DNS over TLS

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 서버 소프트웨어 지원
- 2.1. 주요 소프트웨어
3. 클라이언트 소프트웨어 지원
- 3.1. 리눅스 및 윈도우
- 3.2. iOS
4. 공개 리졸버
- 4.1. 주요 공개 리졸버
5. 비판 및 구현 고려 사항
6. 대안
- 6.1. HTTPS를 통한 DNS (DoH)
- 6.2. DNSCrypt
참조

1. 개요

DNS over TLS(DoT)는 DNS 쿼리를 암호화하여 보안을 강화하는 프로토콜이다. BIND, Unbound, 안드로이드 파이 등 다양한 서버 및 클라이언트 소프트웨어에서 지원하며, 안드로이드 파이에서는 DoT를 지원하여 사용자가 DNS 서버를 설정할 수 있게 되었다. 쿼드9, 구글, 클라우드플레어 등에서 공개 리졸버를 제공한다. DoT는 자녀 보호 기능을 우회할 수 있고, DNS 트래픽 분석을 방해할 수 있다는 비판을 받지만, DoH, DNSCrypt와 같은 대안이 존재한다.

더 읽어볼만한 페이지

전송 계층 보안 - 공개 키 기반 구조
공개 키 기반 구조(PKI)는 공개 키 암호화를 기반으로 안전한 통신과 개체 식별을 가능하게 하는 기술로서, 디지털 인증서를 통해 공개 키를 특정 개체에 연결하고 인증서를 관리하며, 인증 기관(CA), 등록 기관(RA) 등 다양한 구성 요소로 이루어져 인증서 발급, 관리, 배포, 사용 및 폐기와 관련된 역할, 정책, 하드웨어, 소프트웨어 및 절차의 집합을 포함한다.
전송 계층 보안 - HTTPS
HTTPS는 HTTP에 보안 기능이 더해진 통신 규약으로, 웹 브라우저와 서버 간 통신을 암호화하여 보안을 강화하지만, 인증서 비용, 서버 부하, 혼합 콘텐츠 문제 등의 단점도 존재한다.
인터넷 보안 - 전송 계층 보안
전송 계층 보안(TLS)은 클라이언트-서버 간 통신에서 도청, 간섭, 위조를 막기 위해 설계된 암호화 프로토콜이며, 종단 간 인증, 통신 기밀성을 제공하고, 다양한 프로토콜에 적용되어 HTTPS를 보호하는 데 주로 사용된다.
인터넷 보안 - 토르 (네트워크)
토르(Tor)는 사용자의 익명성을 보장하고 온라인 활동을 보호하기 위해 개발된 네트워크로, 암호화된 통신을 여러 노드를 거쳐 전송하며 검열 우회, 언론의 자유를 위한 도구로 활용되지만 범죄에도 악용될 수 있다.
도메인 네임 시스템 - 국제화 국가 코드 최상위 도메인
국제화 국가 코드 최상위 도메인은 다양한 언어의 문자를 국가 코드 최상위 도메인에 사용할 수 있도록 하는 시스템으로, 2009년부터 신청을 받아 아랍어, 러시아어, 중국어 등 다양한 국가에서 도입되었으나 혼동 가능성과 보안 문제 등의 과제도 안고 있다.
도메인 네임 시스템 - DNSSEC
DNSSEC는 DNS의 보안 취약점을 개선하기 위해 도메인 정보에 디지털 서명을 추가하여 응답 레코드의 무결성을 보장하고 DNS 위장 공격을 막는 기술로, RRSIG, DNSKEY 등 다양한 리소스 레코드 유형을 사용하여 인증 체인을 구성하며 공개 키 암호 방식을 활용한다.

DNS over TLS
기본 정보
이름	DNS over TLS
약자	DoT
종류	인터넷 보안 프로토콜
IETF RFC	7858, 8310
버전 날짜	2016년 5월, 2018년 3월
조직	IETF
저자	즈후 량주 존 하이데만 앨리슨 맨킨 듀에인 웨셀스 폴 호프만
상태	제안된 표준
설명
설명	TLS를 사용하여 DNS 쿼리를 실행하는 프로토콜이다.

