HTTPS 암호화된 DNS 기능 지원 → TYPE65

TYPE 65 개요

• Apple은 자사의 최신 OS인 iOS 14와 macOS 11에 암호화된 DNS 지원 기능을 추가하였음
• DNS 통신을 암호화하여 제3자가 DNS 질의·응답을 들여다 볼 수 없도록 하는 기술로 DoH(DNS-over-HTTPS), DoT(DNSover-TLS) 등 2가지 기술 존재
• iOS 14 및 macOS 11은 암호화된 DNS 기능을 위해 이전 버전과 달리 새로운 타입(TYPE65 HTTPS)의 DNS 질의를 추가로 발생시킴
• DNS 운영기관에서는 신규 DNS 타입 질의로 인한 영향이 없도록 인터넷 표준에 따라 적절히 처리하는지 자체 점검할 것을 권고함
• 애플의 최신 OS 배포 이후 새로운 유형의 DNS 질의 증가 → 애플 iOS 및 macOS 최신 버전 배포 이후, 표준화가 완료되지 않은 신규 타입인 TYPE65(HTTPS) 질의가 다량 유입됨
• TYPE65(HTTPS) 타입은 HTTPS 연관 서비스 정보를 담기 위한 신규 DNS 레코드로 표준화 작업 진행 중인 상태
• 애플은 암호화 DNS(DoH) 지원을 위한 목적으로 해당 타입의 DNS 질의를 사용
• 애플, 구글, 아카마이, 클라우드플레어 등 빅테크 기업들은 새로운 DNS 관련 표준들의 개발에 직접 참여 → 일부는 표준화가 완료되기 전에도 자사 서비스에 선 탑재
• 예상되지 않은 신규 유형의 질의는 DNS 질의량 증가 외 GSLB 등 DNS 기능을 활용한 서비스에 영향을 미칠 수 있음

 

iOS·macOS DNS 질의 변경사항

• iOS 14와 macOS 11은 암호화된 DNS(DoT/DoH) 지원을 위해 캐시 DNS를 선택하는 몇 가지 방법이 추가됨
  1. 사용자가 기기 전체에 적용되는 기본 DNS로 DoT/DoH를 지원하는 캐시 DNS를 직접 설정
  2. 도메인 소유자가 소유한 도메인에 질의할 때 특정한 캐시 DNS를 사용하도록 지정
  3. 앱 개발자가 개별 앱에서 특정한 캐시DNS를 사용하도록 지정

 

• 도메인 소유자는 DNS 레코드(TYPE65 HTTPS RR)을 통해 소유한 도메인에 질의할 때 암호화를 지원하는 특정한 캐시DNS를 사용하도록 지정 가능
• 예시) foo.example.com. 7200 IN HTTPS 1 . ( dohuri=https://doh.example.net/dns-query ) ⇒ foo.example.com 도메인 질의 시 캐시 DNS로 doh.example.net을 사용하도록 지정

 

• iOS 14와 macOS 11은 특정한 캐시 DNS를 사용 설정 여부를 확인하기 위해 사용자가 웹, 앱 등 사용하여 인터넷 이용 시 기존 DNS 질의(A, AAAA 타입 질의)에 추가로 TYPE65(HTTPS RR) 질의를 발생시킴
• TYPE65(HTTPS RR) 및 DNS 지정·확인 절차는 아직 표준이 아닌 인터넷 초안(Internet Draft)으로 향후 변경될 수 있음

 

발생가능한 문제점

• TYPE65(HTTPS RR) 질의를 정상적으로 처리하지 않는 경우, 불필요한 DNS 질의가 증가하거나 도메인 접속이 불안정해질 수 있음
• DNS 서버나 네트워크·보안장비 등에서 질의가 차단될 경우, 응답을 받지 못한 기기에서 같은 질의를 반복 시도하여 불필요한 DNS 트래픽이 지속 발생 가능
• 일부 DNS 서버나 네트워크·보안장비에서 자주 사용되는 DNS 레코드 타입(A, NS, MX 등)이 아닌 DNS 질의 패킷을 차단·폐기하거나 처리하지 않는 경우가 있음
• 해당 타입에 대해 잘못된 DNS 응답*을 하는 경우, 도메인 접속에 문제를 일으킬 가능성도 있음
• TYPE65 질의의 A, NS 등 다른 타입의 질의 결과로 응답하거나, NXDOMAIN으로 응답하면 잘못된 DNS 정보가 전파되어 도메인 접속에 문제가 발생할 수 있음

 

DNS 점검 방법 → TYPE65 및 알려지지 않은 타입으로 인한 문제 발생

• 운영 중인 DNS에 TYPE65 및 알려지지 않은 타입(Unknown Type)에 대한 테스트 질의*하여 정상 처리되는지 확인
• TYPE65 및 알려지지 않은 DNS 타입 질의가 의도치 않게 차단되거나 비정상 응답할 경우, 아래와 같이 조치 가능
  1. 사용 중인 DNS S/W에서 해당 타입 질의를 처리하지 못하는 경우, 최신 DNS S/W로 업그레이드
  2. 네트워크·보안장비 등에서 해당 타입 질의를 차단하거나 제대로 통과시키지 못하는 경우, 차단 정책을 조정하거나 제조사에 문의

 

• 문제가 발생할 경우의 권고사항
  1. 상기 문제점은 TYPE65에만 발생하는 것이 아닌 향후 다른 DNS 레코드 타입이 새롭게 만들어질 때도 동일하게 발생할 수 있음
  2. 현재 DNS 레코드 타입은 60가지 이상 존재하고 있으며, 인터넷 표준 제·개정에 따라 새로운 타입이 계속 추가될 수 있음
  3. 신규 타입 추가로 인한 문제없이 DNS 기능 확장이 가능하도록 인터넷 표준(RFC 1035, 3597)은 DNS 서버가 어떤 레코드 타입에 대해서도 투명하게 처리할 것을 명시하고 있음
  4. 따라서, DNS 운영기관에서는 DNS 서버가 인터넷 표준에 따라 동작하는지 점검 및 필요한 조치를 취할 것을 권고함

 

참고 자료

• https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwig6e6ejq6BAxX6r1YBHTHhDekQFnoECBMQAQ&url=https%3A%2F%2Fkisa.or.kr%2Fpost%2FfileDownload%3FmenuSeq%3D20202%26postSeq%3D0227%26attachSeq%3D1&usg=AOvVaw1UPOdq6MnVhu-3RxUexLIS&opi=89978449

https://www.google.com/url?cad=rja&cd=&esrc=s&opi=89978449&q=&rct=j&sa=t&source=web&uact=8&url=https%3A%2F%2Fkisa.or.kr%2Fpost%2FfileDownload%3FmenuSeq%3D20202%26postSeq%3D0227%26attachSeq%3D1&usg=AOvVaw1UPOdq6MnVhu-3RxUexLIS&ved=2ahUKEwig6e6ejq6BAxX6r1YBHTHhDekQFnoECBMQAQ