DoT와 DoH는 클라이언트와 리졸버 사이만 암호화한다
암호화 DNS는 질의 내용을 중간망에서 읽기 어렵게 만든다. 다만 최종 접속 IP나 계정 로그인, 애플리케이션 트래픽까지 숨기는 기술은 아니다.
1 사용자 기기
DNS 메시지를 만든 뒤 선택한 리졸버로 보낸다.
2 암호화 터널
TLS 또는 HTTPS가 질의 이름을 중간망에서 가린다.
3 리졸버 처리
리졸버는 복호화 후 일반 DNS 해석을 수행한다.
| 숨겨지는 것 | 남는 메타데이터 | 운영 판단 |
|---|---|---|
| DNS 질의 이름과 응답 내용 | 리졸버 IP, 접속 시각, 최종 목적지 IP | 프라이버시와 통제 정책을 함께 봐야 함 |
| 중간망의 DNS 변조 | 신뢰할 리졸버 선택 문제 | 기업망은 허용 리졸버와 로그 정책을 정해야 함 |
정확한 기대치: DoT/DoH는 DNS 구간 암호화이지 완전 익명화 기술이 아니다.