2. 서버 소프트웨어 지원

BIND는 9.17 버전부터 DoT 연결을 지원하며, 이전 버전에서는 stunnel을 통한 프록시 방식으로 DoT 기능을 제공했다.^[4] Unbound는 2023년 1월 22일부터, Unwind는 2023년 1월 29일부터 DoT를 지원한다.^[5]^[6]^[7]^[8] 안드로이드 파이에서 DNS over TLS를 지원하면서, 일부 광고 차단기는 VPN이나 프록시 서버 등 일반적으로 사용되는 다양한 우회 방법 대신 암호화된 프로토콜을 사용하여 비교적 쉽게 서비스에 접근할 수 있도록 지원한다.^[9]^[10]^[11]^[12]

2. 1. 주요 소프트웨어

BIND는 9.17 버전부터 DoT 연결을 지원한다.^[3] 이전 버전에서는 stunnel을 통한 프록시 방식으로 DoT 기능을 제공했다.^[4] Unbound는 2023년 1월 22일부터 DNS over TLS를 지원한다.^[5]^[6] Unwind는 2023년 1월 29일부터 DoT를 지원한다.^[7]^[8]

3. 클라이언트 소프트웨어 지원

안드로이드 파이 이상을 실행하는 클라이언트는 DNS over TLS를 지원하며, ISP와 같은 네트워크 인프라가 이를 지원하는 경우 기본적으로 사용한다.^[13]^[14] 2018년 4월, 구글은 안드로이드 파이가 DNS over TLS를 지원할 것이라고 발표했다. 이를 통해 사용자는 와이파이 및 모바일 연결 모두에서 전화 전체의 DNS 서버를 설정할 수 있게 되었다. 이 옵션은 이전에는 루팅된 장치에서만 가능했다. PowerDNS의 DNSDist도 버전 1.3.0부터 DNS over TLS를 지원한다.^[16]

3. 1. 리눅스 및 윈도우

NLnet Labs의 stubby 데몬이나 Knot Resolver를 통해 DNS over TLS를 클라이언트로 사용할 수 있다.^[17] getdns_query 도구를 사용하여 DoT를 직접 사용하려면 getdns-utils를 설치해야 한다.^[18] unbound DNS 리졸버도 DNS over TLS를 지원한다.^[19]

systemd-resolved는 리눅스 전용 구현으로, `/etc/systemd/resolved.conf`를 편집하고 `DNSOverTLS` 설정을 활성화하여 DNS over TLS를 사용하도록 구성할 수 있다.^[21]^[22] 대부분의 주요 리눅스 배포판에는 systemd가 기본적으로 설치되어 있다.^[23]

3. 2. iOS

iOS 14는 DNS over TLS (및 DNS over HTTPS)에 대한 OS 수준 지원을 도입했다. iOS는 DoT 서버의 수동 구성을 허용하지 않으며, 구성 변경을 하려면 타사 응용 프로그램을 사용해야 한다.^[20]

4. 공개 리졸버

DNS over TLS는 2017년 Quad9에 의해 공용 재귀 해석기에서 처음 구현되었다.^[24]^[25] 구글, 클라우드플레어 등 다른 재귀 해석기 운영업체들도 그 뒤를 따랐다.^[26]^[27]^[28]^[29]^[30]^[31]^[32]^[33]^[12]

4. 1. 주요 공개 리졸버

Quad9은 2017년에 DoT를 처음 구현한 공용 재귀 해석기이다.^[24]^[25] 구글, 클라우드플레어 등 다른 재귀 해석기 운영업체들도 DoT를 지원하며, 현재는 대부분의 대형 재귀 해석기에서 일반적으로 사용 가능한 널리 지원되는 기능이다.^[26]^[27]^[28]^[29]^[30]^[31]^[32]^[33]^[12]

