웹 트래픽을 가장 잘 보호하는 DNS 암호화 프로토콜은 무엇입니까?

DNS(도메인 이름 시스템)는 많은 사람들에게 도메인 이름을 IP 주소 와 같은 컴퓨터가 읽을 수 있는 정보로 변환하는 인터넷 전화번호부로 간주합니다 .

주소 표시줄에 도메인 이름을 쓸 때마다 DNS는 이를 해당 IP 주소로 자동 변환합니다. 귀하의 브라우저는 이 정보를 사용하여 원본 서버에서 데이터를 검색하고 웹사이트를 로드합니다.

그러나 사이버 범죄자는 종종 DNS 트래픽을 모니터링하여 웹 검색을 비공개로 안전하게 유지하는 데 암호화가 필요합니다.

오늘날에는 여러 가지 DNS 암호화 프로토콜이 사용되고 있습니다. 이러한 암호화 프로토콜은 TLS(전송 계층 보안) 연결을 통해 HTTPS 프로토콜의 트래픽을 암호화하여 사이버 스누핑을 방지하는 데 사용할 수 있습니다.

1. DNS크립트

DNSCrypt는 사용자 컴퓨터와 공개 이름 서버 사이의 모든 DNS 트래픽을 암호화하는 네트워크 프로토콜입니다. 이 프로토콜은 공개 키 인프라(PKI)를 사용하여 DNS 서버와 클라이언트의 신뢰성을 확인합니다.

클라이언트와 서버 간의 통신을 인증하기 위해 공개 키와 개인 키라는 두 가지 키를 사용합니다. DNS 쿼리가 시작되면 클라이언트는 서버의 공개 키를 사용하여 쿼리를 암호화합니다.

그런 다음 암호화된 쿼리가 서버로 전송되고, 서버는 개인 키를 사용하여 쿼리를 해독합니다. 이러한 방식으로 DNSCrypt는 클라이언트와 서버 간의 통신이 항상 인증되고 암호화되도록 보장합니다.

DNSCrypt는 비교적 오래된 네트워크 프로토콜입니다. 이러한 최신 프로토콜이 제공하는 더 광범위한 지원과 강력한 보안 보장으로 인해 대부분 DNS-over-TLS(DoT) 및 DNS-over-HTTPS(DoH)로 대체되었습니다.

2. TLS를 통한 DNS

DNS-over-TLS는 TLS(전송 계층 보안)를 사용하여 DNS 쿼리를 암호화합니다. TLS는 DNS 쿼리가 엔드투엔드 암호화되도록 보장하여 중간자(MITM) 공격을 방지합니다 .

DoT(DNS-over-TLS)를 사용하면 DNS 쿼리가 암호화되지 않은 확인자 대신 DNS-over-TLS 확인자로 전송됩니다. DNS-over-TLS 확인자는 DNS 쿼리를 디코딩하여 사용자를 대신하여 권한 있는 DNS 서버로 보냅니다.

DoT의 기본 포트는 TCP 포트 853입니다. DoT를 사용하여 연결하면 클라이언트와 확인자 모두 디지털 "핸드셰이크"를 수행합니다. 그런 다음 클라이언트는 암호화된 TLS 채널을 통해 확인자에게 DNS 쿼리를 보냅니다.

DNS 확인자는 쿼리를 처리하고 해당 IP 주소를 찾은 다음 암호화된 채널을 통해 클라이언트에 응답을 다시 보냅니다. 클라이언트는 암호화된 응답을 수신하고 해독된 후 IP 주소를 사용하여 원하는 웹 사이트나 서비스에 연결합니다.

3. HTTPS를 통한 DNS

HTTPS 는 현재 웹사이트에 액세스하는 데 사용되는 HTTP의 보안 버전입니다. DNS-over-TLS와 마찬가지로 DNS-over-HTTPS(DoH)도 네트워크를 통해 전송되기 전에 모든 정보를 암호화합니다.

