DoH를 사용하면 VPN이 필요 없나요?

아닙니다. DoH는 DNS 쿼리만 암호화하며, 사용자의 실제 IP 주소나 전체 인터넷 트래픽은 보호하지 않습니다. VPN은 모든 온라인 트래픽을 암호화하고 IP 주소를 숨겨주므로, DoH와 VPN은 상호 보완적인 도구입니다.

DoH가 활성화되어 있는지 어떻게 확인하나요?

Firefox에서는 설정 > 일반 > 네트워크 설정으로 이동하여 DNS over HTTPS 옵션을 확인할 수 있습니다. Chrome에서는 설정 > 개인정보 보호 및 보안 > 보안에서 '보안 DNS 사용' 옵션을 찾아보세요. 또한 Cloudflare의 1.1.1.1 테스트 페이지 같은 온라인 도구를 통해 DoH 활성화 여부를 확인할 수도 있습니다.

DoH를 사용하면 인터넷 속도가 느려지나요?

DoH는 암호화 처리로 인해 아주 약간의 지연이 발생할 수 있지만, 대부분의 사용자는 실질적인 차이를 느끼지 못합니다. Cloudflare나 Google 같이 잘 관리된 DoH 리졸버는 속도에 최적화되어 있어 일반적인 사용 환경에서는 눈에 띄는 성능 저하가 없습니다.

DoH는 모든 종류의 DNS 차단을 우회할 수 있나요?

DoH는 DNS 수준의 차단을 우회하는 데 효과적이지만, 만능 해결책은 아닙니다. 검열 기관이나 네트워크 관리자가 알려진 DoH 리졸버의 IP 주소를 직접 차단하면 DoH 트래픽 자체를 막을 수 있습니다. 강력한 검열 환경에서는 VPN이나 Tor와 같은 추가적인 도구가 필요할 수 있습니다.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): 개념과 중요성

브라우저에 웹사이트 주소를 입력할 때마다, 사용자의 기기는 다음과 같은 질문을 전송합니다. "이 도메인의 IP 주소는 무엇인가?" 이 질문을 DNS 쿼리라고 하며, 수십 년 동안 인터넷상에서 평문(plain text) 형태로 전송되어 네트워크를 감시하는 누구에게나 완전히 노출되어 있었습니다. DNS over HTTPS (DoH)는 바로 이 문제를 해결하기 위해 만들어졌습니다.

DoH란 무엇인가

DNS over HTTPS는 DNS 쿼리를 암호화된 HTTPS 트래픽으로 감싸는 프로토콜입니다. 이는 인터넷 뱅킹이나 온라인 쇼핑 시 사용되는 것과 동일한 유형의 암호화 방식입니다. DNS 요청이 공개된 상태로 전송되는 대신, 안전한 HTTPS 연결 안에 묶여 DoH 호환 DNS 리졸버(resolver)로 전송됩니다. 외부 관찰자에게는 해당 트래픽이 일반적인 웹 브라우징처럼 보입니다.

DoH는 2018년 IETF(Internet Engineering Task Force)에 의해 RFC 8484로 표준화되었으며, 이후 Firefox, Chrome, Edge 같은 주요 브라우저와 Windows 11, Android 같은 운영 체제에 내장되었습니다.

작동 원리

기본적인 흐름은 다음과 같습니다.

브라우저에 `example.com`을 입력합니다.
기기가 포트 53을 통해 ISP의 DNS 서버로 평문 UDP 요청을 전송하는 대신, 포트 443을 통해 DoH 리졸버(예: Cloudflare의 `1.1.1.1` 또는 Google의 `8.8.8.8`)로 암호화된 HTTPS 요청을 전송합니다.
리졸버가 IP 주소를 조회하고 응답을 돌려보냅니다. 이 과정도 HTTPS를 통해 암호화된 상태로 이루어집니다.
브라우저가 해당 웹사이트에 접속합니다.

