DNS over HTTPS (DoH) 설명

DNS 쿼리는 여러분이 방문하는 모든 사이트, 백그라운드에서 서버와 통신하는 모든 앱, 여러분이 뒤따르는 모든 궁금증을 드러냅니다. 그리고 1980년대부터 지금까지, 이 쿼리들은 인터넷을 통해 암호화되지 않은 채로 전송되어 왔습니다.

이것은 설계 결함이 아니었습니다—설계 당시의 전제였습니다. DNS는 인터넷이 대학과 연구 기관들로 이루어진 소규모 네트워크였던 시절에 만들어졌습니다. 신뢰는 당연한 것으로 여겨졌습니다. 암호화는 비쌌습니다. 누군가 DNS 쿼리를 수집하여 광고 프로필을 만들거나 콘텐츠를 검열할 것이라는 생각은 아무도 하지 못했습니다.

기존 DNS는 UDP 포트 53을 통해 쿼리를 전송하며, 완전히 암호화되지 않습니다. 여러분의 ISP가 볼 수 있습니다. 네트워크 관리자가 볼 수 있습니다. 네트워크 트래픽을 모니터링하는 누구든 볼 수 있습니다. 이 쿼리들은 기록되고, 분석되고, 판매되고, 검열에 사용되거나, 공격자에 의해 가로채어 변조될 수 있습니다.

DNS over HTTPS (DoH)는 DNS 쿼리를 여러분의 은행 거래를 보호하는 것과 동일한 암호화로 감쌉니다. 쿼리는 포트 443의 HTTPS 연결을 통해 전송되어—일반 웹 브라우징과 구별이 되지 않습니다.

DoH의 작동 방식

기존 DNS에서는, 기기가 암호화되지 않은 쿼리를 리졸버(보통 ISP의 것)에 전송하고, 리졸버는 IP 주소로 응답합니다. 질문과 답변 모두 평문으로 오갑니다.

DoH에서는, 기기가 DoH를 지원하는 리졸버와 암호화된 HTTPS 연결을 맺습니다. DNS 쿼리는 HTTPS 요청으로 변환되어 기기를 떠나기 전에 암호화됩니다. 복호화는 여러분이 선택한 리졸버만이 할 수 있습니다. 네트워크를 들여다보는 사람은 여러분이 DoH 리졸버에 연결하고 있다는 것은 알 수 있지만, 쿼리의 내용은 볼 수 없습니다.

이 프로토콜은 2018년 10월 RFC 8484로 표준화되었습니다. 모든 보안 웹사이트를 보호하는 TLS 암호화를 사용하며, 연결 재사용을 지원하여 하나의 암호화된 세션으로 여러 쿼리를 처리할 수 있습니다.

DoH가 실제로 보호하는 것

DoH는 DNS 쿼리에 대한 무차별적인 감시를 차단합니다. ISP는 더 이상 DNS만으로 여러분이 방문하는 모든 사이트의 프로필을 구축할 수 없습니다.

또한 DNS 조작을 막아줍니다. 트래픽이 암호화되어 있기 때문에 DNS 응답을 가로채고 변조하는 중간자 공격이 통하지 않습니다. DNS 스푸핑—가짜 응답을 주입하여 악성 사이트로 리디렉션하는 것—도 DoH가 TLS 인증서로 응답을 검증하기 때문에 실패합니다.

핵심 질문: 누구를 신뢰할 것인가?

DoH는 감시를 없애지 않습니다—감시자를 선택할 수 있게 해줄 뿐입니다.

브라우저가 DoH를 구현할 때, 보통 특정 제공업체를 기본으로 설정합니다. Firefox는 Cloudflare를 사용합니다. Chrome은 현재 DNS 제공업체가 DoH를 지원하면 자동으로 업그레이드합니다. 이전에는 ISP에게 보이던 DNS 쿼리가 이제 다른 회사로 흘러가게 됩니다.