5. 비판 및 구현 고려 사항

DoT는 사이버 보안을 목적으로 DNS 트래픽 분석 및 모니터링을 방해할 수 있다는 비판을 받는다. 모든 통신과 마찬가지로 DNS 요청을 암호화해도 개인 정보가 완전히 보호되지는 않는다. 암호화는 제3자가 엿보는 것을 막아주지만, 엔드포인트가 암호를 해독한 데이터를 어떻게 처리하는지는 보장하지 않는다. DoT 클라이언트는 모든 권한 있는 네임 서버에 직접 쿼리하는 것은 아니므로 종단 간 암호화 프로토콜이라고 할 수 없으며, DNS over TLS가 일관되게 사용되는 경우에만 홉 간 암호화된다.^[34]

5. 1. 자녀 보호 기능 우회

DoT는 표준 DNS 수준에서 작동하는 자녀 보호 기능을 우회하는 데 사용될 수 있다. 일부 자녀 보호 라우터는 DoT를 기본적으로 차단한다.^[34] 그러나 DoT와 DoH를 모두 지원하면서 필터링 및 자녀 보호 기능을 제공하는 DNS 제공업체도 있다.^[35]^[36]^[37]^[38]^[39]^[12] 이러한 경우 DNS 쿼리는 사용자의 라우터를 떠나기 전이 아니라, 제공업체에서 수신된 후 차단 목록과 비교하여 확인된다.

5. 2. 개인 정보 보호 문제

DoT는 사이버 보안을 위해 DNS 트래픽을 분석하고 감시하는 것을 어렵게 만들 수 있다. DoT는 암호화되지 않은 표준 DNS 수준에서 작동하는 자녀 보호 기능을 우회하는 데 사용되기도 한다.^[34] DNS 쿼리를 통해 차단 목록에 있는 도메인을 확인하는 자녀 보호 라우터인 Circle은 DoT를 기본적으로 차단한다.^[34] 그러나 DoT와 DoH를 모두 지원하면서 필터링 및 자녀 보호 기능을 제공하는 DNS 제공업체도 있다.^[35]^[36]^[37]^[38]^[39]^[12] 이러한 경우 DNS 쿼리는 사용자의 라우터를 떠나기 전이 아니라, 제공업체에서 수신된 후에 차단 목록과 비교하여 확인된다.

모든 통신과 마찬가지로 DNS 요청을 암호화하는 것만으로는 개인 정보를 보호할 수 없다. 암호화는 제3자가 엿보는 것을 막아주지만, 엔드포인트가 암호를 해독한 데이터를 어떻게 처리하는지는 보장하지 않는다.

DoT 클라이언트는 반드시 모든 권한 있는 네임 서버에 직접 쿼리하는 것은 아니다. 클라이언트는 전통적인 (포트 53 또는 853) 쿼리를 사용하여 권한 있는 서버에 도달하기 위해 DoT 서버에 의존할 수 있다. 따라서 DoT는 종단 간 암호화 프로토콜이라고 할 수 없으며, DNS over TLS가 일관되게 사용되는 경우에만 홉 간 암호화가 된다.

5. 3. 종단 간 암호화

DoT 클라이언트는 반드시 모든 권한 있는 네임 서버에 직접 쿼리하는 것은 아니다. 클라이언트는 전통적인 (포트 53 또는 853) 쿼리를 사용하여 권한 있는 서버에 도달하기 위해 DoT 서버에 의존할 수 있다. 따라서 DoT는 종단 간 암호화 프로토콜로 자격이 없으며, DNS over TLS가 일관되게 사용되는 경우에만 홉 간 암호화로 간주된다.

6. 대안

DoT 외에도 DNS 쿼리를 암호화하는 다양한 프로토콜이 존재한다.

HTTPS를 통한 DNS(DoH)는 DoT와 유사한 프로토콜 표준으로, 암호화 및 전송 방법에 차이가 있다. 두 프로토콜 중 어느 것이 개인 정보 보호 및 보안에 더 우수한지에 대한 논쟁이 있다.^[40]

DNSCrypt는 DNS 트래픽을 인증하고 암호화하는 또 다른 네트워크 프로토콜이지만, 인터넷 기술 특별 위원회(IETF)에 의견 요청(RFC)으로 제안되지는 않았다.

