DNS의 작동 원리와 보안 위협 (DNS Spoofing, DoH 등)

1. DNS란 무엇인가?

DNS(Domain Name System)는 사용자가 입력하는 도메인 이름(www.example.com)을 실제 네트워크에서 사용하는 IP 주소(192.168.1.1)로 변환하는 시스템입니다. DNS를 통해 우리는 기억하기 쉬운 도메인 이름을 사용하여 웹사이트에 접근할 수 있습니다.

DNS의 주요 역할

• 도메인 이름을 IP 주소로 변환하여 사용자가 웹사이트에 쉽게 접속할 수 있도록 함.
• 분산 네트워크 구조를 통해 빠르고 안정적인 네임 해석을 제공.
• DNS 캐싱을 통해 성능을 향상시켜 반복적인 조회 시간을 줄임.

2. DNS 쿼리와 응답 과정 상세 설명

DNS의 기본적인 작동 과정은 다음과 같습니다.

1. 사용자가 브라우저에서 www.example.com을 입력하면, 먼저 로컬 DNS 캐시를 확인합니다.
2. 캐시에 없을 경우, 사용자 PC의 **리졸버(Resolver)**가 설정된 DNS 서버(ISP의 DNS 서버)로 요청을 보냅니다.
3. ISP의 DNS 서버가 해당 도메인 정보를 가지고 있지 않으면, **루트 네임 서버(Root Name Server)**에 질의합니다.
4. 루트 네임 서버는 해당 도메인을 담당하는 **TLD 네임 서버(Top-Level Domain Name Server)**로 리디렉션합니다.
5. TLD 네임 서버는 도메인의 **권한 있는 네임 서버(Authoritative Name Server)**를 반환합니다.
6. 최종적으로 권한 있는 네임 서버가 www.example.com의 IP 주소를 제공하고, 이를 사용자에게 전달합니다.

📌 DNS 질의 과정 다이어그램

사용자 → 로컬 DNS 캐시 (있으면 응답, 없으면 요청) → ISP의 DNS 서버 → 루트 네임 서버 → TLD 네임 서버 → 권한 있는 네임 서버 → 사용자

3. DNS 캐싱과 성능 최적화 방법

DNS 응답 속도를 높이기 위해 다양한 캐싱 기법이 사용됩니다.

• 브라우저 캐시: 사용자의 웹 브라우저가 최근 방문한 사이트의 DNS 정보를 저장.
• 운영체제(OS) 캐시: 운영체제 수준에서 DNS 요청을 캐싱하여 성능을 향상.
• 리졸버 캐시: ISP의 DNS 서버가 자주 조회되는 DNS 정보를 캐싱.
• CDN(Content Delivery Network) 활용: 가까운 서버에서 DNS 응답을 제공하여 속도를 높임.

4. DNS 보안 위협과 대응책

DNS는 다양한 보안 위협에 취약하며, 대표적인 공격 방식은 다음과 같습니다.

(1) DNS 스푸핑(DNS Spoofing)

공격자가 DNS 응답을 조작하여 사용자를 악성 사이트로 유도하는 공격 기법.

✅ 대응책: DNSSEC(DNS Security Extensions) 사용, 보안 DNS 서비스 이용.

(2) DNS 캐시 포이즈닝(DNS Cache Poisoning)

DNS 서버의 캐시 데이터를 조작하여 잘못된 IP 정보를 저장하게 하는 공격.

✅ 대응책: 신뢰할 수 있는 DNS 서버 사용, 보안 업데이트 수행.

(3) DoH(DNS over HTTPS) 및 DoT(DNS over TLS)

기존 DNS 요청은 암호화되지 않기 때문에 공격자가 감청할 수 있음. 이를 방지하기 위해 DoH와 DoT가 사용됨.

✅ DoH(DNS over HTTPS): DNS 요청을 HTTPS 트래픽으로 암호화하여 보안 강화. ✅ DoT(DNS over TLS): DNS 요청을 TLS를 통해 보호하여 무결성을 보장.

5. 실제 DNS 설정 및 보안 강화 실습

(1) 리눅스에서 dig 명령어로 DNS 조회하기

# google.com의 A 레코드 조회
dig google.com +short

# 특정 네임 서버를 사용하여 조회
dig @8.8.8.8 google.com

(2) 클라우드플레어(Cloudflare) DNS(1.1.1.1) 설정

# /etc/resolv.conf 파일 수정
sudo nano /etc/resolv.conf

# 다음 내용을 추가
nameserver 1.1.1.1
nameserver 8.8.8.8

(3) DNSSEC 활성화 실습

DNSSEC는 도메인의 무결성을 보장하는 기술로, 이를 활성화하려면 도메인 등록기관(예: AWS Route 53, Cloudflare)에서 DNSSEC를 활성화해야 합니다.

# DNSSEC 상태 확인
dig example.com DNSKEY

6. 결론

DNS는 인터넷의 핵심 인프라로, 보안이 중요한 요소입니다. DNS 스푸핑, 캐시 포이즈닝 등의 위협을 방지하려면 DNSSEC, DoH, DoT 등의 최신 보안 기술을 적용해야 합니다.