DNS(Domain Name System)은 사용자가 숫자로 된 인터넷 프로토콜 주소 대신 인터넷 도메인 이름과 검색 가능한 URL을 사용하여 웹사이트에 접속하는 것을 가능하게 합니다. 사용자는  93.184.216.34와 같은 IP 주소를  기억하는 대신  www.example.com을 검색할 수 있습니다.

DNS의 기반이 되는 기술은 스마트폰에서 주소록이 관리되는 방식에 비유될 수 있습니다. 사용자는 개별 전화 번호를 기억하는 대신 성과 이름으로 쉽게 검색 가능한 주소록 목록에 저장하여 손쉽게 번호를 찾을 수 있습니다.

DNS의 기반이 되는 변환 기술 역시 기업들이 인터넷을 사용하는 방식을 전적으로 정의했습니다. 특히 이러한 기업들이 브랜드 정체성을 형성하고 고객에게 다가가는 경우 그렇습니다. DNS를 사용하지 않으면 고객은 자신이 찾고 있는 웹사이트를 금방 잊을 수 있습니다. IP 주소는 때때로 변경될 수 있지만 도메인 이름은 일관적이며 기억하기가 쉽습니다.

퍼블릭 DNS와 프라이빗 DNS를 사용하는 경우를 구분해야 합니다.

• 퍼블릭 DNS: 일반적으로 인터넷 서비스 제공업체(Internet service provider, ISP)가 기업에 IP 레코드를 제공합니다. 이러한 레코드는 일반 대중에게 제공되며, 사용 중인 디바이스 또는 디바이스에 연결된  네트워크 에 상관없이 누구나 액세스할 수 있습니다.
  
  
• 프라이빗 DNS: 프라이빗 DNS는 회사의 방화벽 뒤에 존재하며 내부 사이트의 레코드만을 보관한다는 점에서 퍼블릭 DNS와 다릅니다. 이 경우 프라이빗 DNS의 범위는 내부 사이트 및 사용되는 서비스의 IP 주소를 기억하는 것으로 제한되며, 프라이빗 네트워크 외부에서 액세스할 수 없습니다.

대부분의 경우 사용자는 호스트 이름을 IP 주소로 변환할 때 퍼블릭 DNS에 의존합니다. 이 프로세스의 작동 방식에 대한 개괄적 설명이 아래에 제시되어 있습니다.

1. 사용자가 도메인 이름 또는 URL(예:  www.example.com)을 브라우저에 입력합니다. 그러면 일반적으로 로컬 운영 체제나 인터넷 서비스 제공업체가 제공하는 로컬 DNS 서버로 쿼리가 전송됩니다. 클라이언트와 DNS의 사이의 이 중개자는 재귀 확인자라고 합니다. 재귀 확인자는 클라이언트에 대해 쿼리된 네임서버 정보를 요청하거나 수신하도록 설계되었습니다.
   
   
2. 재귀 확인자가 쿼리를 요청하면 쿼리가 루트 네임서버로 전달됩니다. 루트 네임서버는 검색된 도메인 이름의 확장자를 기반으로 지시를 내려야 하는 적절한 TLD 네임서버로 응답합니다. 루트 네임서버는 또한 ICANN(Internet Corporation for Assigned Names and Numbers)의 감독을 받습니다. TLD 네임서버는 .com, .net, .edu, .gov와 같은 일반적인 확장자로 끝나는 URL에 대한 모든 정보를 보관합니다.
   
   
3. 정기적으로 수행되는 DNS 검색량 때문에 검색 요청을 배치로 묶는 데 재귀 확인자가 사용됩니다. 이러한 배치는 검색 쿼리 기반의 정확한 IP 주소로 권위(authoritative) DNS를 찾습니다. 권위 네임서버는 보통 DNS 조회의 마지막 단계입니다. 재귀 확인자는 TLD 네임서버로부터 응답을 받은 후 클라이언트로 다시 전송되기 위해 IP 주소가 확인되는 권위 네임서버로 이동합니다.

DNS는 인터넷의 핵심 기능을 위해 필수적인 역할을 수행하게 되었으며, 사용자가 리소스 레코드를 통해 IP 주소의 바다를 쉽게 헤엄쳐나가도록 돕습니다. 이러한 필수적 프로세스가 작동하지 않는다면 우리가 매일 온라인으로 사용하는 모든 기능을 지원하는 것이 사실상 불가능할 것입니다. 또한, 메일 서비스, 웹사이트 리디렉션 설정 또는 복잡한 IPv4 및 IPv6 웹 주소 인식과 관련된 우리의 능력이 제한될 것입니다. 그러나 DNS 검색이 놀라운 기술인 이유는 프로세스의 복잡성에 관계없이 클라이언트 측에 영향을 주지 않고 모든 검색 쿼리와 서버 리디렉션이 단 몇 밀리초만에 이루어지기 때문입니다. 

