공용 DNS 리졸버 선택 가이드

5 days ago 11
  • 공용 DNS 리졸버는 단순 속도보다 개인정보 보호, 필터링, 관할권, 운영 주체, 암호화 전송을 함께 봐야 하며, 이 가이드는 30개 글로벌 서비스를 요구사항별로 비교함
  • 선택 도구는 DoH·DoT·DoQ·DNSCrypt, DNSSEC 검증, IPv6, 관할권, 운영자 유형, EDNS Client Subnet을 하드 필터로 쓰고 목적별 우선순위를 점수화함
  • 브라우저 기반 DoH 지연시간 테스트는 현재 위치에서의 상대적 속도를 보여주지만, TLS/HTTP 오버헤드가 포함되고 평문 DNS 전용 리졸버는 측정하지 못함
  • 암호화 DNS는 중간자의 감청·변조를 줄이지만, 선택한 리졸버 제공자는 조회 도메인을 볼 수 있어 무로그 정책과 oblivious 설계까지 고려해야 함
  • 실무 선택에서는 DNSSEC, ECS의 속도-프라이버시 교환, DoQ 성능, DNSCrypt 특성, 트래픽 분석 한계, 표준 준수 차이, 관할권과 중앙화 위험을 함께 따져야 함

선택 도구가 비교하는 기준

  • 공용 DNS 리졸버는 사용자가 중요하게 보는 조건을 체크해 찾는 방식으로 비교함
  • 하드 필터로 쓰이는 조건
    • 암호화 전송: DNS-over-HTTPS(DoH), DNS-over-TLS(DoT), DNS-over-QUIC(DoQ), DNSCrypt
    • DNSSEC 검증 지원
    • IPv6 리졸버 주소 제공
    • 운영자 관할권
    • 운영자 유형: 비영리·커뮤니티·공익, 상업, 전체
    • EDNS Client Subnet(ECS): 사용 안 함, 사용함, 상관없음
  • 우선순위 점수화에 들어가는 항목
    • 최대 개인정보 보호와 무로그 또는 최소 로그
    • 악성코드·피싱 차단
    • 광고·트래커 차단
    • 자녀 보호와 성인 콘텐츠 차단
    • 게시된 DNS 응답을 그대로 반환하는 무필터링
    • 계정을 통한 사용자 지정 차단 목록·규칙
    • 글로벌 Anycast 기반 저지연 속도
    • 비상업 운영자

현재 위치 기준 DoH 속도 테스트

  • 내장 테스트는 브라우저에서 각 DoH 지원 리졸버까지의 왕복 시간을 측정함
  • 평문 DNS만 지원하는 리졸버는 이 방식으로 테스트할 수 없음
  • 결과는 상대적 참고값이며 TLS와 HTTP 오버헤드가 포함되므로 여러 번 실행하는 것이 전제임
  • 브라우저가 각 리졸버에 직접 질의하기 때문에 사용자의 IP 주소가 해당 리졸버에 노출
  • 테스트 구현은 Silviu Stroe의 오픈소스 DNS Speed Test에서 아이디어를 얻었지만 독립 구현이며, 페이지가 HTTPS로 제공될 때만 실행됨

성능과 암호화 전송의 차이

  • DoH와 DoT 같은 암호화 전송은 질의당 지연시간을 추가하지만, 전체 페이지 로드 시간은 평문 DNS와 가까운 경우가 많고 DoH 오버헤드도 실제 환경에서 작게 나타남
  • 손실이 있거나 지연시간이 높은 링크에서는 평문 Do53이 여전히 유리함
  • 성능은 제공자와 지역에 따라 달라지므로 가장 빠른 리졸버는 사용자의 위치에 좌우됨
  • 암호화 DNS의 대규모 종단 간 측정에서는 평문 DNS보다 질의가 전송 중 가로채이거나 변경될 가능성이 훨씬 낮고 오버헤드는 작았음
  • 다만 해당 연구에서 DoT 제공자의 약 25%가 유효하지 않은 TLS 인증서를 제공했으므로 운영 품질이 좋은 제공자를 고르는 것이 중요함

개인정보 보호의 실제 한계

  • 암호화 DNS는 네트워크에서 질의를 숨기지만, 선택한 리졸버 제공자는 조회한 모든 도메인을 볼 수 있음
  • 이 점이 문제라면 무로그 운영자를 고르거나, 프록시가 신원과 질의를 분리하는 ODoH 같은 oblivious 설계를 고려해야 함
  • Cloudflare와 Apple은 ODoH를 배포한 사례임
  • 암호화 DNS만으로 방문 사이트가 완전히 숨겨지지는 않음
    • DoH를 사용해도 트래픽 분석으로 방문 도메인을 높은 정확도로 식별할 수 있음
    • 표준 EDNS 패딩도 이를 완전히 막지 못함
    • 이 위협 모델이 해당된다면 패딩에만 의존하지 말고 Tor나 oblivious 설계를 함께 써야 함

