Brain520. DoH (DNS over HTTPS)
핵심 인사이트: DNS 암호화(DoT)를 도입해도 전용 포트(853)를 쓰면 방화벽 관리자가 차단할 수 있다. 그래서 "아예 수많은 일반 웹 트래픽(HTTPS, 포트 443) 사이에 DNS 질의를 은밀하게 섞어버리자"고 나온 기술이 DoH다. 궁극의 프라이버시 보호 기술이자, 방화벽 관리자들에겐 골칫거리다.
Ⅰ. DoH (DNS over HTTPS)의 개념
DoH는 평문으로 전송되던 DNS 질의를 암호화된 HTTPS 프로토콜 내부에 캡슐화하여 전송하는 국제 표준(RFC 8484) 기술입니다. DNS 질의가 일반적인 웹 서핑 트래픽과 완벽하게 동일하게 보이므로, 인터넷 서비스 제공자(ISP)나 기업의 방화벽이 사용자의 DNS 조회 내역을 엿보거나 특정 사이트 접속을 차단(검열)하는 것을 불가능하게 만듭니다.
Ⅱ. DoH의 주요 특징 및 DoT와의 비교
| 구분 | DoT (DNS over TLS) | DoH (DNS over HTTPS) |
|---|---|---|
| 포트 | TCP 853 (전용 포트) | TCP 443 (일반 HTTPS 포트) |
| 은닉성 | 암호화는 되지만 "DNS 통신을 하고 있다"는 사실은 노출됨 | 완벽한 은닉 (웹 서핑인지 DNS 질의인지 구분 불가) |
| 차단 난이도 | 방화벽에서 853 포트를 막으면 쉽게 차단됨 | 443 포트를 막으면 인터넷 전체가 먹통이 되므로 차단 불가 |
| 주요 주체 | OS 수준 지원 (Android 등) | 브라우저 수준 지원 (Chrome, Firefox 등) |
Ⅲ. DoH 동작 과정
- HTTPS 연결 설정: 브라우저(클라이언트)가 DoH를 지원하는 DNS 서버(예: 구글 8.8.8.8, 클라우드플레어 1.1.1.1)와 HTTPS 연결을 맺습니다.
- HTTP 요청 내 캡슐화: DNS 질의 데이터(예:
www.example.com의 IP는?)를 HTTPGET또는POST메서드의 페이로드에 담아 전송합니다.- 예:
GET /dns-query?dns=Base64로_인코딩된_DNS질의
- 예:
- HTTP 응답: DNS 서버는 HTTP
200 OK응답 바디에 암호화된 DNS 결과를 담아 반환합니다.
Ⅳ. DoH 도입에 따른 논란 (명암)
- 프라이버시 강화 (장점): 공공 와이파이나 독재 국가 등에서 중간자가 사용자의 접속 사이트를 수집하고 검열하는 것을 완벽히 방어합니다.
- 보안 통제 무력화 (단점): 기업이나 학교 방화벽에서 악성코드(C&C 서버) 통신이나 유해 사이트 접속을 DNS 단에서 차단해왔는데, DoH를 사용하면 이러한 엔터프라이즈 보안 정책이 무력화됩니다.
📢 섹션 요약 비유: DoT가 투명한 비닐봉지 대신 까만 '보안 봉투'에 편지를 담아 우체국에 보내는 것이라면, DoH는 그 보안 봉투를 수만 장의 흔한 '쿠팡 택배 상자(HTTPS)'들 사이에 몰래 끼워 넣어서, 택배기사가 이게 편지인지 물건인지조차 모르게 배달하는 완벽한 위장술입니다.