퍼블릭 DNS와 프라이빗 DNS: 차이점은 무엇인가요?

둘 다 이름과 주소를 디코딩하는 동일한 용도로 작동합니다. 이름 서버는 인터넷에 존재하며 전화번호부처럼 기능합니다. 즉, 사람이 읽을 수 있는 도메인 이름(예: ibm.com)을 컴퓨터가 해석할 수 있는 숫자형 IP 주소로 교환합니다. 이는 웹 브라우저가 사용자가 원하는 올바른 웹 대상을 정확하게 찾을 수 있도록 하는 필수 매치메이킹 프로세스입니다.

퍼블릭 DNS가 작동하는 단계는 다음과 같습니다. 

1. 이름 확인 활동은 사용자가 도메인 이름을 요청할 때 시작됩니다. 사용자는 선호하는 브라우저에 웹사이트 주소를 입력하여 DNS 요청을 입력합니다.
2. 사용자 디바이스(엔드포인트라고도 함)는 로컬 DNS 검사를 수행하여 디바이스의 캐시 또는 로컬 DNS 서버에 해당 도메인과 일치하는 IP 주소가 이미 포함되어 있는지 확인합니다.
3. 로컬 DNS 검사에서 일치하는 항목을 찾지 못하면 요청이 재귀 DNS 확인자로 전송됩니다. 확인자는 인터넷 서비스 제공업체(ISP) 또는 Google이나 Cloudflare와 같은 DNS 제공업체를 통해 공용 DNS 서비스에서 제공하는 경우가 많습니다.
4. 확인자는 요청을 처리할 수 있는 최상위 도메인(TLD) 서버로 안내하여 DNS 쿼리를 지시하는 루트 이름 서버에 연결합니다.
5. 다음 단계에서는 확인자가 TLD 서버에 쿼리를 보내고, TLD 서버는 해당 특정 도메인에 대한 권한 있는 이름 서버를 참조합니다.
6. 해당하는 권한 있는 이름 서버는 웹 사이트에 대해 해당 IP 주소를 예약하고 재귀 확인자에 다시 전달합니다.
7. 확인자는 나중에 사용할 수 있도록 DNS 데이터를 DNS 캐시에 로드하는 동시에 승인된 IP 주소를 원래 요청을 실행한 디바이스로 다시 보냅니다.
8. 이제 DNS 확인 프로세스가 완료되었습니다. 이제 디바이스의 브라우저가 이 IP 주소를 통해 웹 서버에 연결하고 웹 사이트의 콘텐츠를 다운로드할 수 있습니다.

이제 사용 가능한 URL 주소를 얻기 위한 상당한 양의 라우팅이 왕복해야 합니다. 놀라운 점은 이러한 모든 DNS 응답이 굉장히 빠르게 수행된다는 것입니다.

얼마나 빠를까요? 연결성 및 전송 지연 시간과 같은 성능 관련 문제에 따라 다소 차이가 있지만, 가장 느린 경우에도 공용 DNS 프로세스에 몇 초가 걸릴 수 있습니다. 그러나 최고 속도에서는 동일한 프로세스에 몇 밀리초가 걸릴 수도 있습니다.

IP 주소가 적절하게 협상되고 정산되면 사용자는 IP 주소에 액세스합니다. 콘텐츠가 DNS 레코드로 다운로드되기 전에 동일한 DNS 레코드를 다운로드할 수 있는 횟수를 제어하는 설정인 타임 투 리브(TTL) 지정이 할당됩니다.

TTL은 기존 온라인의 콘텐츠를 매우 오랜 기간 유지하기 위해 설치됩니다. TTL은 온라인 콘텐츠에 액세스할 때마다 카운트다운하는 카운터와 같은 기능을 합니다. 카운터가 0에 도달하면 사용자가 해당 콘텐츠를 사용할 수 없게 됩니다.

조직이나 개인이 자체 DNS를 운영하여 최대한의 개인정보 보호를 선택하면 DNS의 작동 방식을 관리하는 프로세스에 필요한 점진적인 단계가 줄어듭니다. 또한 이 프로세스는 공용 DNS 서비스의 운영 속도보다 훨씬 빠르게 진행되는 경향이 있습니다. 주로 강제 격리를 통해 이러한 위업을 달성합니다.

'프라이빗 DNS'라는 용어는 프라이빗 DNS가 구현되는 위치와 방법에 따라 두 가지 구체적인 의미를 갖습니다. 내부 리소스에 액세스할 수 있도록 클라우드 컴퓨팅 환경 내에서 운영되는 프라이빗 DNS 영역을 의미할 수 있습니다. 또는 특정 콘텐츠로부터 보호하고 쿼리 암호화를 지원하기 위해 사용자 디바이스에서 작동하는 비공개 내부 DNS 서비스를 의미할 수도 있습니다.

프라이빗 DNS 영역에 대한 이름 조회 및 확인 프로세스는 다음 단계로 이루어집니다.