목표는 동일하지만 DoH와 DoT 간에는 몇 가지 근본적인 차이점이 있습니다. 우선, DoH는 트래픽을 암호화하기 위해 TLS 연결을 직접 생성하는 대신 HTTPS를 통해 모든 암호화된 쿼리를 보냅니다.

둘째, 일반 통신에는 포트 403을 사용하므로 일반 웹 트래픽과 구별이 어렵습니다. DoT는 포트 853을 사용하므로 해당 포트의 트래픽을 훨씬 쉽게 식별하고 차단할 수 있습니다.

DoH는 기존 HTTPS 인프라를 활용하기 때문에 Mozilla Firefox 및 Google Chrome과 같은 웹 브라우저에서 널리 채택되었습니다. DoT는 웹 브라우저에 직접 통합되기보다는 운영 체제 및 특수 DNS 확인자에서 더 일반적으로 사용됩니다.

DoH가 더 널리 채택되는 두 가지 주요 이유는 현재 웹 브라우저에 통합하기가 훨씬 쉽고 더 중요하게는 일반 웹 트래픽과 원활하게 혼합되어 차단이 훨씬 더 어려워지기 때문입니다.

4. QUIC를 통한 DNS

이 목록의 다른 DNS 암호화 프로토콜과 비교할 때 DoQ(DNS-over-QUIC)는 비교적 새로운 것입니다. 이는 QUIC(빠른 UDP 인터넷 연결) 전송 프로토콜을 통해 DNS 쿼리와 응답을 보내는 새로운 보안 프로토콜입니다.

오늘날 대부분의 인터넷 트래픽은 TCP(전송 제어 프로토콜) 또는 UDP(사용자 데이터그램 프로토콜)를 기반으로 하며 DNS 쿼리는 UDP를 통해 전송되는 경우가 많습니다. 그러나 QUIC 프로토콜은 TCP/UDP의 일부 단점을 극복하여 대기 시간을 줄이고 보안을 향상시키기 위해 탄생했습니다.

QUIC는 TCP 및 TLS와 같은 기존 프로토콜보다 더 나은 성능, 보안 및 안정성을 제공하도록 설계된 Google 에서 개발한 비교적 새로운 전송 프로토콜입니다  . QUIC는 TCP와 UDP의 기능을 결합하고 TLS와 유사한 암호화 기능을 내장하고 있습니다.

DoQ는 최신 버전이기 때문에 위에서 언급한 프로토콜에 비해 몇 가지 장점을 제공합니다. 우선 DoQ는 더 빠른 성능, 전체 대기 시간 감소 및 향상된 연결 시간을 제공합니다. 그러면 DNS 확인 속도가 빨라집니다(DNS가 IP 주소를 확인하는 데 걸리는 시간). 궁극적으로 이는 웹사이트가 더 빠르게 제공된다는 것을 의미합니다.

더 중요한 것은 DoQ는 TCP 기반 프로토콜과 달리 전체 재전송 없이 손실된 패킷을 복구할 수 있으므로 TCP 및 UDP에 비해 데이터 손실에 더 강하다는 것입니다.

게다가 QUIC를 사용하여 연결을 마이그레이션하는 것도 훨씬 쉽습니다. QUIC는 단일 연결에 여러 스레드를 캡슐화하여 연결에 필요한 루프 수를 줄여 성능을 향상시킵니다. 이는 WiFi와 모바일 네트워크 간을 전환할 때도 유용할 수 있습니다.

QUIC은 다른 프로토콜에 비해 아직 널리 채택되지 않습니다. 그러나 Apple, Google, Meta와 같은 회사는 이미 QUIC를 사용하고 있으며 자체 버전을 만드는 경우가 많습니다(Microsoft는 모든 SMB 트래픽에 MsQUIC를 사용함). 이는 미래에 좋은 징조입니다.

새로운 기술은 우리가 웹에 액세스하는 방식을 근본적으로 변화시킬 것으로 예상됩니다. 예를 들어, 현재 많은 회사에서는 블록체인 기술을 활용하여 HNS 및 Unstoppable Domains와 같은 보다 안전한 도메인 명명 프로토콜을 제공하고 있습니다.