윈도우11 DoH(DNS over HTTPS) DNS 암호화 설정 방법

HowTo - Windows 11 DNS over HTTPS를 이용한 DNS 트래픽 암호화

 몇 해 전 우리나라 방송통신위원회가 불법정보 유통금지를 위해 지금도 듣기에 아주 생소한 "HTTPS SNI 필드 검열"을 도입한다고 발표하여 큰 이슈가 생기기도 했습니다. 일반적으로 HTTPS 암호화 통신에 대해 누군가 중간에 엿보거나 가로챈 정보에서 얻을 수 있는 정보가 없습니다.

 

 그런데 HTTPS 방식으로 주고 받는 패킷 중 예외가 있는데 바로 암호화 통신을 시작하기 위해 사용자가 웹 사이트(서버)에 보내는 접속요청 정보입니다. 이렇게 암호화되지 않는 정보가 바로 SNI(Server Name Indication)이며, 방통위는 불법 또는 성범죄 불법촬영물에 대한 접속을 차단하기 위하여 암호화가 이루어지기 직전인 SNI 정보를 새로운 차단 기준으로 삼은 것입니다.

 

 물론 취지는 좋으나 SNI 값은 단순한 도메인명이 아닌 방문자의 행적을 추적할 수 있으므로, 감청까지 이루어질 수 있다는 우려를 현재까지도 많은 사람들이 의구심을 재기하고 있습니다. 이 때문에 DNS 통신 내용을 암호화하는 DoH 즉, DNS over HTTPS 기능을 사용하고 있습니다.

Windows 11 DoH 설정으로 개인 정보 보호하기

 DNS over HTTPS 방식은 일반적인 HTTPS 방식보다 사용자의 개인 정보를 보호할 수 있고, 해커로부터의 공격을 보호할 수 있는 효과가 있기 때문에 지속적으로 확산되고 있습니다.

 

 물론 Windows 10 운영체제에서 이러한 DNS 암호화 기능을 제공하지 않기 때문에 GoodbyeDPI 등의 별도 프로그램을 설치하거나, Firefox, Opera 등 브라우저에서 제공하는 DoH 기능을 사용해야만 합니다.

 

[IT/How to] - Mozilla Firefox DNS-over-HTTPS(DoH) 설정하기 (SNI 검열 우회)

Mozilla Firefox DNS-over-HTTPS(DoH) 설정하기 (SNI 검열 우회)

[IT/Software] - HTTPS 차단 우회, GoodbyeDPI로 SNI 검열 완벽해결

HTTPS 차단 우회, GoodbyeDPI로 SNI 검열 완벽해결

 

 다행히 곧 정식으로 출시될 Windows 11 에서는 'DNS over HTTPS' 기능이 함께 제공되며, 단순히 이 옵션을 활성화하고 암호화를 지원하는 DNS 서버(공급자)를 지정하기만 하면 됩니다.

 

 단순히 방통위의 SNI 검열에 대한 반대 의사가 없더라도, 암호화되지 않은 DNS 요청 쿼리는 Man-in-the-Middle 공격에 취약합니다. 이러한 공격으로 해커는 DNS 응답을 변경하고 사용자가 접속하려는 사이트가 아닌 다른 악성 사이트로 Redirection 할 수 있습니다.

 

 만약 DoH 기능이 켜져있으면 모든 DNS 요청이 암호화되어 피싱 사이트로 접속되는 것을 방지할 수 있습니다. Windows 11은 추가 프로그램의 도움 없이도 DoH를 지원합니다. 따라서 설정 단계에서 암호화 옵션 사용 및 Cloudflare, Google, Apple 등 암호화를 지원하는 Public DNS를 지정하여 소중한 개인 정보를 보호할 수 있습니다.

 

 Windows 11 DNS over HTTPS 설정 방법은 다음과 같습니다.

 

 키보드 단축키 Win + I 키를 눌러 Windows 설정 앱을 실행합니다. 설정 왼쪽 창에서 [네트워크 및 인터넷]을 선택하고 [속성] 옵션을 클릭합니다.