DNSSEC, ECS, 관할권

  • DNSSEC 검증을 수행하는 리졸버만 위조된 레코드로부터 보호함
  • Google, Cloudflare, Quad9은 DNSSEC를 검증하며, 첫 루트 키 KSK 롤오버를 사용자 장애 없이 처리함
  • 무결성이 중요하면 DNSSEC 검증을 필수 조건으로 봐야 함
  • EDNS Client Subnet(ECS) 은 더 나은 지리적 라우팅을 위해 IP 일부를 CDN에 보냄
    • Google과 OpenDNS는 더 정밀한 CDN 매핑을 위해 ECS를 보냄
    • Cloudflare와 표준 Quad9은 프라이버시를 위해 ECS를 끔
  • 운영자의 법적 소재지는 강제 가능 조치와 로그에 영향을 줌
  • 소수 제공자가 전 세계 재귀 DNS 트래픽의 큰 비중을 처리하고 있음
  • 미국 NSA는 외부 리졸버가 내부 DNS 필터링과 검사를 우회한다고 경고했으므로, 편의성과 통제 사이의 균형을 따져야 함

DoQ와 DNSCrypt

  • 2022년 DoQ 측정에서는 DNS-over-QUIC이 응답 시간에서 DoT와 DoH를 모두 앞섰음
  • 다만 QUIC의 주소 검증 제한 때문에 핸드셰이크의 약 40%가 느려졌음
  • 클라이언트와 리졸버가 모두 지원한다면 DoQ가 선호할 암호화 옵션임
    • 지원 예시: Quad9, AdGuard, NextDNS, Control D, Mullvad, UncensoredDNS, 중국 주요 서비스들
  • DNSCrypt는 DoH, DoT, DoQ보다 오래된 암호화 옵션이며 버전 2는 2013년에 나옴
  • DNSCrypt는 리졸버의 사전 공유 공개키로 첫 패킷부터 암호화하므로 평문 호스트명 조회와 인증기관 의존성이 없음
  • 2019년의 Anonymized DNS 모드는 클라이언트 IP도 숨김
  • 비교 대상 중 DNSCrypt 제공자는 Quad9, OpenDNS, AdGuard, NextDNS, Control D, Yandex임
  • 신뢰할 만한 사용량 수치는 부족하며, APNIC Labs 같은 대규모 측정은 DoH와 DoT를 추적하지만 DNSCrypt는 추적하지 않음

리졸버 구현 품질과 운영 데이터

  • 2023년 Extended DNS Errors 연구에서 주요 리졸버들은 진단 오류 보고가 테스트 사례의 94%에서 불일치했음
  • Cloudflare는 해당 연구에서 가장 정밀한 오류 보고를 보였음
  • 리졸버별 구현 품질과 표준 준수 차이는 문제 해결과 신뢰성에 영향을 줌
  • 참고 가능한 운영·커뮤니티 데이터

소규모·커뮤니티·지역 리졸버

  • 비교표 밖에도 취미, 커뮤니티, 국가별 특화 리졸버가 있으며, 사용 전 현재 상태와 정책을 확인해야 함
  • 유럽 항목은 European Alternatives에 정리되어 있음
  • 강한 검열이나 제재가 있는 지역의 리졸버는 현지 콘텐츠 규칙을 적용하거나 지리적 차단 우회를 위해 운영될 수 있으므로 더 주의가 필요함
  • 예시 서비스
    • DNS4all: 중립성과 성능을 중시하는 유럽 무필터링 리졸버
    • BlahDNS: 소규모 지역 서버에서 운영되는 오픈소스 취미 광고 차단 프로젝트, DoH·DoT·DoQ 지원
    • LibreDNS: LibreOps의 커뮤니티 리졸버, 광고 차단과 무로그 정책, DoH·DoT 지원
    • Dismail.de: 개인정보 보호 중심 독일 커뮤니티 리졸버, 무로그, DoH·DoT 지원
    • IIJ Public DNS: Internet Initiative Japan의 공개 DoH·DoT 리졸버, 아동 성착취물 도메인 차단
    • DNS for Family: 성인물, 도박, 악성코드, 광고·트래커, 안전 검색을 포함한 가족 필터링 DoH
  • 피해야 할 레거시 또는 중단 서비스로 Oracle Dyn, Level3(4.2.2.x), Freenom World, dns0.eu, Norton ConnectSafe가 언급됨
Read Entire Article