Private DNS란? 작동 원리와 설정 방법 완벽 가이드

Private DNS란?

Private DNS는 기기와 DNS 서버 사이에서 누구도 여러분이 조회하는 웹사이트를 볼 수 없도록 DNS 쿼리를 암호화하는 기능입니다. DNS over TLS(DoT) 또는 DNS over HTTPS(DoH) 같은 프로토콜을 사용하여 쿼리를 암호화된 터널로 감쌉니다.

Private DNS가 없으면 브라우저에 입력하는 모든 도메인 이름이 인터넷을 통해 평문(plaintext)으로 전송됩니다. ISP, Wi-Fi 네트워크의 다른 사용자, 네트워크 경로상의 모든 중간 장치가 해당 쿼리를 읽고 심지어 수정할 수도 있습니다. Private DNS는 기기와 DNS 리졸버 사이의 연결을 암호화하여 이를 차단합니다.

'Private DNS'라는 용어는 Android 9 Pie(2018)에서 도입된 Android 설정과 가장 흔히 연관되지만, 근본적인 기술인 암호화 DNS는 iOS, Windows, macOS, Linux를 포함한 모든 주요 플랫폼에서 사용할 수 있습니다.

일반 DNS의 작동 방식 (그리고 왜 문제인가)

전통적인 DNS는 1987년부터 쿼리를 평문으로 전송해왔습니다. 브라우저에 도메인 이름을 입력하면 기기가 DNS 리졸버(보통 ISP 서버)로 UDP 포트 53을 통해 DNS 쿼리를 보냅니다. 리졸버는 IP 주소로 응답하며, 이 모든 과정이 완전히 암호화되지 않은 상태로 진행됩니다.

이는 네트워크 경로상의 누구나 여러분이 방문하는 모든 도메인을 볼 수 있다는 것을 의미합니다. ISP는 완전한 브라우징 프로필을 구축할 수 있습니다. 공용 Wi-Fi의 공격자가 쿼리를 가로챌 수 있습니다. 일부 ISP는 DNS 응답을 하이재킹하여 자체 검색이나 광고 페이지로 리다이렉트하기도 합니다.

DNS는 또한 공격자가 위조된 응답을 보내 여러분을 악성 웹사이트로 리다이렉트하는 캐시 포이즈닝 및 스푸핑 공격에 취약합니다. 전통적인 DNS에는 응답이 실제 DNS 서버에서 온 것인지 확인할 수 있는 기본 메커니즘이 없습니다.

Private DNS의 작동 원리

Private DNS는 DNS 쿼리를 암호화된 연결 내부에 감쌉니다. UDP 포트 53으로 평문 쿼리를 보내는 대신, 기기가 먼저 DNS 리졸버와 암호화된 세션을 설정한 다음 해당 보안 터널을 통해 쿼리를 전송합니다.

DNS 리졸버는 쿼리를 복호화하고, 도메인 이름을 IP 주소로 변환한 후, 응답을 암호화하여 다시 보냅니다. 전체 교환 과정은 네트워크를 모니터링하는 누구에게도 보이지 않습니다. DNS 서버와 통신하고 있다는 것은 볼 수 있지만, 어떤 도메인을 쿼리하는지는 볼 수 없습니다.

현재 사용 중인 암호화 DNS 프로토콜은 세 가지입니다: DNS over TLS(DoT), DNS over HTTPS(DoH), DNS over QUIC(DoQ). 각각 동일한 기본 DNS 쿼리를 암호화하는 데 서로 다른 접근 방식을 취합니다.

DNS over TLS vs DNS over HTTPS vs DNS over QUIC

DoT는 시스템 레벨 Private DNS(Android, Linux)에서 가장 흔히 사용되는 프로토콜입니다. 전용 포트(853)를 사용하므로 네트워크 관리자가 쉽게 식별하고 차단할 수 있습니다.

DoH는 포트 443의 일반 HTTPS 트래픽에 섞이기 때문에 웹 브라우저에서 선호됩니다. 전체 웹을 중단시키지 않고는 차단이 거의 불가능합니다. Chrome, Firefox, Edge 모두 기본적으로 DoH를 지원합니다.

