보조 DNS란 무엇인가요?

간단한 질문: 엔진이 하나만 장착된 비행기와 두 개가 장착된 비행기 중 어떤 것을 타고 싶으신가요? 대부분의 승객은 아마도 본능적으로 여러 개의 엔진이 있는 항공기를 선택할 것입니다.

바로 이것이 보조 DNS를 사용하는 이유입니다. 기본 서버를 사용할 수 없게 되거나 손상된 경우 기업에는 어떤 일이 발생할 수 있을까요? 해당 회사(또는 모든 회사)가 다운타임 기간 동안 비즈니스가 중단되는 것을 감당할 수 있을까요? 서비스 사용자에게는 어떤 부정적인 메시지가 전달될까요? 경제적인 관점에서 볼 때, 조직의 주요 서버를 사용할 수 없게 되는 것은 항공기에서 엔진이 고장나는 것만큼이나 치명적인 결과를 초래할 수 있습니다.

게다가 보조 DNS를 도입함으로써 얻을 수 있는 또 다른 큰 이점은 아직 언급하지도 않았습니다. 바로 보조 DNS가 부하 분산을 효과적으로 지원함으로써 기본 DNS 서버의 성능을 능숙하게 보완해 준다는 점입니다.

더 진행하기 전에 먼저 좀 더 기본적인 질문을 정의해야 합니다. DNS란 무엇일까요? 도메인 이름 시스템(DNS)은 복잡한 IP 주소를 보다 이해하기 쉬운 도메인 이름으로 변환해 주는 번역기 역할을 합니다.

예를 들어, International Business Machines(IBM)에서 제공하는 제품에 대한 주제에 관심이 있지만, 정확한 제목은 잘 모른다고 가정해 보겠습니다. 서비스 제공자의 웹 브라우저에 "IBM"을 입력하면 회사의 기본 페이지로 이동합니다. DNS를 사용하기 때문에 IBM의 전체 IP 주소를 입력할 필요가 없습니다. DNS는 입력한 검색어를 기반으로 사용자가 원하는 위치로 이동한다고 가정합니다.

DNS는 종종 인터넷의 “전화번호부”로 비유되곤 하는데, 그 기능이 유사하기 때문입니다. 하지만 보다 정확하게는 옛날의 전화 교환원에 더 가깝다고 볼 수 있습니다. 수십 년 전, 지역 전화 교환원은 일종의 인간 DNS 역할을 하며, 요청한 전화번호를 받아 원하는 전화 교환기로 연결해 주었습니다. 이제 DNS는 그 전체 변환 과정을 자동으로 처리합니다.

도메인 이름 시스템은 루트 서버에 의해 관리되는 기존 계층 구조에 따라 달라집니다. 이들 아래 계층에는 “.com”, “.org”와 같이 끝나는 주소들을 포함하는 최상위 도메인(TLD)이 있습니다. 나머지 계층 구조는 개별 도메인 이름 서버로 구성됩니다.

DNS 시스템은 분산 데이터베이스 시스템으로 간주되며, 각 노드는 특정 도메인 이름에 대한 필요한 변환을 제공하는 시스템의 일부인 “이름 서버”를 나타냅니다. 해당 시스템 내의 모든 도메인은 하나 이상의 “권한 있는 이름 서버”를 포함하며, 이 서버는 해당 도메인에 대한 정보를 게시하고, 그 안에 포함된 하위 도메인의 기본 이름 서버에 대한 정보도 함께 제공합니다.

DNS는 다음과 같이 간단하게 작동합니다.

1. 인터넷 서비스 공급자(ISP)가 제공하는 웹 브라우저에 도메인 이름을 입력합니다.
2. 사용 중인 컴퓨팅 디바이스가 검색 쿼리를 DNS 서버로 보냅니다.
3. DNS 서버는 웹 검색의 도메인 이름과 일치하는 IP 주소를 찾기 위해 수많은 리소스를 스캔합니다.
4. DNS 서버는 찾은 IP 주소를 사용 중인 디바이스로 다시 보냅니다.
5. 기기는 사용자가 찾고 있는 정확한 IP 주소를 불러옵니다.

이제 기본 DNS 서버에 문제가 발생하면(예: 기술적으로 사용할 수 없거나 과부하 상태) 보조 DNS 서버가 작동하여 필요한 검색을 실행하고 필요한 IP 주소 변환을 수행합니다. 장애 조치 프로세스를 통해 보조 DNS가 즉시 작동하기 때문에 사용자는 눈에 띄는 기능 저하 없이 웹 사이트에 액세스할 수 있습니다.

