DNS는 인터넷의 전화번호부라고 불린다. 우리가 입력하는 도메인 이름을 실제 IP 주소로 변환하는 역할을 한다. 거의 모든 네트워크 요청은 DNS를 거친다.
문제는 이렇게 핵심적인 인프라임에도 불구하고, DNS는 오랫동안 평문으로 동작해왔다는 점이다. 이로 인해 스니핑, 변조, 캐시 포이즈닝 같은 공격이 반복적으로 발생했다.
이를 해결하기 위해 등장한 기술이 DoH(DNS over HTTPS)와 DoT(DNS over TLS)다. 암호화된 DNS 통신을 통해 프라이버시와 무결성을 강화하겠다는 시도다.
그런데도 왜 DNS는 여전히 취약하다고 말해지는 걸까.
암호화는 되었지만, 신뢰 구조는 그대로다
DoH와 DoT는 DNS 요청을 암호화한다. 네트워크 중간에서 누군가가 패킷을 들여다보거나 변조하는 것은 훨씬 어려워졌다. 사용자의 프라이버시 보호 측면에서는 분명한 진전이다.
하지만 암호화는 “누가 볼 수 있는가”를 막아줄 뿐, “누가 통제하는가”를 해결해주지는 않는다.
많은 사용자가 특정 글로벌 DNS 사업자의 서버를 이용한다. 트래픽이 소수 사업자에게 집중되면서 또 다른 중앙화 문제가 발생한다. 암호화는 되었지만, 질의 데이터는 여전히 특정 조직에 모인다.
결국 신뢰의 대상이 ISP에서 대형 DNS 사업자로 이동했을 뿐이라는 비판이 나오는 이유다.
DNS는 여전히 DDoS와 캐시 공격의 표적이다
DNS 인프라는 분산 구조로 설계되어 있지만, 공격 표적이 되기 쉽다. 대규모 DDoS 공격은 DNS 서버를 직접 마비시키거나 증폭 공격의 도구로 활용한다.
또한 캐시 포이즈닝 공격은 여전히 유효한 위협이다. DNSSEC 같은 기술이 이를 보완하기 위해 존재하지만, 모든 환경에서 완전히 적용되어 있지는 않다.
특히 기업 환경에서는 내부 DNS와 외부 DNS가 혼재되어 있고, 설정 오류나 관리 부주의로 인해 보안 구멍이 생기기 쉽다.
암호화 기술이 추가되었다고 해서 운영 복잡성이 줄어드는 것은 아니다. 오히려 설정과 인증서 관리 부담은 더 커질 수 있다.
DNS 보안의 핵심은 프로토콜이 아니라 운영이다
많은 조직이 DoH나 DoT 도입을 보안 강화의 상징처럼 받아들인다. 하지만 DNS 보안의 본질은 프로토콜 선택에만 있지 않다.
접근 통제, 로그 모니터링, 이상 트래픽 탐지, DNSSEC 적용 여부, 내부 네트워크 분리 등 운영 체계 전반이 함께 설계되어야 한다.
DNS는 눈에 잘 보이지 않지만, 모든 요청의 시작점이다. 이 계층이 무너지면 상위 애플리케이션 보안은 의미를 잃는다.
결국 DNS 보안은 단순히 암호화 프로토콜을 선택하는 문제가 아니라, 신뢰 모델과 운영 체계를 어떻게 설계할 것인가의 문제다.
암호화는 출발점일 뿐, 완성은 아니다.