DoQ는 가장 최신 프로토콜(2022)이며 가장 빠릅니다. TLS 1.3 암호화가 내장된 QUIC 전송을 사용하며 제로 라운드 트립(0-RTT)으로 연결을 설정할 수 있습니다. Android 13+가 DoQ를 지원하며, AdGuard 같은 제공자는 이를 기본 프로토콜로 만들 계획입니다.

Android에서 Private DNS 설정하는 방법

Android는 Android 9 Pie(2018)부터 Private DNS를 기본 지원합니다. DNS over TLS를 사용하며 모든 앱에 시스템 전체적으로 적용됩니다.

• 1단계: 설정 > 네트워크 및 인터넷(삼성에서는 연결) 열기

• 2단계: Private DNS 탭 ('고급' 또는 '추가 연결 설정'을 먼저 탭해야 할 수 있음)

• 3단계: Private DNS 제공자 호스트 이름 선택

• 4단계: DoT 호스트 이름 입력. 예: 1dot1dot1dot1.cloudflare-dns.com(Cloudflare), dns.google(Google), dns.quad9.net(Quad9), dns.adguard-dns.com(AdGuard)

• 5단계: 저장 탭. Android가 연결을 확인합니다. 실패하면 오류가 표시됩니다.

iPhone 및 iPad에서 Private DNS 설정하는 방법

Apple은 Android처럼 간단한 토글을 제공하지 않습니다. iOS에서 암호화 DNS를 사용하려면 구성 프로필을 설치하거나 DNS 앱을 사용해야 합니다.

• 방법 1: DNS 앱 — App Store에서 1.1.1.1(Cloudflare), NextDNS 또는 AdGuard 앱을 설치합니다. 앱을 열고 암호화 DNS를 활성화합니다. 설정 > 일반 > VPN, DNS 및 기기 관리에서 확인할 수 있습니다.

• 방법 2: 구성 프로필 — 신뢰할 수 있는 소스(예: paulmillr/encrypted-dns GitHub 저장소)에서 .mobileconfig 파일을 다운로드합니다. 설정 > 일반 > VPN, DNS 및 기기 관리로 이동하여 다운로드한 프로필을 선택하고 설치를 탭합니다.

• 방법 3: 네트워크별 DNS — 설정 > Wi-Fi로 이동하여 네트워크 옆의 (i)를 탭한 다음 DNS 구성을 탭하고 수동을 선택한 후 DNS 서버 IP(예: 1.1.1.1, 1.0.0.1)를 추가합니다. 참고: 이 방법은 DNS를 암호화하지 않으며 리졸버만 변경합니다.

Windows 11에서 DNS over HTTPS 설정하는 방법

Windows 11은 DNS over HTTPS를 기본 지원합니다. Cloudflare, Google, Quad9을 포함한 인식된 DoH 제공자 목록이 내장되어 있습니다.

• 1단계: 설정 > 네트워크 및 인터넷 > Wi-Fi(또는 이더넷) 열기

• 2단계: 연결의 하드웨어 속성 클릭

• 3단계: DNS 서버 할당 옆의 편집 클릭

• 4단계: 수동을 선택하고 IPv4 활성화

• 5단계: 기본 DNS 서버 입력(예: 1.1.1.1), DNS over HTTPS를 켜기(자동 템플릿)로 설정

• 6단계: 보조 DNS 서버 입력(예: 1.0.0.1), DoH를 마찬가지로 켜기로 설정

• 7단계: 저장 클릭. DNS 항목에 암호화됨 라벨이 표시되어야 합니다.

# View pre-configured DoH providers in Windows 11
netsh dns show encryption

# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

macOS에서 Private DNS 설정하는 방법

macOS는 구성 프로필(iOS와 동일) 또는 DNS 앱을 통해 암호화 DNS를 지원합니다.

• 방법 1: DNS 앱 — Cloudflare 1.1.1.1 앱(또는 유사한 앱)을 설치하고 활성화합니다. 앱이 시스템 레벨에서 DoH 또는 DoT를 설정합니다.