많은 조직이 자체 DNS 서버를 소유할 경우의 이점을 알고 있습니다. 이럴 경우 여러 가지 이점을 누릴 수 있지만, 궁극적으로 공통적인 이점은 일관성 향상과 자체 웹 재산에 대한 제어력 확보입니다. 서버의 관리자가 되면 검색 프로세스, 보안 프로토콜 및 성능을 포함하여 장비와 관련된 모든 매개변수를 설정할 수 있습니다.

어느 유형의 DNS 서버를 사용할지 결정할 때 두 가지 중요한 고려 사항은 서버의 확장성과 성능입니다. DNS 서버가 쿼리에 응답하는 속도는 서버와 상대적으로 사용자가 위치한 지리적 위치,  로드 밸런싱싱 구성 및 쿼리 필터링 등 여러 가지 변수에 따라 달라집니다.

사용자가 선택할 수 있는 또 다른 옵션은 DDI 솔루션입니다. 이 솔루션은 모든 DNS, DHCP, IPAM 서비스를 통합하고 관리하는 중앙집중식 플랫폼입니다. DDI를 통해 기업들은 증가하는 IP 주소 관리를 간소화 및 자동화하는 동시에 다른 클라우드 오케스트레이션 시스템을 적절하게 프로비저닝 및 통합할 수 있습니다.

대부분의 최신 DNS 서버는 상당히 안전하지만, 수년 전 설계된 구식 시스템은 자체적으로 비즈니스 보안 문제를 수반할 수 있습니다. 이러한 DNS 서버 사용 시 발생할 수 있는 흔한 리스크 두 가지는 다음과 같습니다.

DNS 하이재킹
 

리디렉션 공격으로 알려진 DNS 하이재킹은 DNS 쿼리가 잘못 처리되어 사용자를 거짓의 악성 웹사이트로 리디렉션하는 경우 발생합니다. 사용자의 컴퓨터에 라우터를 장악하거나 DNS 통신을 가로채는 멀웨어를 설치하면 DNS 하이재킹이 발생합니다.

캐시 오염
 

DNS 캐시 오염(cache poisoning)은 공격자가 DNS 서버에 대한 제어력을 갖고 입력된 IP 주소를 손상시키는 경우 발생합니다. 그 다음, 이처럼 거짓으로 입력된 IP 주소는 전 세계의 인터넷 서비스 제공업체에게 전파되며, 캐시되어 퍼블릭 DNS 검색에 사용됩니다.

이러한 리스크와 효과적으로 싸울 수 있는 한 방법은 DNSSec을 사용하는 것입니다. DNSSec은 안전한 DNS를 사용하고 암호화된 서명을 DNS 레코드에 할당하므로 레코드를 원래 상태와 다르게 변경할 수 없습니다. HTTPS와 비슷하게 DNSSec은 쿼리 프로세스를 느리게 하는 강력한 암호화를 수행하지 않고도 DNS 레코드에 액세스할 수 있도록 보안 계층을 추가합니다.

선택된 DNS 서비스의 유형이 무엇이든 공격 표면을 노출하지 않고 잠재적 보안 문제를 최소화하기 위해 따를 수 있는 베스트 프랙티스가 몇 가지 있습니다.

1. DNS 정리: 정기적으로 DNS 캐시를 정리하면 로컬 시스템의 모든 입력 항목이 제거됩니다. 이 프로세스는 악성 사이트로 사용자를 연결할 수 있는 유효하지 않거나 침해된 DNS 레코드를 삭제하는 데 유용합니다.
   
   
2. nslookup: nslookup 은 지정된 호스트 이름의 IP 주소를 찾기 위해 서버 관리자가 사용할 수 있는 프로그램 및 명령 코드입니다. 이 코드를 활용하여 사용자는 피싱 공격으로부터 자신을 보호하고 필요에 따라 자신이 방문하는 사이트의 유효성을 확인할 수 있습니다.
   
   
3. DNS 유출 테스트:  DNS 유출 테스트 (ibm.com 외부 링크)를 실행하기 위해 이용할 수 있는 무료 서비스는 여러 가지가 있습니다. 가끔 보안 VPN 또는 비밀 서비스를 사용할 때 구성 상태가 열악하고 기본 DNS가 여전히 사용되는 경우를 볼 수 있습니다. 이럴 경우 네트워크 트래픽을 모니터링하는 누군가가 악의적 목적으로 사용자의 활동을 기록할 수 있습니다. DNS 유출 테스트를 실행하면 VPN 터널이 폐쇄되어 있고 네트워크 트래픽이 안전하게 보호되고 있는지 확인할 수 있습니다.