6. 1. HTTPS를 통한 DNS (DoH)

HTTPS를 통한 DNS(DoH)는 DNS 쿼리를 암호화하기 위한 유사한 프로토콜 표준으로, 암호화 및 전송에 사용되는 방법에서 DoT와 차이가 있다. 개인 정보 보호 및 보안을 기반으로 두 프로토콜 중 어느 것이 더 우수한지에 대한 논쟁이 있으며, 특정 사용 사례에 따라 각 프로토콜의 장점이 다르다고 주장하는 사람들도 있다.^[40]

6. 2. DNSCrypt

DNSCrypt는 DNS 트래픽을 인증하고 암호화하는 또 다른 네트워크 프로토콜이지만, 인터넷 기술 특별 위원회(IETF)에 의견 요청(RFC)과 함께 제안된 적은 없다.

참조

_[1] 뉴스 Authoritative DNS-over-TLS Operational Considerations https://datatracker.[...] Internet Engineering Task Force 2021-07-17
_[2] 뉴스 DNS Zone Transfer-over-TLS https://datatracker.[...] Internet Engineering Task Force 2021-07-17
_[3] 웹사이트 4. BIND 9 Configuration Reference — BIND 9 documentation https://bind9.readth[...] 2021-11-14
_[4] 웹사이트 Bind - DNS over TLS https://kb.isc.org/a[...] 2018-05-15
_[5] 웹사이트 Unbound version 1.7.3 Changelog https://nlnetlabs.nl[...] 2018-08-07
_[6] 뉴스 Actually secure DNS over TLS in Unbound https://www.ctrl.blo[...] 2018-08-07
_[7] 웹사이트 openbsd-cvs mailing list archives https://marc.info/?l[...]
_[8] 웹사이트 openbsd-cvs mailing list archives https://marc.info/?l[...]
_[9] 웹사이트 blockerDNS - Block Ads and Online Trackers So You Can Browse the Web Privately on Your Android Phone Without Installing an App! https://blockerdns.c[...] 2019-08-14
_[10] 웹사이트 The official release of AdGuard DNS — a new unique approach to privacy-oriented DNS https://adguard.com/[...] 2019-08-14
_[11] 웹사이트 Blahdns -- Dns service support DoH, DoT, DNSCrypt https://blahdns.com/ 2019-08-14
_[12] 웹사이트 NextDNS https://nextdns.io/ 2023-12-16
_[13] 웹사이트 DNS over TLS support in Android P Developer Preview https://android-deve[...] 2019-12-07
_[14] 웹사이트 How to enable DNS over TLS in Android Pie https://www.techrepu[...] 2021-03-17
_[15] 웹사이트 DNS over TLS support in Android P Developer Preview https://security.goo[...] 2018-04-17
_[16] 웹사이트 DNS-over-TLS https://dnsdist.org/[...] 2018-04-25
_[17] 웹사이트 Knot Resolver https://www.knot-res[...]
_[18] 웹사이트 Package: getdns-utils https://packages.ubu[...] 2019-04-04
_[19] 웹사이트 Unbound - About https://nlnetlabs.nl[...] 2020-05-26
_[20] 웹사이트 Apple adds support for encrypted DNS (DoH and DoT) https://www.zdnet.co[...] 2020-10-03
_[21] 웹사이트 resolved.conf manual page https://www.freedesk[...] 2019-12-16
_[22] 웹사이트 Fedora Magazine: Use DNS over TLS https://fedoramagazi[...] 2020-09-04
_[23] 웹사이트 Systemd adoption https://en.wikipedia[...] 2019-12-16
_[24] 웹사이트 Privacy: Using DNS-over-TLS with the Quad9 DNS Service https://medium.com/n[...] Medium 2021-07-17
_[25] 웹사이트 Quad9 is a public DNS resolver, with promises of better privacy, and a DNS-over-TLS access https://labs.ripe.ne[...] RIPE Labs 2021-07-17
_[26] 웹사이트 Public DNS resolver Anycast DNS for All https://www.dnslify.[...] 2020-05-26
_[27] 웹사이트 Telsy TRT https://blog.telsy.c[...] 2020-05-26