쿼리가 표준 HTTPS 포트인 포트 443을 사용하기 때문에, 일반 웹 트래픽과 구별이 어렵습니다. 네트워크상의 수동적 관찰자, 즉 ISP, 네트워크 관리자, 또는 악성 Wi-Fi 핫스팟을 운영하는 사람 모두 사용자의 DNS 조회를 다른 HTTPS 트래픽과 쉽게 구분할 수 없습니다.

VPN 사용자에게 중요한 이유

VPN을 이미 사용하고 있다면 DoH가 필요한지 의문이 들 수 있습니다. 타당한 질문이며, 답은 사용자의 설정 방식에 따라 달라집니다.

VPN을 사용하지 않는 경우, DoH는 상당한 프라이버시 향상을 제공합니다. ISP가 사용자가 방문하는 모든 도메인을 쉽게 기록할 수 없게 됩니다. 이는 특히 많은 국가에서 ISP가 브라우징 데이터를 수집하고 판매하도록 허용되거나 심지어 요구받는 상황에서 매우 중요합니다.

VPN을 사용하는 경우, DNS 쿼리는 이미 VPN 터널을 통해 라우팅되어 VPN 제공업체의 자체 DNS 서버에서 처리되어야 합니다. 그러나 VPN 연결이 끊어지거나 잘못 구성된 경우, DNS 누출(DNS leak)이 발생할 수 있습니다. 즉, 기기가 터널 외부로 DNS 쿼리를 전송하도록 폴백(fallback)되어 사용자의 활동이 노출될 수 있습니다. VPN과 함께 DoH를 사용하거나, DoH를 내부적으로 구현한 VPN을 선택하면 이러한 누출에 대한 추가적인 보호 계층이 생깁니다.

또한 DoH만으로는 VPN을 대체할 수 없다는 점을 유의해야 합니다. DoH는 도메인 조회 단계만 암호화합니다. 사용자의 실제 IP 주소는 방문하는 웹사이트에 여전히 노출되며, ISP는 사용자가 연결하는 IP 주소를 여전히 확인할 수 있습니다. 다만 어떤 도메인 이름이 해당 연결을 유발했는지는 반드시 알 수 없습니다.

실제 예시 및 활용 사례

공용 Wi-Fi: 카페나 공항 네트워크에 연결된 경우, DoH는 네트워크 운영자가 DNS 쿼리를 기록하거나 조작된 서버로 리디렉션하는 것을 방지합니다.
기본적인 검열 우회: 일부 ISP는 DNS 쿼리를 가로채어 웹사이트를 차단합니다. DoH는 쿼리를 암호화하여 외부 리졸버로 전송하기 때문에 DNS 수준의 차단을 우회할 수 있습니다. (단, 결연한 검열 기관은 IP 주소로 DoH 리졸버 자체를 차단할 수 있습니다.)
브라우저 수준의 보호: Firefox와 Chrome에서는 설정에서 직접 DoH를 활성화할 수 있어, VPN을 사용하지 않는 상황에서도 암호화된 DNS를 이용할 수 있습니다.
기업 환경: 네트워크 관리자들은 DoH가 내부 DNS 제어를 우회할 수 있기 때문에 DoH에 대해 자주 논의합니다. 많은 조직에서는 DoH가 공개 리졸버 대신 승인된 내부 리졸버를 통해 라우팅되도록 구성합니다.

DoH vs. DoT

DoH는 또 다른 DNS 암호화 프로토콜인 DNS over TLS (DoT)와 자주 비교됩니다. 두 프로토콜 모두 DNS 트래픽을 암호화하지만, DoT는 네트워크 관리자가 쉽게 식별하고 필터링할 수 있는 전용 포트(853)를 사용합니다. 반면 DoH는 일반 HTTPS 트래픽과 혼합되어 차단하기 어렵습니다. 이는 프라이버시 측면에서는 강점이지만, 네트워크 제어 측면에서는 우려 사항이 되기도 합니다.

DNS over HTTPS (DoH)중급