• 방법 2: 구성 프로필 — .mobileconfig 파일을 다운로드하고 더블클릭하여 설치한 다음 시스템 설정 > 개인정보 보호 및 보안 > 프로파일에서 승인합니다.

• 방법 3: 터미널(고급) — networksetup을 사용하여 DNS 서버를 변경할 수 있지만, 명령줄 DNS 변경만으로는 암호화가 활성화되지 않습니다. 암호화 DNS를 위해서는 프로필 또는 앱이 여전히 필요합니다.

최고의 Private DNS 제공자 (2026)

Cloudflare 1.1.1.1은 가장 빠른 공용 DNS 리졸버이며 세 가지 암호화 프로토콜(DoT, DoH, DoQ)을 모두 지원합니다. 가족 안전 변형도 제공합니다: security.cloudflare-dns.com(맬웨어 차단) 및 family.cloudflare-dns.com(맬웨어 + 성인 콘텐츠 차단). Cloudflare는 IP 주소를 기록하지 않겠다고 약속하며 매년 감사를 받습니다.

Google Public DNS는 가장 널리 사용되는 공용 리졸버입니다. DoT와 DoH를 지원하지만 24-48시간 동안 임시 데이터를 기록한 후 익명화합니다. 절대적인 프라이버시가 우선이라면 Cloudflare나 Quad9이 더 좋은 선택입니다.

Quad9은 스위스 관할권에서 엄격한 IP 미기록 정책으로 운영됩니다. 25개 이상의 사이버 보안 회사의 위협 인텔리전스를 사용하여 알려진 악성 도메인을 자동으로 차단하므로, 보안에 중점을 둔 사용자에게 최적의 선택입니다.

AdGuard DNS는 DNS 레벨에서 광고와 트래커를 차단하므로, 별도의 광고 차단 앱을 설치하지 않아도 전체 기기에서 광고가 차단됩니다. DNS over QUIC의 초기 도입자로, DoQ를 기본 프로토콜로 만들 계획입니다.

NextDNS는 가장 많은 제어 권한을 제공합니다. 맞춤 호스트 이름, 설정 가능한 차단 목록, 기기별 분석, 자녀 보호, 정확히 무엇이 차단되는지 확인할 수 있는 대시보드를 제공합니다. 무료 등급은 월 300,000건의 쿼리를 포함합니다.

Private DNS 사용의 장점

기기에서 Private DNS를 활성화하면 즉각적인 보안 및 프라이버시 개선 효과를 얻을 수 있습니다.

• ISP 감시 차단 — ISP가 더 이상 여러분이 쿼리하는 도메인을 보거나 DNS 트래픽으로 브라우징 프로필을 구축할 수 없습니다

• DNS 스푸핑 방지 — TLS 인증이 여러분이 공격자가 아닌 실제 DNS 서버와 통신하고 있는지 확인합니다

• 공용 Wi-Fi 보호 — 같은 네트워크의 다른 사용자가 여러분의 DNS 쿼리를 가로챌 수 없습니다

• DNS 하이재킹 차단 — 손상된 라우터나 악성 네트워크에 의해 쿼리가 몰래 리다이렉트될 수 없습니다

• 투명 DNS 프록시 우회 — 일부 ISP는 서드파티 서버를 사용해도 포트 53에서 DNS를 가로챕니다. 암호화 DNS는 다른 포트를 사용하여 이러한 프록시를 우회합니다

• 선택적 광고 및 맬웨어 차단 — AdGuard, NextDNS, Quad9 같은 제공자가 DNS 레벨에서 광고, 트래커, 악성 도메인을 차단할 수 있습니다

• 시스템 전체 적용 — 한 번 활성화하면 Private DNS가 브라우저뿐만 아니라 기기의 모든 앱을 보호합니다

Private DNS의 잠재적 단점

Private DNS가 완벽하지는 않습니다. 알아야 할 트레이드오프를 정리했습니다.

• 첫 번째 쿼리의 약간의 지연 — TLS 핸드셰이크가 첫 번째 DNS 쿼리에 약 15-35ms를 추가합니다. 그 이후에는 연결이 재사용되며 후속 쿼리는 일반 DNS만큼 빠릅니다.