ISP는 더 이상 쿼리를 볼 수 없습니다. 하지만 DoH 제공업체는 모든 쿼리를 볼 수 있습니다. 결국 여러분은 그들의 개인정보 처리방침, 보안 관행, 그리고 정부 요청에 대한 대응 방식을 신뢰하는 것입니다. 신뢰 요구사항이 사라진 것이 아닙니다. 옮겨간 것입니다.

이것은 또한 인터넷 인프라의 핵심적인 부분을 소수의 대형 기업들에게 집중시킵니다. 이것이 수천 개의 ISP보다 더 나은지 나쁜지는 여러분의 위협 모델과 관점에 달려 있습니다.

DoH 대 DNS over TLS

DoH와 DNS over TLS(DoT) 모두 DNS 쿼리를 암호화합니다. 차이점은 가시성입니다.

DoT는 TCP 포트 853을 사용합니다—암호화된 DNS 전용 포트입니다. 네트워크 관리자는 DoT 트래픽을 쉽게 식별하고 모니터링하거나 차단할 수 있습니다. 내용은 보이지 않더라도, 암호화된 DNS 통신이 이루어지고 있다는 사실은 누구나 알 수 있습니다.

DoH는 포트 443을 사용하여 다른 HTTPS 트래픽 속에 섞여 들어갑니다. 심층 패킷 검사 없이는 DoH 트래픽을 일반 웹 브라우징과 구별할 수 없습니다. 덕분에 DoH는 차단하기 더 어렵지만, 관리하기도 더 까다롭습니다.

선택은 우선순위의 문제입니다. 가시성을 유지하면서 암호화를 원하는 네트워크라면 DoT, DNS 쿼리를 웹 트래픽 속에 녹아들게 하고 싶은 사용자라면 DoH입니다.

DoH가 논란이 되는 이유

DoH는 DNS 제어권을 네트워크에서 브라우저로 넘기기 때문에 실질적인 갈등을 불러일으켰습니다.

많은 조직들이 보안을 위해 DNS 필터링을 사용합니다—악성 도메인 차단, 피싱 방지, 정책 시행 등. 자녀 보호 소프트웨어도 대부분 DNS 필터링으로 작동합니다. 브라우저가 DoH로 시스템 DNS를 우회하면, 이러한 보호 기능들이 무력화됩니다.

구현 방식이 중요합니다. Firefox의 방식—기본으로 DoH를 활성화하고 시스템 설정을 덮어쓰는 것—이 가장 큰 반발을 샀습니다. Chrome의 방식—기존 제공업체가 지원하는 경우에만 DoH로 업그레이드하는 것—은 기존 구성을 유지합니다.

일부 국가에서는 DoH를 합법적인 콘텐츠 규제를 우회하는 수단으로 봅니다. ISP들은 DoH가 네트워크 수준에서 문제를 진단하거나 악성코드를 차단하는 능력을 빼앗는다고 주장합니다.

근본적인 질문은 이것입니다: 누가 DNS를 제어해야 하는가? 네트워크 운영자인가? 브라우저 제조업체인가? DoH 제공업체인가? 아니면 사용자인가? DoH는 그 제어권의 위치를 바꾸며, 어디에 있어야 하는지에 대해서는 여전히 의견이 엇갈립니다.

현재 지원 현황

Firefox는 2020년 미국에서 Cloudflare를 기본 제공업체로 하여 DoH를 기본 활성화했습니다. 사용자는 제공업체를 변경하거나 비활성화할 수 있습니다. Firefox는 기업 정책을 확인하고 관리되는 네트워크에서는 DoH를 자동으로 비활성화합니다.

Chrome은 현재 DNS 제공업체가 DoH를 지원하면 자동으로 업그레이드합니다—설정은 그대로 유지되지만 암호화가 추가됩니다. 기업 정책을 준수합니다.

Safari (iOS 14+, macOS 11+)는 DoH를 지원하지만 기본 활성화하지는 않습니다. 앱이 암호화된 DNS를 요청할 수 있으며, 관리자는 기기 관리를 통해 설정할 수 있습니다.

