Brain519. DoT (DNS over TLS)
핵심 인사이트: DNSSEC이 '내용물(편지)'이 진짜인지를 증명한다면, DoT는 '봉투(전달 과정)' 자체를 암호화하여 남들이 내가 어느 사이트에 가려고 하는지 엿보지 못하게 막는 프라이버시 보호 기술이다.
Ⅰ. DoT (DNS over TLS)의 개념
DoT는 기존에 평문(Plaintext)으로 전송되던 DNS 질의(Query)와 응답(Response)을 TLS(Transport Layer Security) 프로토콜로 암호화하여 전송하는 국제 표준(RFC 7858)입니다. 인터넷 서비스 제공자(ISP)나 중간자(Man-in-the-Middle)가 사용자의 웹 방문 기록을 도청하거나 조작하는 것을 방지하기 위해 도입되었습니다.
Ⅱ. DoT의 주요 특징
| 구분 | 설명 |
|---|---|
| 포트(Port) | 전용 TCP 포트 853번을 사용합니다. |
| 암호화 방식 | HTTPS와 동일하게 TLS 지향 종단간(End-to-End) 암호화를 제공합니다. |
| 목적 | 프라이버시(Privacy) 보호가 최우선 목적입니다. (DNSSEC은 무결성 검증이 목적) |
Ⅲ. DoT의 동작 과정
- TLS 연결 설정: 클라이언트(또는 DNS 포워더)가 DNS 서버(예: 8.8.8.8, 1.1.1.1)의 TCP 853 포트로 연결하고 TLS 핸드셰이크를 수행합니다.
- 암호화된 질의 전송: TLS 터널이 형성되면, 기존의 DNS 메시지 형식 그대로 암호화 터널을 통해 질의를 보냅니다.
- 암호화된 응답 수신: 서버 역시 암호화된 상태로 IP 주소를 응답합니다.
Ⅳ. DoH (DNS over HTTPS)와의 차이점
DoT와 DoH는 모두 DNS를 암호화하지만 접근 방식이 다릅니다.
- DoT (TCP 853): 네트워크 계층 수준에서 DNS 전용 암호화 채널을 분리합니다. 방화벽 관리자가 853 포트를 차단하면 쉽게 막힐 수 있습니다.
- DoH (TCP 443): 일반 웹 트래픽(HTTPS)과 동일한 포트를 사용해 그 속에 DNS를 숨깁니다. 네트워크 관리자가 웹 트래픽과 DNS 트래픽을 구분하기 어려워 검열(차단)을 회피하는 데 훨씬 유리합니다.
📢 섹션 요약 비유: 옛날에는 수신인 이름이 다 보이는 엽서(UDP 53)를 썼기 때문에 우체부(ISP)가 내 관심사를 다 알았지만, DoT는 그걸 단단한 '보안 서류 가방(TLS 853)'에 넣어서 잠근 뒤 우체국에 전달하는 방식입니다.