• 캡티브 포털 문제 발생 가능 — 로그인 페이지가 필요한 호텔, 공항, 카페 Wi-Fi 네트워크는 리다이렉트를 위해 비암호화 DNS가 필요한 경우가 많습니다. Private DNS가 이러한 포털 로딩을 방해할 수 있습니다.

• 기업 네트워크에서 차단 가능 — IT 부서는 보안 모니터링을 위해 DNS 가시성이 필요합니다. 많은 기업 네트워크가 의도적으로 외부 리졸버로의 암호화 DNS를 차단합니다.

• 중앙화 우려 — 암호화 DNS는 소수의 대형 리졸버(Cloudflare, Google) 사용을 촉진하여 DNS 트래픽을 더 적은 수의 회사에 집중시킵니다.

• 모든 것을 암호화하지는 않음 — Private DNS는 도메인 쿼리를 암호화하지만, ISP는 여전히 TLS 핸드셰이크의 SNI를 통해 여러분이 연결하는 IP 주소를 볼 수 있습니다(ECH도 함께 사용하지 않는 한).

• 분할 호라이즌 DNS 문제 — 내부와 외부에서 다른 DNS를 사용하는 조직에서는 기기가 내부 리졸버를 우회할 때 문제가 발생할 수 있습니다.

'이 네트워크가 암호화된 DNS 트래픽을 차단하고 있습니다' - 의미

iPhone이나 Mac에서 이 경고가 표시되면, 연결된 네트워크가 암호화된 DNS 쿼리가 목적지에 도달하는 것을 차단하고 있다는 뜻입니다. DNS 쿼리가 평문으로 전송되고 있으며 네트워크의 누구나 여러분이 방문하는 도메인을 볼 수 있습니다.

이 경고는 기업 네트워크, 학교 Wi-Fi, 캡티브 포털이 있는 호텔 및 공항 네트워크, 암호화 DNS를 지원하지 않는 오래된 라우터 펌웨어가 있는 네트워크에서 흔히 나타납니다.

• 기기와 라우터 재시작 — 네트워크 프로세스를 재설정하며 일시적인 문제를 종종 해결합니다

• Wi-Fi 네트워크를 지우고 다시 연결 — Wi-Fi 설정에서 네트워크를 지운 다음 다시 연결합니다

• 라우터 펌웨어 업데이트 — 오래된 펌웨어는 암호화 DNS 트래픽을 제대로 처리하지 못할 수 있습니다

• VPN 사용 — VPN은 DNS를 포함한 모든 트래픽을 암호화하여 네트워크 레벨의 DNS 차단을 우회합니다

• 관리형 네트워크에서는 수용 — 기업이나 학교 네트워크에서 암호화 DNS 차단은 보안 모니터링을 위한 의도적인 조치인 경우가 많습니다. 우회하지 못할 수 있습니다

Private DNS가 작동하는지 확인하는 방법

Private DNS를 활성화한 후, 쿼리가 실제로 암호화되고 선택한 제공자를 통해 라우팅되고 있는지 확인해야 합니다.

• Cloudflare 진단 페이지 — 1.1.1.1/help를 방문하여 DoH, DoT 또는 평문 DNS를 사용하고 있는지, 어떤 리졸버가 쿼리를 처리하고 있는지 확인합니다

• DNS 누출 테스트 — dnsleaktest.com을 방문하여 확장 테스트를 실행합니다. ISP 서버가 아닌 선택한 제공자의 서버만 표시되면 암호화 DNS가 정상적으로 작동하는 것입니다

• DNS Robot의 DNS Lookup 도구 사용 — DNS Robot의 DNS Lookup으로 특정 DNS 서버에 쿼리하여 예상대로 응답하는지 확인할 수 있습니다

• 브라우저 누출 테스트 — browserleaks.com/dns를 방문하여 브라우저가 어떤 DNS 서버를 사용하고 있는지 확인합니다

# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com

# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1

# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
  'https://cloudflare-dns.com/dns-query?name=example.com&type=A'