DNS에도 보안이 필요한 이유는?
DNS는 인터넷의 주소록 체계입니다. 우리가 사용하는 naver.com 또는 google.com과 같은 도메인 이름은 DNS 서버에 쿼리를 전달하여 IP 주소로 변환됩니다. DNS 쿼리는 일반적인 텍스트로 전송되기에, 네트워크 모니터링을 통해 내용 확인이 가능합니다. 즉, 내가 접속하고자 하는 도메인 정보를 누군가는 상시로 조회해 볼 수 있다는 의미입니다.
이처럼 쉽게 노출되는 개개인의 DNS 쿼리 기록은 국가 기관 및 ISP에서 인터넷을 검열이 가능하게 합니다. 더 나쁘게는 해커들이 사용자의 인터넷 이용 기록을 엿보거나, DNS 요청을 가로채어 잘못된 주소를 가리키는 응답을 보낼 수 있는 빌미를 제공합니다.
DoT, DoH란?
DNS 요청을 제3자로부터 보호하기 위한 수단으로 DoT (DNS over TLS), 그리고 DoH (DNS over HTTPS)가 있습니다.
DoT와 DoH의 차이?
DoT와 DoH 모두 암호화된 통신 채널을 이용하는 부분은 동일하며, 둘의 차이는 전송 프로토콜로 각각 TLS, 그리고 HTTP를 채택한다는 점입니다.
- HTTPS의 기본 포트는 443번이므로, DoH 역시 443번 포트를 사용합니다.
- 반면 DoT는 DoT만을 위한 전용 포트 853번이 따로 존재합니다.
DoT는 전용 포트 번호를 따로 갖고 있다 보니, 네트워크 관리자가 853번 포트만 따로 차단하여 기능을 무력화할 수 있습니다. 그에 반해 DoH 트래픽은 443번 포트를 이용하는 다른 HTTPS 트래픽들 사이에 숨을 수 있으므로 프라이버시 유지에 있어서 좀 더 유리합니다.
둘 중 어느 프로토콜이 더 나을까
앞서 이야기한 대로, 사용자의 개인정보 보호 측면에서는 DoH가 유용합니다. 다만 이는 사이버 공격자들에게도 유효하여 DoH 서비스를 악용해 유해 콘텐츠나 악성 웹 사이트를 은닉시킨 사례들도 발견되고 있습니다. 이러한 이유에서 네트워크 관리자는 모니터링이 한결 쉬운 DoT를 선호할 것입니다.
또 하나 고려해야 할 부분은, 메시지 전송 성능입니다. DoH가 사용하는 HTTPS(HTTP over SSL/TLS)는 본디 TLS를 통해 안전을 보장받는 상위 애플리케이션 계층입니다. 따라서 DoH가 DoT보다는 메시지가 상대적으로 좀 더 무거운 편이며, 이로 인해 DoT 패킷 전송이 성능적으로는 DoH보다 우위에 있다고 보는 관점이 많습니다.