1. 사용자가 웹 주소(예: www.example.com)를 웹 브라우저에 입력합니다.
2. 작동 중인 디바이스는 DNS 쿼리를 발행하여 해당 웹사이트와 일치하는 IP 주소를 검색합니다.
3. 이 지점이 바로 공용 DNS와 사설 DNS의 경로가 완전히 갈라지는 지점입니다. 디바이스는 암호화된 터널을 사용하여 프라이빗 DNS 서버에 연결합니다(암호화된 쿼리가 대신 사용되는 퍼블릭 DNS와는 반대). DoT(DNS over TLS) 또는 DoH(DNS over HTTPS)와 같은 내부 보안 프로토콜은 필요한 안전한 채널을 제공합니다. 가상 사설망(VPN)은 VPN 제공업체의 도움을 받아 동일한 암호화 기능을 수행합니다.
4. 프라이빗 DNS 서버는 암호화된 요청을 받은 후 올바른 IP 주소를 찾아 안전하게 암호화된 동일한 연결을 사용하여 원래 디바이스로 다시 전송하여 처리합니다.
5. 올바른 IP 주소가 디바이스로 다시 전송되면 디바이스는 해당 웹사이트의 서버에 안전하게 연결됩니다.

6가지 직접 비교 영역은 퍼블릭 DNS와 프라이빗 DNS의 주요 차이점(및 미묘한 유사점)을 정확하게 전달합니다.

퍼블릭 DNS와 프라이빗 DNS의 일반적인 목적은 놀라울 정도로 유사합니다. 둘 다 도메인 이름을 번역합니다.

퍼블릭 DNS는 퍼블릭 도메인 이름을 적절한 퍼블릭 IP 주소로 디코딩하여 사용자가 인터넷에서 해당 사이트에 액세스할 수 있도록 합니다.

반면에 프라이빗 DNS는 내부적으로 사용되는 DNS 이름을 내부 IP 주소로 변환하여 해당 그룹 또는 조직 내의 여러 엔터티가 효과적으로 상호 작용할 수 있도록 합니다.

이 비교 지점에서 보안은 중요한 요소입니다. 결국 보안은 프라이빗 DNS 기술을 보유하는 주된 이유입니다. 최고의 보안이 필요한 조직은 일반적으로 네트워크 세부 정보를 퍼블릭 인터넷으로부터 숨기는 프라이빗 DNS를 사용합니다.

퍼블릭 DNS 보안은 훨씬 적은 수의 보호 조치를 제공하지만, 피싱 및 멀웨어 시도로부터 보호하도록 설계된 다른 기능과의 불균형을 상쇄합니다.

개발자는 디지털 서명을 추가하여 DNS 보안 프로토콜을 강화하기 위해 도메인 이름 시스템 보안 확장(DNSSEC)을 정기적으로 사용합니다. 방화벽과 같은 기존 인터넷 보안 조치는 퍼블릭 DNS와 프라이빗 DNS 모두에서 구현할 수 있습니다. 

누가 특정 DNS에 액세스할 수 있는지에 관해서는 어떤 유형의 DNS를 말하는지에 따라 달라집니다. 퍼블릭 DNS인 경우 인터넷에 액세스할 수 있는 디바이스만 있으면 누구나 액세스할 수 있습니다.

반면, 프라이빗 DNS 내에서 액세스는 일반적으로 엄격하게 제어되고 온프레미스 액세스에 뿌리를 두고 있습니다. 또한, 액세스는 회사 위치에서 또는 프라이빗 클라우드를 통해 근무하는 즉원 등 내부 네트워크의 특정 사용자로만 제한됩니다.

백그라운드 액세스를 위해 네트워크 관리자는 nslookup(이름 서버 조회)과 같은 쿼리 도구를 사용하여 명령줄 프롬프트를 통해 IP 주소를 찾고 프롬프트를 통해 일반적인 문제 해결 활동을 실행합니다.

사용할 서버를 누가 제어하고 운영할까요? 프라이빗 DSN의 경우 답은 간단합니다. 내부 네트워크를 운영하는 회사 또는 그룹에서 모든 프라이빗 DNS 서버를 유지보수하고 제어합니다.

퍼블릿 DNS의 경우 인터넷 서비스 제공업체(ISP) 또는 Cloudflare나 Google과 같은 일부 서드파티 제공업체에서 서버를 운영합니다. 어느 경우든 모두 외부 엔티티가 서버에 대한 직접 제어를 유지합니다.

성능은 예전처럼 단순한 문제가 아닙니다. 프라이빗 DNS가 퍼블릭 DNS보다 더 빠른 성능을 제공하는 것은 기정사실이었습니다. 결국, 내부 쿼리를 통해 찾는 정보가 프라이빗 네트워크에 포함되어 있으면 이동 거리가 더 짧아지며, 이로 인해 지연 시간 문제가 줄어들었습니다.

그러나 이제 퍼블릭 DNS에서 초고속을 달성하는 데 필요한 성능 수준은 서비스 제공업체에 따라 실현 가능한 경우가 더 많아졌습니다. 이러한 향상은 더 빠른 네트워크 속도와 더 안정적인 전송을 제공하는 글로벌 네트워크 덕분입니다. 퍼블릭 DNS와 프라이빗 DNS 중 어느 것이 더 나은 성능을 제공하는지 결정하는 것은 일반적으로 해당 네트워크에 따라 크게 달라집니다.

