공용 DNS 리졸버 고를 때 진짜 봐야 하는 기준들

• 공용 DNS 리졸버를 고르는 기준은 “제일 빠른 거” 하나로 끝나지 않음

  • 개인정보 보호, 악성코드 차단, 자녀 보호, 속도, IPv6, 관할권, 운영 주체 같은 조건이 같이 걸림
  • 이 가이드는 전 세계 공용 리졸버 30개를 대상으로 조건을 좁혀주는 선택 도구와 비교표를 제공함
  • 전송 방식, DNSSEC, IPv6, 관할권, 운영자 유형은 하드 필터로 보고, 나머지 우선순위는 점수화해서 정렬하는 방식임

• 성능 측정은 브라우저에서 DNS-over-HTTPS, 즉 DoH 왕복 시간을 재는 구조임

  • 사용자가 실제 접속한 위치에서 어떤 DoH 리졸버가 빠른지 볼 수 있음
  • 평문 DNS만 지원하는 리졸버는 이 방식으로 테스트할 수 없음
  • 결과에는 TLS와 HTTP 오버헤드가 포함되므로 절대값보다 상대 비교에 가깝고, 몇 번 반복해서 보는 게 낫다고 설명함
  • 브라우저가 각 리졸버에 직접 질의하므로, 테스트 대상 리졸버에는 사용자의 IP가 보임

• 암호화 DNS는 지연 시간을 조금 늘릴 수 있지만, 전체 웹 경험에서는 생각보다 차이가 작을 수 있음

  • DoH와 DoT는 쿼리당 오버헤드를 만들지만, 연구들에서는 전체 페이지 로딩 시간이 평문 DNS와 크게 벌어지지 않는 경우가 많다고 봄
  • 다만 손실이 많거나 지연이 큰 네트워크에서는 여전히 평문 Do53이 유리할 수 있음
  • 결국 “어느 리졸버가 빠른가”는 사용자 지역과 네트워크 상태에 꽤 좌우됨

• 보안 쪽 핵심은 중간자 조작을 막는 것과 운영 품질을 보는 것임

  • 대규모 암호화 DNS 연구에서는 평문 DNS보다 전송 중 가로채기나 변조 가능성이 훨씬 낮은 것으로 나타남
  • 하지만 같은 연구에서 DoT 제공자의 약 25%가 잘못된 TLS 인증서를 제공했다는 결과도 있었음
  • 그러니까 “암호화 지원”만 보고 끝낼 게 아니라, 운영이 제대로 되는 제공자인지도 봐야 함

• 프라이버시 관점에서는 리졸버가 결국 사용자의 도메인 질의를 본다는 점이 제일 큼

  • DoH나 DoT를 써도 리졸버 운영자는 어떤 도메인을 조회했는지 알 수 있음
  • 이게 부담이면 무로그 정책을 내세우는 운영자나, 사용자 신원과 질의를 분리하는 ODoH 같은 구조를 봐야 함
  • Cloudflare와 Apple은 ODoH를 배포한 사례로 언급됨

• EDNS Client Subnet은 속도와 프라이버시를 맞바꾸는 대표적인 기능임

  • 사용자 IP 일부를 CDN에 전달해 더 가까운 서버로 라우팅되도록 도와줌
  • Google과 OpenDNS는 더 정밀한 CDN 매핑을 위해 이 기능을 사용함
  • Cloudflare와 일반 Quad9은 프라이버시를 위해 기본적으로 쓰지 않는 쪽임
  • CDN 최적화가 중요한지, IP 일부 노출을 줄이는 게 중요한지에 따라 선택이 갈림

• DoQ는 암호화 DNS 중 성능 면에서 꽤 흥미로운 선택지로 언급됨

  • 2022년 DoQ 측정에서는 응답 시간이 DoT와 DoH보다 좋았음
  • 다만 QUIC의 주소 검증 제한 때문에 약 40%의 핸드셰이크가 느려지는 문제도 관찰됨
  • Quad9, AdGuard, NextDNS, Control D, Mullvad, UncensoredDNS, 일부 중국 주요 리졸버가 DoQ를 지원하는 예로 나옴