 

 "DNS 서버 할당" 옵션 옆의 [편집] 버튼을 클릭합니다.

 

 DNS 설정 편집 창이 열리면 기본 "자동(DHCP)"으로 운영중인 것을 변경하기 위하여 드롭다운 메뉴에서 [수동]을 선택합니다.

 

 수동 설정 편집 옵션을 선택하면 "IPv4" 및 "IPv6" 옵션 메뉴가 확장 표시됩니다. IPv4 옵션 토글 스위치를 [켬]으로 변경합니다.

 

 기본 설정  DNS 입력 필드에 다음 IP 주소 중 하나를 입력한 뒤 '기본 설정 DNS 암호화' 옵션은 "암호화된 항목만(HTTPS를 통한 DNS)"으로 선택합니다.

 

• Cloudflare DNS : 1.1.1.1
• Google Public DNS : 8.8.8.8
• Quad9 : 9.9.9.9

 다음으로 대체 DNS 입력 필드에 다음 IP 주소 중 하나를 입력합니다. 기본 설정 DNS 입력 필드에서 사용한 것과 동일한 DNS 서비스를 사용하는 것이 좋습니다. 예를 들어 Cloudflare DNS(1.1.1.1)를 기본으로 사용했기 때문에 대체 DNS 역시 1.0.0.1을 사용하고 있습니다.

 

• Cloudflare DNS : 1.0.0.1
• Google Public DNS : 8.8.4.4
• Quad9 : 149.112.112.112

 대체 DNS 역시 '대체 DNS 암호화' 드롭다운 메뉴에서 "암호화된 항목만(HTTPS를 통한 DNS)" 옵션을 선택한 뒤 [저장] 버튼을 클릭하여 Windows 11 DNS over HTTPS 설정을 적용합니다.

 

 다시 네트워크 및 인터넷 설정 화면으로 돌아와 'DNS 서버 할당' 항목을 살펴보면 IPv4 DNS 서버는 "암호화됨"으로 표시되는 것을 확인할 수 있으며, 이제 컴퓨터의 모든 DNS 요청은 암호화됩니다.

 

 DNS 암호화가 정상적으로 이루어지는지 확인하고 싶다면 '링크'를 클릭하여 확인하실 수 있습니다. 위 예시 이미지처럼 DNS over HTTPS 기능의 의도한 것처럼 동작하면 "Using DNS over HTTPS (DoH)" 항목 옆에 "Yes"가 표시됩니다.

 

 만약 IPv6 주소를 사용하는 경우 IPv4 DNS 암호화 설정 방법과 동일하게 IPv6 DNS를 설정하는 것이 좋습니다. DoH를 구성할 수 있는 기본 및 대체 DNS IPv6 주소는 다음과 같습니다.

 

• Cloudflare DNS 기본 : 2606:4700:4700::1111
• Cloudflare DNS 보조 : 2606:4700:4700::1001
• Google Public DNS 기본 : 2001:4860:4860::8888
• Google Public DNS 보조 : 2001:4860:4860::8844
• Quad9 기본 : 2620:fe::fe
• Quad9 보조 : 2620:fe::fe:9

 Windows 11에서 HTTPS를 통한 DNS 활성화 방법은 매우 간단합니다. Cloudflare, Google, Quad9 뿐만 아니라 DoH를 지원하는 DNS 서비스를 사용할 수 있습니다.

 

 참고로 Cloudflare와 같은 네트워크 인프라 기업은 DoH 서비스와 관련하여 DNS over Twitter, DNS over Tor, DNS over Telegram, DNS over Email 등 다양한 프로토콜도 포함하도록 DNS를 확장하고 있습니다.또한 Tor 네트워크를 사용하도록 허용하는 Onion 서비스를 제공하며, Cloudflare Resolver 1.1.1.1은 DoH와 DoT를 모두 지원하며 Onion 서비스를 통해 제공하고 있습니다.