이 영역은 프라이빗 DNS가 퍼블릭 DNS보다 훨씬 더 많은 옵션을 제공하는 영역입니다. 프라이빗 DNS를 사용하면 그룹이나 회사에서 필요한 요구 사항에 따라 맞춤화된 구성을 만들 수 있습니다. 맞춤형 DNS에는 맞춤형 도메인 명명 체계를 실행하거나 콘텐츠 필터링을 수행하는 기능이 포함될 수 있습니다.

반대로 퍼블릭 DNS가 제공하는 맞춤화 옵션은 제한되어 있습니다. 개발자는 모든 퍼블릭 DNS 사용자를 위한 표준 형식으로 구성을 만듭니다.

관련 기술이 계속 발전하고 전 세계 사용자의 지속적인 확장에 발맞추기 위해 노력함에 따라 DNS에서 중요한 변화가 발생했으며 앞으로도 이러한 변화가 계속 일어날 것입니다.

IPv4 인터넷 라우팅 프로토콜을 예로 들어보겠습니다. IPv4(Internet Protocol 버전 4)는 1970년대에 개발되어 인터넷 혁명 이전인 1980년대 초에 공식적으로 도입되었습니다. IPv4 주소는 컴퓨터 네트워크에 연결된 모든 디바이스에 할당할 수 있는 32비트 숫자 라벨이며 통신 및 라우팅 목적의 서비스를 제공하는 데 필수적입니다. IPv4 주소는 마침표를 사용하여 다양한 간격으로 구분된 긴 숫자 문자열로 표현됩니다.

확률의 법칙에 따라 각 IPv4 주소에 포함된 정수의 개수를 계산하면 약 43억 개의 주소가 가능하다는 것을 알 수 있습니다. 그리고 이 엄청난 숫자조차도 네트워크에 연결해야 하는 기술 디바이스의 개수가 계속 증가함에 따라 이를 맞추기에는 충분하지 않은 것으로 밝혀졌습니다.

이러한 '과밀화' 상황을 완화하기 위해 1995년에 도입된 IPv6(Internet Protocol 버전 6)를 사용합니다. 두 프로토콜을 비교할 때 가장 먼저 눈에 띄는 점은 IPv6가 훨씬 더 크며, IPv4 주소보다 정확히 4배 더 큰 128비트 주소를 제공한다는 점입니다.

이러한 증가로 인해 가능한 주소 풀이 상상하기 어려울 정도로 깊어졌습니다. 그 숫자는 340언데실리언(간)으로, 3.4 x 10의 38제곱으로 계산되며 숫자로는 3.4 뒤에 0이 38개를 붙여 표시됩니다. 이렇게 많은 물이 있는 수영장이 완전히 배수되는 경우는 상상하기는 어렵습니다. 하지만 전 세계의 컴퓨터 사용량이 전례 없는 증가세를 보이면 엄청난 반응을 불러일으킬 것입니다.

IPv6는 IPv4의 4배에 달하는 주소 공간을 제공하는 것 외에도 SLAAC(Stateless Address Autoconfiguration)가 포함됩니다. 이 기능을 사용하면 디바이스가 외부 DHCP 서버에 의존하지 않고 자체 IP 주소를 구성할 수 있으므로 네트워크 트래픽도 줄어듭니다.

또한 IPv6는 도메인 이름과 적합한 IPv6 주소가 일치하는 향상된 유형의 DNS 레코드를 사용합니다. 이 DNS 레코드는 'AAAA'라고 하며 적절한 IPv4 주소를 보유하는 'A 레코드'에서 크게 발전한 DNS 레코드입니다. AAAA 레코드(쿼드 A 레코드라고도 함)와 A 레코드의 차이점은 AAAA가 사용 중인 방대한 128비트 식별자를 수용할 수 있을 만큼 용량이 증가했다는 것입니다.

A 레코드와 AAAA 레코드를 효과적으로 구분할 수 있는 한 가지 방법은 CNAME(정식 이름을 의미)을 만드는 것입니다. CNAME은 특정 도메인 또는 하위 도메인의 별칭으로 작동하는 DNS 레코드 유형입니다. 주목해야 할 한 가지 사소한 제한 사항은 CNAME이 있는 호스트 이름은 이미 해당 이름을 가진 A 레코드 또는 AAAA 레코드를 활성화할 수 없다는 것입니다.

시간이 지남에 따라 업데이트된 주요 프로토콜은 IPv6뿐만이 아닙니다. 전송 계층 보안(TLS)은 웹 기반 및 기타 네트워크 통신을 보호하는 고도로 암호화된 프로토콜입니다. TLS는 보안 소켓 계층(SSL)이라는 이전 프로토콜을 1999년에 업그레이드한 것입니다. SSL과 마찬가지로 TLS는 사용자 인증, 무단 접근 차단, 데이터 무결성 유지 및 검사 수단을 제공합니다.