1063. DoH / DoT (웹/전송 보안 계층 DNS 암호화) - DNS over HTTPS TLS 1062 DNSSEC 한계 극복 프라이버시 검열 우회 스니핑 차단 라우팅 평문 노출 방지

핵심 인사이트: (1062번 DNSSEC 심화) DNSSEC으로 해커가 짝퉁 주소로 사기 치는 건 완벽하게 막았다. 근데 치명적 약점이 남았다. DNSSEC은 도장만 찍을 뿐(무결성 보장), 내용물을 '암호화'해서 꽁꽁 숨기지는 않는다! 내가 카페 와이파이에서 www.porn.com을 친다 치자. 주소 정보가 암호화가 안 된 쌩얼 텍스트로 날아가기 때문에, 정부(방통위) 검열 장비나 카페 사장님이 "어? 이놈 야동 사이트 IP 물어보네?" 하고 내 프라이버시를 다 들여다보고 콱 차단해 버린다(Warning 창). "야! DNSSEC 도장 찍는 걸로 모자라! 아예 내가 무슨 사이트 주소 물어보는지 자체를 경찰이나 정부가 절대 까보지 못하게, DNS 질문 패킷 전체를 은행 앱 접속할 때 쓰는 'HTTPS 암호화 터널' 속에 집어넣어서 통째로 숨겨버려!" 인터넷 최후의 프라이버시 사각지대를 지워버린 흑마법, DoH와 DoT다.

Ⅰ. 기존 DNS 평문 전송의 재앙 (검열과 감시)

  • 511번 쌩얼 DNS 패킷은 포트 53번(UDP)을 타고 암호화 없이(Plaintext) 날아갑니다.
  • 국가의 검열: 유저가 불법 사이트에 들어가려 할 때, 통신사(ISP)는 유저의 DNS 패킷을 중간에 까보고 "어? 불법 도메인이네?" 하고 가짜 IP 주소(경찰청 Warning.or.kr)를 던져주어 강제 차단시켰습니다. (DNS SNI 차단, SNI는 다음 1064번에서 설명)
  • 1062번 DNSSEC을 켜도 주소가 안 바뀔 뿐이지, 남이 내 질문 내용을 훔쳐보는 것(스니핑)은 못 막았습니다.

Ⅱ. DoT와 DoH의 탄생 🌟 (프라이버시의 방패)

그래서 IETF는 DNS 패킷 자체를 철갑 암호화 터널 안에 집어넣는 두 가지 표준을 제정했습니다.

1. DoT (DNS over TLS) - "DNS 전용 암호화 고속도로"

  • 개념: 은행 앱에서 쓰는 강력한 TLS(전송 계층 보안, 488번) 암호화 터널을 하나 뚫고, 그 껌껌한 터널 안으로 DNS 패킷을 던져버리는 기술입니다.
  • 포트: 기존 53번 포트를 버리고, 아예 **전용 포트인 853번(TCP)**을 씁니다.
  • 특징: 안드로이드 스마트폰에 기본 내장(Private DNS)되어 있습니다. 통신사는 내가 '어떤' 사이트에 가는지는 암호화되어 못 보지만, "아 얘가 853번 포트(DoT)를 썼으니까 지금 주소 물어보고 있네?"라는 사실 자체는 알 수 있습니다.

2. DoH (DNS over HTTPS) 🌟 최강의 스텔스 🌟

  • 개념: TLS보다 한술 더 뜹니다. 아예 우리가 웹 서핑할 때 쓰는 HTTPS 프로토콜(포트 443번) 안에다가 DNS 패킷을 잘게 다져서 구겨 넣어버립니다.
  • 포트: 유튜브, 네이버 들어갈 때 쓰는 443 포트를 똑같이 씁니다.
  • 스텔스 기능 (검열 무력화): 크롬(Chrome)이나 파이어폭스 브라우저가 이 방식을 씁니다. 통신사(검열기)가 패킷을 까봐도 이게 네이버 뉴스를 보는 평범한 웹 트래픽(HTTPS)인지, 아니면 불법 사이트 주소를 물어보는 DNS 질문(DoH)인지 절대 구분할 수가 없습니다. 443 포트를 아예 다 차단하면 국가 전체의 인터넷이 죽어버리기 때문에 정부의 검열을 가장 빡치게 만드는 궁극의 우회/암호화 기술입니다.

Ⅲ. DoH/DoT의 트레이드오프 (기업 보안팀의 눈물)

  • 프라이버시의 승리: 구글(8.8.8.8), 클라우드플레어(1.1.1.1) 등 글로벌 퍼블릭 DNS들이 DoH를 완벽 지원하며 국가 검열은 무너졌습니다.
  • 기업 보안팀의 비명: 회사 직원이 회사 PC에서 DoH 브라우저를 켜고 악성코드 도메인(명령 서버)에 접속합니다. 회사 방화벽 100억짜리 차단 장비가 이 암호화된 DNS 패킷을 까보질 못해서 악성 사이트 접속을 차단하지 못하고 랜섬웨어에 감염되는 대참사가 터집니다. (가시성의 상실)

Ⅳ. DNSSEC(1062번)과의 차이점 완벽 비교 🌟

  • DNSSEC: 해커가 가짜 주소로 **'조작'**하는 걸 막아주는 무결성(도장) 기술. (편지 내용물은 남이 읽을 수 있음)
  • DoH / DoT: 내 질문 내용을 남이 **'훔쳐보는 것'**을 막아주는 기밀성(암호화 터널) 기술. (편지 내용을 금고에 숨김)
  • 현대 클라우드는 이 두 기술을 동시에 섞어 써야 비로소 완벽한 인터넷 주소록 보안이 달성됩니다.

📢 섹션 요약 비유: 기존 쌩얼 DNS는 엽서 뒤에 "저기요! 포르노 사이트 주소 좀 알려주세요!"라고 대문짝만하게 적어서 우체통에 넣는 짓입니다. 우체부(통신사, 정부)가 편지를 나르다가 내용을 다 훔쳐보고 부끄러워하며 쓰레기통에 버립니다(차단). 이를 숨기기 위한 첫 번째 방법 **DoT(DNS over TLS)**는 이 엽서를 **'검은 봉투(TLS 암호화)'**에 밀봉하고 우표에 **'DNS 전용 마크(포트 853)'**를 찍어 보내는 겁니다. 우체부는 내용은 못 보지만 "아, 이놈 또 주소 물어보네?"라고 눈치는 챕니다. 두 번째 궁극의 방법 **DoH(DNS over HTTPS)**는 이 엽서를 아예 '일반 쇼핑몰 홈쇼핑 택배 박스(HTTPS 포트 443)' 안에 쇼핑몰 잡지들과 함께 숨겨서 택배로 부쳐버리는 미친 스텔스 작전입니다. 우체부가 택배 엑스레이를 찍어도, 이게 그냥 옷을 산 건지(일반 웹 서핑), 안에 음흉한 주소 질문 엽서(DoH)가 들어있는지 절대 구분할 수 없어서, 국가의 불법 사이트 검열망을 완벽하게 바보로 만들어버리는 인터넷 프라이버시 최후의 철갑탄입니다.