[윈도우] 5분만에 DNS 암호화 통신 적용하기

이미 뉴스를 통해서 많이 접하셨겠지만 정부에서 DNS 서버를 이용한 사이트 접속 차단을 시작했습니다. 공익적 목적이라고 하니 백프로 이해 못 하는 부분은 아니지만, 거기에 사용되는 기술이 정치적 상황에 따라서 악용될 위험성도 있고, 무엇보다 SKB의 경우에는 구글 같은 해외 DNS로 나가는 통신까지 모니터해서 변조한다고 한다는 글까지 올라오는 것 보니 그렇게 유쾌하지가 않네요.

 

혹시 프라이버시가 걱정되시는 분들을 위해 'Simple DNSCrypt'라고 하는 프로그램을 이용하여 간단하게 DNS 통신도 암호화를 적용하는 방법을 소개합니다. 

 

-----

[1. 현재 내가 사용하는 DNS 상태 확인]

 

https://dnsleaktest.com/ 로 접속 후 지도 아래 나오는 [Standard Test]를 클릭해서 테스트를 진행합니다.

이는 암호화 적용 전 통신하는 DNS과 암호화 적용 후 통신하는 DNS를 비교하기 위함입니다.

특별히 컴퓨터나 공유기에 수동으로 DNS를 지정해주시지 않으셨다면, 

아래와 같이 지금 사용하는 인터넷 업체의 DNS가 표시됩니다.

'ISP' 이름만 머릿속에 기억해 두시고 창을 닫습니다. 

 

 

 

[2. Simple DNSCrypt 설치]

 

https://github.com/bitbeans/SimpleDnsCrypt/releases/ 로 접속해서

PC 환경에 맞는 인스톨러를 다운받습니다. 

32비트 운영체제인 경우는 SimpleDNSCrypt.msi

64비트 운영체제인 경우는 끝에 '64'가 붙은 .msi 파일을 내려받으시면 됩니다.

(작성 시점 최신 버전은 0.5.4입니다)

 

설치 과정 중에 바탕화면(Desktop)과 시작 메뉴(Start Menu)에 아이콘을 추가할 것인지, 

설치할 폴더는 어디로 할지 물어보는 과정이 제외하면 (특별히 바꾸실 필요는 없습니다.)

설치가 자동으로 이뤄지고, 마지막에 나오는 'Launch Simple DNSCrypt'(실행) 내용에 체크한 후 설치를 마치시면 됩니다.

 

[3. 실행 및 적용]

 

실행을 하게 되면 'Visual C++ 재배포 패키지'가 컴퓨터에 없는 경우 자동으로 받아 설치를 하게 되고,

아래에 같은 창이 나오면서 조정해주실 부분이 두 개 있습니다.

 

아래처럼 첫 번째 서비스를 먼저 켜 주시고, 적용할 랜카드를 선택해주셔서 '불이 들어오도록'(?) 바꿔주시면 됩니다.

 

 

↑ 이렇게 나오도록 하세요 ↑

 

 

앞서 설명해드렸던 https://dnsleaktest.com/ 에 접속해서 테스트를 진행한 후 결과값이 바뀌었는지 확인합니다:

(테스트 결과는 연결된 서버에 따라서 달라질 수 있습니다)

 

 

-----

[FAQ 1. 클라우드플레어 서버를 사용하고 싶어요]

 

답변:

'Resolver' 탭을 클릭한 후 'Automatic' 모드를 해제하고 'cloudflare'만 선택된 상태로 적용해주시면 됩니다.

 

다시 테스트를 실시하면 한국인 경우 국내 클라우드플레어 서버에 접속된 것을 확인하실 수 있습니다.

 

[FAQ 2. 구글 서버를 사용하고 싶어요]

 

답변:

구글 DNS 역시 암호화 통신을 지원하기는 하지만, 구글의 로깅(logging) 정책 때문에 기본적으로 선택에서 제외되어 있습니다.

구글에서는 수집한 정보를 타 구글 서비스와 연계시키지 않는다고 밝히고 있기는 합니다 :

https://developers.google.com/speed/public-dns/privacy

 

구글이 정보를 영구적으로 보관하는 것에 상관이 없으시다면, 

Main Menu로 돌아와 Only servers without logging에 체크된 것을 해제해줍니다.↓

 

그러면 Resolvers(서버) 목록에 구글 서버가 추가되며 선택할 수 있게 됩니다.

여기서 'google'만 선택 후 적용해주시면 됩니다.

 

테스트를 진행해서 구글로 접속되는지 확인 후 설정을 마치시면 됩니다. 읽어주셔서 감사합니다.

 

공개 서버 목록입니다:

https://dnscrypt.info/public-servers/

(맨 아래 'Rows per page : All'로 설정하셔서 보시는 것을 추천)

 

빨간 느낌표 : 접속 기록을 저장하는 서버

금지 표시 : 광고 차단이나 자녀 보호 같은 차단 필터가 있는 서버

자물쇠 표시 : DNSSEC 서버 https://한국인터넷정보센터.한국/jsp/resources/dns/dnssecInfo/dnssecInfo.jsp

 

차단 필터가 있는 DNS를 사용하시려고 하는 경우 Simple DNSCrypt에서 'Only servers without filter' 체크해제해주시면 애드가드 등의 DNS를 선택하실 수 있게 되니 참고하세요. (애드가드는 DNSSEC도 추가로 해제해주셔야 합니다.)

 

Quad9도 DoH 지원합니다.

점선 아래 내용 무시해주세요~

https://www.clien.net/service/board/news/12678589CLIEN

----

@

님 

음.. 덧붙이면 여기서 다루는 프로그램은 DNSCrypt와 DNS-over-HTTPS만 지원해서

DNS-over-TLS만 지원하는 IBM Quad9을 이용하시려면 다른 툴을 이용하셔야 됩니다. 

 

* GitHub 이슈 참조 : https://github.com/jedisct1/dnscrypt-proxy/issues/68

* 프로토콜 차이 : https://dnscrypt.info/faq ('Other protocols' 부분 참조)

 

클라우드플레어는 DoH와 DoT를 모두 지원한다고 하고

https://developers.cloudflare.com/1.1.1.1/dns-over-https/

https://developers.cloudflare.com/1.1.1.1/dns-over-tls/

 

구글은 DoH 위주로 지원하는 듯 하네요.

https://developers.google.com/speed/public-dns/docs/dns-over-https

 

유럽쪽이기는 한데 3개 다 지원하는 DNS도 있습니다. https://www.securedns.eu/

 

MiYa님께서 알려주셨는데 Intra라고 DNS-over-HTTPS 지원 앱이 이번 달에 새로 나왔네요.

https://play.google.com/store/apps/details?id=app.intra

 

구글과 관련된 회사(Jigsaw)라서 그런지 구글 서버로 기본적으로 설정되어 있고, 클라우드플레어로 변경도 가능합니다.

 

펌) https://www.clien.net/service/board/lecture/12079694?od=T31&po=89&category=&groupCd=