이와 유사하게, 보조 DNS는 기본 DNS 서버의 메일 서버 역할(이메일 라우팅 및 메일 교환(MX) 레코드 처리 포함)을 대신 수행하여, 이메일 트래픽의 흐름이 중단되지 않도록 지원합니다 이러한 방식으로 사이트는 장애로 인한 다운타임을 겪지 않게 됩니다. 이는 진정한 복원력의 척도, 즉 불리한 상황에서도 서비스를 지속적으로 운영하는 능력을 의미합니다.

보조 DNS 서버가 호출되면 기본 DNS 서버에 의해 정보가 공급됩니다. 이는 영역 전송이라는 프로세스를 통해 이루어집니다. 영역 전송을 통해 보조 DNS 서버와 공유되는 영역 파일 복사본은 어떤 방식으로도 변경할 수 없는 읽기 전용 파일입니다.

영역 전송은 기본 DNS 서버가 DNS 영역 데이터를 보조 서버로 자동으로 전송할 수 있도록 하는 애플리케이션 프로그래밍 인터페이스(API)의 사용에 크게 의존합니다. 이러한 방식으로 두 DNS 서버 모두 동일한 정보를 유지할 수 있습니다. API는 기본 서버가 보조 서버와 연락할 수 있는 수단을 제공하여, 동일한 DNS 레코드와 기록된 영역 전송을 기준으로 양쪽이 정확히 일치하도록 동기화할 수 있게 합니다.

영역 전송 프로세스는 이름 서버(NS) 레코드 생성을 전제로 합니다. NS 레코드는 어떤 서버가 해당 도메인에 대해 권한 있는 서버로 지정되어 있는지를 설정하는 데 도움을 주며, 이는 도메인의 우선순위를 정의합니다. 보조 DNS 서버의 IP 주소가 NS 레코드에 포함되어 있으면 어떤 이유로든 기본 서버가 다운되더라도 웹사이트는 기능을 유지합니다.

영역 전송은 보조 서버가 DNS 영역 데이터를 동기화하는 데 필요한 데이터를 보조 DNS 서버에 제공하는 SOA(권한 시작) 레코드의 발급에 의해 시작되며, SOA 레코드의 일련 번호에 따라 업데이트를 트리거하는 버전 제어 유형에서 작동합니다.

이것이 바로 새 버전을 등록하는 방법입니다. 보조 DNS 서비스를 SOA 레코드의 새 데이터로 업데이트하면 주 서버에 장애가 발생해도 도메인을 계속 운영할 수 있으므로 다운된 서버가 가동 시간에 영향을 미치지 않습니다.

권한 있는 영역 전송(AXFR)은 DNS 서버가 영역 파일을 교환할 수 있도록 하는 또 다른 프로토콜입니다. AXFR은 연결된 모든 서버에서 해당 데이터를 동기화하므로 모든 서버가 최신 정보로 작동할 수 있습니다.

보조 DNS 서버를 사용하면 다음과 같은 사항을 비롯한 여러 가지 이점이 있습니다.

보조 DNS 서버를 구현하는 가장 큰 이점은, 위험한 날씨에 대비해 보험에 가입하거나 비상 용품을 미리 준비하는 것과 같은 이치에서 비롯됩니다. 보조 DNS 서버를 추가하는 것은 불행하지만 피할 수 없는 사실, 즉 기계와 시스템은 때때로 고장날 수 있다는 현실을 인정하는 것입니다.

보조 DNS 서버는 기본 DNS 서버가 어떤 이유로든 실패할 경우 필요한 중복성을 제공하는 임시 해결책을 통해 이러한 현실에 대응합니다. 조직이 백업 솔루션을 마련하면 사용자는 회사의 DNS 서비스에 계속 액세스할 수 있다는 사실을 알고 안심할 수 있습니다.

DNS 시스템을 사용하는 또 다른 유용한 이점은 부하 분산을 가능하게 한다는 점입니다. 하나의 단일 도메인 이름에 여러 IP 주소를 제공하여 이를 달성합니다. 이를 통해 DNS 서버는 다양한 알고리즘을 사용하여 들어오는 트래픽을 다른 서버를 통해 분산할 수 있습니다.

예를 들어 DNS 서버가 라운드 로빈 알고리즘 구성을 따르는 경우 DNS 서버는 전체 IP 주소 목록을 실행하여 부하를 여러 장치에 균등하게 분산합니다.