_[28] 뉴스 How to keep your ISP's nose out of your browser history with encrypted DNS https://arstechnica.[...] 2018-04-08
_[29] 웹사이트 DNS over TLS - Cloudflare Resolver https://developers.c[...] 2018-04-08
_[30] 웹사이트 Google Public DNS now supports DNS-over-TLS https://security.goo[...] 2019-01-10
_[31] 웹사이트 Quad9, a Public DNS Resolver - with Security https://labs.ripe.ne[...] 2018-04-08
_[32] 웹사이트 Troubleshooting DNS over TLS https://medium.com/@[...] 2018-05-13
_[33] 웹사이트 LibreDNS https://libredns.gr/ 2019-10-20
_[34] 웹사이트 Managing encrypted DNS connections (DNS over TLS, DNS over HTTPS) with Circle http://support.meetc[...] 2020-07-07
_[35] 뉴스 New Quad9 DNS service blocks malicious domains for everyone https://arstechnica.[...] Ars Technica 2021-11-14
_[36] 웹사이트 Parental Control with DNS over TLS Support https://cleanbrowsin[...] 2020-08-20
_[37] 웹사이트 Parental Control with DNS Over HTTPS (DoH) Support https://cleanbrowsin[...] 2020-08-20
_[38] 웹사이트 Products https://blockerdns.c[...] 2020-08-20
_[39] 웹사이트 Protect your privacy with DNS-over-TLS on SafeDNS https://www.safedns.[...] 2020-08-20
_[40] 웹사이트 Google rolls out pro-privacy DNS-over-HTTPS support in Chrome 83... with a handy kill switch for corporate IT https://www.theregis[...] Thomas 2020-05-20
_[41] 웹사이트 Public DNS resolver {{!}} DNSlify - DNSlify {{!}} Anycast DNS for All https://www.dnslify.[...] 2020-05-26
_[42] 웹사이트 Telsy TRT https://blog.telsy.c[...] 2020-05-26
_[43] 뉴스 How to keep your ISP's nose out of your browser history with encrypted DNS https://arstechnica.[...] 2018-04-08
_[44] 웹사이트 DNS over TLS - Cloudflare Resolver https://developers.c[...] 2018-04-08
_[45] 웹사이트 Google Public DNS now supports DNS-over-TLS https://security.goo[...] 2019-01-10
_[46] 웹사이트 Quad9, a Public DNS Resolver - with Security https://labs.ripe.ne[...] 2018-04-08
_[47] 웹사이트 LibreDNS https://libredns.gr/ 2019-10-20
_[48] 웹사이트 DNS over TLS support in Android P Developer Preview https://security.goo[...] 2021-07-11
_[49] 웹사이트 DNS-over-TLS https://dnsdist.org/[...] 2018-04-25
_[50] 웹사이트 DNS over TLS using stunnel https://kb.isc.org/d[...] 2021-07-11
_[51] 뉴스 Actually secure DNS over TLS in Unbound https://www.ctrl.blo[...] Daniel Aleksandersen 2018-08-07
_[52] 웹사이트 'CVS: cvs.openbsd.org: src' - MARC https://marc.info/?l[...] 2021-07-11
_[53] 웹사이트 'CVS: cvs.openbsd.org: src' - MARC https://marc.info/?l[...] 2021-07-11
_[54] 웹사이트 blockerDNS - Block Ads and Online Trackers So You Can Browse the Web Privately on Your Android Phone Without Installing an App! https://blockerdns.c[...] 2019-08-14
_[55] 웹사이트 The official release of AdGuard DNS — a new unique approach to privacy-oriented DNS https://adguard.com/[...] 2019-08-14
_[56] 웹사이트 Blahdns -- Dns service support DoH, DoT, DNSCrypt https://blahdns.com/ 2019-08-14

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com