은 조직이 두 가지를 함께 활용합니다.

관리형을 주(primary)로, 자체 호스팅을 보조(secondary)로: 민감한 존은 내부 서버로 관리하면서, 전체 안정성은 관리형 DNS에 의존합니다. 외부 도메인은 글로벌 성능을 얻고, 내부 인프라는 통제 하에 유지됩니다.

외부는 관리형, 내부는 자체 호스팅: 공개 도메인과 내부 DNS를 완전히 분리합니다. 외부 사용자는 관리형 서비스를 조회하고, 내부 시스템은 격리된 자체 호스팅 DNS를 사용합니다.

관리형을 페일오버로: 둘 다 authoritative 서버로 구성합니다. 자체 인프라가 장애를 겪으면 관리형 서비스가 계속 쿼리를 처리합니다.

무엇을 선택해야 할까

관리형 DNS를 선택하세요: DNS 엔지니어링 전문성이 없는 경우. 월 10억 건 미만의 쿼리를 처리하는 경우. 운영 단순성을 중시하는 경우. 제3자 의존성을 수용할 수 있는 경우.

자체 호스팅 DNS를 선택하세요: 규정 준수 요건으로 외부 제공업체 이용이 금지된 경우. 이미 DNS 엔지니어를 고용하고 있는 경우. 자체 호스팅 경제성이 맞는 규모로 쿼리를 처리하는 경우. 고가용성 분산 시스템을 직접 구축하고 운영할 역량이 있는 경우.

하이브리드를 선택하세요: 외부적으로는 관리형의 안정성이 필요하지만 규정 준수를 위해 내부 제어가 필요한 경우. 완전한 의존 없이 페일오버 능력을 확보하고 싶은 경우.

대부분의 조직은 관리형 DNS를 써야 합니다. 안정성은 직접 구축하는 것보다 뛰어나고, 비용은 합리적이며, 운영 부담은 없습니다. 자체 호스팅은 진정한 규정 준수 제약, 대규모 처리량, 또는 기존 DNS 전문성을 갖춘 조직에 적합합니다—비용 절감이나 이론적 독립성을 원하는 조직에는 맞지 않습니다.

물어봐야 할 질문은 "어느 것이 더 좋은가?"가 아닙니다. "어느 것이 우리의 실제 모습에 맞는가?"입니다.

관리형 DNS vs. 자체 호스팅 DNS 자주 묻는 질문

관리형 DNS와 자체 호스팅의 비용은 어떻게 다릅니까?

관리형 DNS: 소규모 배포의 경우 월 20~50달러, 대규모 기업은 수천 달러까지 올라갑니다. 자체 호스팅: 비용은 엔지니어링 인건비, 서버 인프라, 운영 부담 속에 숨어 있습니다. 월 10억 건 미만의 쿼리에서는 관리형 DNS가 유리합니다. 그 이상에서는 이미 DNS 전문성을 보유한 조직에 한해 자체 호스팅의 경제성이 생깁니다.

관리형 DNS 제공업체에 장애가 발생하면 어떻게 됩니까?

도메인에 접근할 수 없게 됩니다. 주요 제공업체들은 뛰어난 가동 시간을 자랑하지만 장애는 발생합니다. 완화 전략으로는 여러 제공업체를 동시에 사용하거나, 자체 호스팅 백업 인프라를 유지하는 방법이 있습니다.

나중에 관리형과 자체 호스팅 사이를 전환할 수 있습니까?

가능합니다. 새로운 유형의 서버를 보조(secondary) 서버로 먼저 추가하고, 검증이 끝나면 주(primary) 서버로 승격합니다. 전환 자체는 어렵지 않습니다—진짜 과제는 전환한 이후 그것을 유지 관리할 운영 역량을 갖추는 것입니다.

DNSSEC를 위해 자체 호스팅 DNS가 필요합니까?

아닙니다. 모든 주요 관리형 제공업체는 DNSSEC를 지원하며 키 관리를 자동으로 처리합니다. 자체 호스팅에서 DNSSEC를 운영하려면 신중한 키 교체가 필요하고 운영 부담이 늘어납니다. 키 보관에 특별한 요건이 없다면 관리형 DNSSEC가 더 단순하고 안전합니다.