DNS 시스템을 사용하여 전반적인 보안을 강화할 수도 있습니다. 해당 시스템에 방화벽을 설치하면 들어오는 트래픽을 그대로 허용하거나 필요에 따라 필터링하거나 완전히 허용하지 않을 수 있습니다. 또한 인증된 DNS 요청만 보조 DNS 서버에 도달하도록 허용하는 방화벽을 설정할 수 있습니다.

DNS가 보안 강화를 지원하는 또 다른 방법은 “히든 프라이머리(hidden primary)”의 개발을 통해 이루어집니다. 이는 공개 인터넷에 노출되지 않도록 숨겨진 기본 DNS 서버를 의미합니다. 해당 IP 주소는 해당 시스템의 리소스 레코드에 기록되지 않습니다. 보조 이름 서버는 기본 서버 대신 쿼리 응답을 처리합니다. 그 목적은 기본 서버의 존재를 최대한 숨김으로써 사이버 공격으로부터 더 잘 보호하는 데 있습니다.

DNS 요청을 선별하고 검증하는 데 도움이 되는 도메인 이름 시스템 보안 확장(DNSSEC)을 사용하여 보안을 더욱 강화할 수 있습니다. 이러한 확장 기능은 도메인 이름 조회의 진위를 확인하는 데 도움이 됩니다. 이는 DNS 스푸핑과 같은 사이버 공격을 방지하는 데에도 도움이 됩니다. DNS 스푸핑은 시스템이 감당할 수 없을 정도로 많은 위조된 DNS 요청이 유입되어 기능을 마비시키는 공격 방식입니다.

보조 DNS는 도메인 이름 문제를 더 빨리 해결할 수 있어 정보를 더 빠르게 전달할 수 있기 때문에 성능에도 도움이 될 수 있습니다. 따라서 보조 DNS를 구현하면 지연 문제를 줄일 수 있습니다.

보조 DNS를 사용하면 단점보다 이점이 훨씬 크지만 보조 DNS로 인해 발생할 수 있는 몇 가지 문제 또한 존재합니다. 이들은 본질적으로 사소한 것들입니다.

보조 서버에 대한 업데이트가 약간 영향을 받을 수 있습니다. 또한 보조 서버는 필요할 때 작동을 시작하도록 설계되었지만 작동을 시작할 때 성능에 약간의 장애가 발생할 수 있습니다.

최적의 운영을 보장하려면 시스템을 동기화해야 합니다. 보조 서버에는 항상 최신 DNS 레코드가 필요하며, 이는 변경 빈도에 따라 문제가 될 수 있습니다.

보조 DNS를 사용하면 복잡성이 추가되고 DNS 서버를 관리하기 위해 전담 인력이 필요할 수 있습니다. 하지만 여러 개의 DNS 서버를 성공적으로 관리하는 것은 도메인의 전반적인 안정성과 상태를 유지하는 데 핵심적인 요소입니다.

보조 DNS Services 제공업체는 여러 가지가 있지만 가장 뛰어난 서비스 제공업체는 다음과 같습니다.

• Google Public DNS: Google Public DNS는 빠른 조회 능력을 제공하여 DNS 쿼리를 해결하는 데 도움을 줍니다. 또한 이 서비스는 초보자도 쉽게 설정할 수 있으며, 완벽한 보안 프로토콜을 갖추고 있습니다. 그 외에도 Google Public DNS는 Google의 광범위한 글로벌 데이터 센터 네트워크로부터 이점을 얻습니다.

• Cloudflare: Cloudflare의 DNS Services는 Anycast 네트워크 라우팅 DNS 구성을 기반으로 합니다. 이 구성에서는 하나의 IP 주소로 여러 지역의 여러 데이터 센터로 트래픽을 전송할 수 있습니다. 사용자는 자신과 가장 가까운 서버에 연결되므로 더 빠른 속도를 경험할 수 있으며, 분산 서비스 거부(DDoS) 공격에 대한 보호도 강화됩니다. Cloudflare의 1.1.1.1. 퍼블릭 DNS 확인자는 가장 빠른 것으로 알려져 있습니다.

• Quad9: Quad9는 맬웨어를 필터링하고 피싱 시도를 차단하는 기능 등 더 많은 보안 기능을 제공하는 것으로 유명합니다. 이 회사는 비영리 조직으로 운영되며 사용자 개인정보 보호에 전념하여 브라우징 데이터나 사용자 정보를 보관하지 않습니다.