• DNSCrypt도 아직 의미 있는 선택지로 다뤄짐

  • DNSCrypt는 DoH, DoT, DoQ보다 오래된 방식이고, 버전 2는 2013년에 나왔음
  • 리졸버의 사전 공유 공개키로 첫 패킷부터 암호화하므로, 평문 호스트명 조회나 인증기관 의존이 없음
  • 2019년에 나온 Anonymized DNS 모드는 클라이언트 IP도 숨기는 방향임
  • Quad9, OpenDNS, AdGuard, NextDNS, Control D, Yandex 등이 DNSCrypt를 제공하는 것으로 정리됨

• 암호화만으로 모든 프라이버시 문제가 끝나는 건 아님

  • DoH를 써도 트래픽 분석으로 방문 도메인을 높은 정확도로 식별할 수 있다는 연구가 있음
  • 표준 EDNS 패딩만으로는 이를 완전히 막지 못함
  • 그런 위협 모델이 실제로 중요하다면, 암호화 DNS만 믿지 말고 Tor나 ODoH 같은 구조를 같이 봐야 함

• 기업이나 조직 네트워크에서는 외부 공용 리졸버 사용이 통제 문제로 이어질 수 있음

  • 운영자의 법적 관할권에 따라 로그 제출이나 강제 조치 가능성이 달라짐
  • 소수 대형 사업자가 전 세계 재귀 DNS 트래픽의 큰 비중을 처리한다는 점도 리스크임
  • 미국 NSA도 외부 리졸버가 내부 DNS 필터링과 검사를 우회할 수 있다고 경고한 바 있음

• 디버깅 품질도 리졸버마다 차이가 큼

  • 2023년 Extended DNS Errors 연구에서는 주요 리졸버들이 테스트 케이스의 94%에서 진단 오류 보고가 서로 달랐다고 함
  • Cloudflare가 가장 정밀한 편으로 언급됨
  • 장애 분석을 자주 해야 하는 환경이라면 단순 응답 속도보다 표준 준수와 오류 보고 품질도 봐야 함

---

기술 맥락

• DNS 리졸버 선택은 “인터넷 주소 찾아주는 서버 하나 고르기”처럼 보이지만, 실제로는 보안 경계와 관측 지점을 어디에 둘지 정하는 일이에요. 리졸버는 사용자가 어떤 도메인을 조회하는지 볼 수 있으니까요. 그래서 속도만 보고 고르면 프라이버시나 조직 정책을 놓치기 쉬워요.

• DoH, DoT, DoQ는 모두 DNS 질의를 암호화하려는 선택지지만, 해결하는 방식과 운영 난도가 조금씩 달라요. DoH는 HTTPS 위에 올라가서 배포가 쉽고 브라우저 친화적이에요. DoT는 DNS 전용 TLS 흐름이라 구조가 명확하고, DoQ는 QUIC 기반이라 성능 개선 여지가 있지만 클라이언트와 리졸버 지원 상태를 같이 봐야 해요.

• DNSSEC은 암호화 DNS와 역할이 달라요. DoH나 DoT가 전송 중 엿보기와 변조를 줄이는 쪽이라면, DNSSEC은 받은 레코드 자체가 위조되지 않았는지 검증하는 쪽이에요. 둘 중 하나만 있으면 충분한 게 아니라, 위협 모델에 따라 같이 필요한 경우가 많아요.

• EDNS Client Subnet은 실무에서 꽤 자주 나오는 딜레마예요. CDN 라우팅을 더 잘하려고 IP 일부를 넘기면 성능은 좋아질 수 있지만, 그만큼 위치와 네트워크 정보가 더 퍼져요. 사용자가 많은 서비스나 회사 네트워크라면 이 선택이 체감 성능과 개인정보 정책 양쪽에 영향을 줘요.

• 조직 환경에서는 공용 리졸버가 내부 보안 장비를 우회할 수도 있어요. 개발자가 개인 장비에서 빠른 리졸버를 쓰는 건 편하지만, 회사 네트워크에서는 악성 도메인 차단, 감사, 사고 대응 흐름이 깨질 수 있거든요. 그래서 인프라 팀은 리졸버를 성능 도구가 아니라 정책 지점으로 봐야 해요.