Windows 11은 시스템 전체 DoH 설정을 지원합니다. 브라우저뿐만 아니라 모든 애플리케이션의 DNS 트래픽을 암호화할 수 있습니다.

**Android 9+**는 개인 DNS 설정을 통해 DNS over TLS(DoH가 아닌)를 지원합니다—보호 수준은 유사하지만 프로토콜이 다릅니다.

Linux 지원은 리졸버에 따라 다릅니다. systemd-resolved는 DoH와 DoT를 모두 지원합니다.

핵심 요점

1980년대부터, 인터넷이 작은 학술 네트워크였던 시절의 설계 전제 그대로, DNS는 여러분의 브라우징 습관을 암호화 없이 고스란히 드러내 왔습니다.

DoH는 웹 트래픽을 보호하는 것과 동일한 HTTPS를 사용하여 DNS 쿼리를 암호화합니다. ISP와 네트워크 감시자는 더 이상 여러분이 쿼리하는 도메인을 볼 수 없습니다.

하지만 DoH는 신뢰를 없애는 것이 아니라 이전시킵니다. 쿼리가 ISP에서 DoH 제공업체로 옮겨갈 뿐입니다. 제공업체를 신중하게 선택하십시오.

DoH는 포트 443에서 웹 트래픽 속에 녹아들어 탐지하기 어렵습니다. DoT는 전용 포트 853을 사용하여 눈에 띄지만 관리하기 쉽습니다. 어느 쪽을 선택할지는 은폐와 투명성 중 무엇을 더 중시하느냐에 달려 있습니다.

논란은 현실입니다: DoH는 보안 필터, 자녀 보호 기능, 기업 정책을 우회할 수 있습니다. 사용자 개인정보와 네트워크 관리 사이의 긴장은 DNS 제어권이 누구에게 있어야 하는지에 대한 진정한 의견 충돌을 반영합니다.

DNS over HTTPS에 관한 자주 묻는 질문

DoH를 사용하면 온라인에서 익명이 되나요?

아닙니다. DoH는 DNS 쿼리를 암호화하지만, 웹사이트는 연결 시 여전히 여러분의 IP 주소를 볼 수 있습니다. ISP도 여러분이 접속하는 IP 주소는 여전히 볼 수 있습니다—단지 조회한 도메인 이름을 볼 수 없을 뿐입니다. 진정한 익명성을 위해서는 VPN이나 Tor 같은 추가 도구가 필요합니다.

고용주나 학교에서 DoH를 차단할 수 있나요?

네, 기존 DNS를 차단하는 것보다 어렵지만 가능합니다. 조직은 알려진 DoH 제공업체에 대한 연결을 차단하거나, 심층 패킷 검사를 사용하거나, 브라우저에서 DoH를 비활성화하는 기업 정책을 배포할 수 있습니다. 대부분의 브라우저는 기업 정책을 따릅니다.

DoH를 활성화해야 하나요?

대부분의 가정 사용자에게는 그렇습니다—최소한의 단점으로 개인정보 보호를 강화할 수 있습니다. 보안이나 자녀 보호를 위해 DNS 필터링을 사용하는 네트워크라면 DoH가 해당 기능을 우회할 수 있습니다. 기업 사용자는 조직의 정책을 따르는 것이 좋습니다.

쿼리가 암호화되어 있어도 DoH 제공업체 선택이 중요한 이유는 무엇인가요?

제공업체가 쿼리를 복호화하고 처리하기 때문입니다. 여러분이 조회하는 모든 도메인이 제공업체에게 보입니다—암호화는 전송 중인 쿼리만 보호할 뿐입니다. 개인정보 처리방침을 신뢰할 수 있는 제공업체를 선택하거나, 직접 리졸버를 운영하는 방법도 있습니다.

DoH가 일반 DNS보다 느린가요?

초기 연결 시 TLS 핸드셰이크로 인해 약간의 추가 시간이 걸리지만, 연결 재사용 덕분에 이후 쿼리는 오히려 빠를 수 있습니다. 대부분의 사용자는 차이를 느끼지 못합니다.