개요
DNS over TLS(DoT)와 DNS over HTTPS(DoH)는 전통적인 DNS 쿼리의 평문 전송 문제를 해결하기 위한 보안 강화 기술입니다. 이들은 사용자와 DNS 리졸버 간의 통신을 암호화하여 중간자 공격(MITM), 감청, 패킷 변조로부터 DNS 요청을 보호합니다. 본 글에서는 DoT/DoH의 개념, 차이점, 동작 방식, 기술 구성 요소부터 주요 활용 사례와 보안성에 대한 고려사항까지 상세히 살펴봅니다.
1. 개념 및 정의
DoT(DNS over TLS)와 DoH(DNS over HTTPS)는 DNS 요청을 각각 TLS와 HTTPS 프로토콜을 이용해 암호화하여 전달하는 기술입니다. 전통적인 DNS는 UDP 53 포트를 통해 평문으로 요청을 주고받기 때문에, 개인정보 보호와 보안에 취약합니다.
- DoT: TCP 853 포트를 사용하며, TLS를 통해 DNS 트래픽을 암호화
- DoH: TCP 443 포트를 통해 HTTPS 트래픽 안에 DNS 요청을 포함시켜 암호화
두 기술은 모두 RFC로 표준화되어 있으며, 프라이버시 보호와 인터넷 검열 회피에 효과적입니다.
2. 특징
| 구분 | DoT (DNS over TLS) | DoH (DNS over HTTPS) |
| 프로토콜 | TLS | HTTPS (HTTP/2 또는 HTTP/3) |
| 포트 번호 | TCP 853 | TCP 443 |
| 우회 가능성 | 낮음 (트래픽 구분 가능) | 높음 (일반 HTTPS와 구분 어려움) |
| 성능 | 상대적으로 낮음 | HTTP/2 덕분에 빠름 |
| 도입 사례 | Android, Unbound 등 | Firefox, Chrome, Cloudflare 등 |
DoH는 HTTPS 트래픽에 숨기므로 방화벽을 우회하기 용이하지만, 보안 관점에서 기업망에서는 관리가 어려울 수 있습니다.
3. 구성 요소
| 구성 요소 | 설명 | 예시 |
| DNS 클라이언트 | DoT/DoH 요청을 생성하는 사용자 장치 | 웹 브라우저, 모바일 기기 등 |
| 리졸버(Resolver) | 암호화된 요청을 수신 및 처리 | Cloudflare, Google Public DNS 등 |
| TLS 인증서 | 리졸버의 신원을 확인하고 암호화 | Let’s Encrypt, CA 기관 인증서 |
| 암호화 통신 채널 | TLS/HTTPS를 통한 보안 연결 | TCP Handshake + TLS Negotiation |
이러한 구성 요소는 DNS 통신의 기밀성, 무결성, 인증성을 보장하며, 사용자의 DNS 정보 보호에 기여합니다.
4. 기술 요소
| 기술 요소 | 설명 | 관련 표준 |
| TLS 1.2/1.3 | 안전한 암호화 계층 제공 | RFC 7858 (DoT) |
| HTTP/2, HTTP/3 | 다중화 및 낮은 지연 시간 지원 | RFC 8484 (DoH) |
| DNSSEC과의 연계 | DNS 응답의 무결성 검증 | RFC 4033~4035 |
특히 DoH는 HTTP/2, HTTP/3 기반으로 설계되어 연결 재활용 및 헤더 압축을 통한 성능 향상을 제공합니다. TLS 1.3 도입 시, 핸드셰이크 속도 및 보안성도 크게 향상됩니다.
5. 장점 및 이점
| 장점 | 설명 | 기대 효과 |
| 개인정보 보호 강화 | 제3자가 DNS 요청 내용을 보기 어려움 | 감청 및 추적 차단 |
| 통신 보안성 향상 | MITM 공격 방지, 인증된 리졸버 사용 | 위조 응답 차단 |
| 인터넷 검열 우회 | DoH는 일반 HTTPS 트래픽에 내장 | 접속 차단 회피 가능 |
DoT/DoH는 HTTPS 수준의 보안을 DNS 영역에 도입함으로써, 전반적인 인터넷 통신 보안을 강화하는 역할을 합니다.
6. 주요 활용 사례 및 고려사항
| 활용 사례 | 설명 | 고려사항 |
| 브라우저 보안 강화 | Firefox의 기본 DoH 설정 | 기업망에서는 비활성화 필요 가능성 |
| 모바일 통신 보호 | Android 9 이상에서 DoT 지원 | 데이터 요금제 고려 필요 |
| 보안 게이트웨이 연동 | DNS 트래픽 모니터링 최소화 | 가시성 확보 방안 필요 |
기업 환경에서는 DoH의 트래픽 은폐성이 보안 모니터링에 장애가 될 수 있으므로, DNS 트래픽 가시화 솔루션과의 연동이 필요합니다.
7. 결론
DoT와 DoH는 DNS 요청의 기밀성과 무결성을 보장하는 현대적인 보안 기술입니다. 인터넷 사용자와 기업 모두에게 강력한 보안 옵션을 제공하지만, 관리 및 정책 설정이 중요한 이슈로 대두되고 있습니다. 향후 IoT 환경과 5G 인프라 등에서도 기본 보안 옵션으로 채택될 가능성이 큽니다.
'Topic' 카테고리의 다른 글
| Approximate Query Processing (AQP) (0) | 2025.04.07 |
|---|---|
| DANE (DNS-based Authentication of Named Entities) (0) | 2025.04.07 |
| ECN (Explicit Congestion Notification) (1) | 2025.04.07 |
| Delay Tolerant Networking (DTN) (0) | 2025.04.07 |
| Retrieval-Augmented Prompting (RAP) (0) | 2025.04.07 |