Network · 완벽 가이드 Ch.3 §2

DNS 심화에 대해서 설명해주세요 — DNSSEC, Round Robin, CDN 연계

DNSSEC 신뢰 체인, DNS Round Robin 부하 분산, GeoDNS/Anycast CDN 연계, DoH/DoT 프라이버시까지 — DNS 심화 개념을 인터랙티브 시각화로 체험합니다.

2026-04-01 · 약 12분 읽기

Q. "DNS의 보안 취약점과 이를 해결하기 위한 DNSSEC의 동작 원리를 설명하고, 실무에서 DNS를 활용한 부하 분산과 CDN 연계가 어떻게 이루��지는지 말씀해주세요."

예상 꼬리질문

답변 가이드

DNS는 도메인 이름을 IP 주소로 변환하는 시스템이지만, 기본 DNS는 보안이 고려되지 않은 1983년 설계입니다. 응답의 진위를 검증할 수 없어 DNS 스푸핑이나 캐시 포이즈닝 공격에 취약합니다. 이를 해결하기 위해 등장한 것이 DNSSEC으로, 공개키 암호화 기반의 디지털 서명을 DNS 응답에 추가하여 위변조를 방지합니다.

DNSSEC은 RRSIG(서명)과 DNSKEY(공개키), DS(위임 서명자) 레코드로 구성되며, 루트 존부터 최종 도메인까지 신뢰 체인(Chain of Trust)을 형성합니다. 부하 분산에서는 DNS Round Robin이 가장 단순한 방법인데, 하나의 도메인에 여러 IP를 등록하여 질의마다 순서를 돌려 응답합니다. 다만 헬스 체크가 없어 서버 장애를 감지하지 못하는 한계가 있어, 실무에서는 L4/L7 로드밸런서와 조합하여 사용합니다.

CDN은 GeoDNS(IP 기반 지리적 라우팅)나 Anycast(BGP 기반 네트워크 라우팅)를 통해 사용자에게 가장 가까운 엣지 서버의 IP를 DNS 응답으로 반환합니다. 최근에는 DNS over HTTPS(DoH)와 DNS over TLS(DoT)를 통해 DNS 질의 자체를 암호화하여 프라이버시를 보호하는 추세이며, 특히 DoH는 일반 HTTPS 트래픽과 구분이 안 되어 검열 우회에도 활용됩니다.

면접관이 정말 듣고 싶은 건 "DNS가 뭔지" 수준이 아닙니다. 보안은 어떻게 보장하는지, 대규모 트래픽은 어떻게 분산하는지, CDN과는 어떻게 맞물리는지까지 설명할 수 있어야 합니다.

이 아티클에서는 DNSSEC의 신뢰 체인, Round Robin의 동작과 한계, CDN의 DNS 연계 원리, DoH/DoT의 프라이버시 보호까지 — 인터랙티브 시각화로 직접 체험하며 준비할 수 있습니다.

1. DNSSEC — DNS 응답에 서명을 더하다

꼬리질문: "DNSSEC은 어떤 원리로 DNS 응답의 위변조를 방지하나요?"

DNS는 1983년에 설계되었고, 당시에는 보안을 전혀 고려하지 않았습니다. 기본 DNS는 응답이 진짜인지 확인할 방법이 없어서, 공격자가 위조된 응답을 보내는 DNS 스푸핑(Spoofing)이나 리졸버의 캐시를 오염시키는 캐시 포이즈닝(Cache Poisoning) 공격에 취약합니다.

DNSSEC은 공개키 암호화를 이용해 DNS 응답에 디지털 서명을 추가합니다. RRSIG(서명), DNSKEY(공개키), DS(위임 서명자) 레코드를 통해 루트 존(.)부터 최종 도메인까지 신뢰 체인(Chain of Trust)을 형성하여 응답의 진위를 검증합니다.

아래 시각화에서 정상 검증 흐름과 공격 시나리오를 직접 체험해보세요.

DNSSEC 신뢰 체인(Chain of Trust)

루트 존(.)

KSK:KSK 2048비트

ZSK:ZSK 1024비트

DS:Trust Anchor (최상위)

.com 존

KSK:KSK 2048비트

ZSK:ZSK 1024비트

DS:DS → .com KSK 해시

example.com 존

KSK:KSK 2048비트

ZSK:ZSK 1024비트

DS:DS → example.com KSK 해시

DNSSEC은 서명만 추가할 뿐 암호화는 하지 않습니다. 응답 내용은 여전히 평문이며, 기밀성이 필요하면 DoH/DoT를 함께 사용해야 합니다.

2. DNS Round Robin — 가장 단순한 부하 분산

꼬리질문: "DNS Round Robin은 어떻게 동작하고, 어떤 한계가 있나요?"

하나의 도메인에 여러 IP 주소를 등록하면, DNS 서버가 질의마다 IP 순서를 돌려가며 응답합니다. 이것이 DNS Round Robin으로, 별도의 로드밸런서 없이도 비용 0원으로 부하 분산을 구현할 수 있습니다.

하지만 헬스 체크가 없다는 치명적인 한계가 있습니다. 서버가 다운되어도 해당 IP를 계속 응답하기 때문에, 클라이언트가 다운된 서버에 접속을 시도하게 됩니다.

서버를 클릭하여 다운시키고, DNS 질의를 보내 Round Robin의 한계를 직접 체험해보세요.

DNS Round Robin 시뮬레이터

example.com

DNS Round Robin

서버를 클릭하면 활성/비활성을 전환할 수 있습니다

비용

0원

구현 복잡도

매우 낮음

헬스 체크

없음

세션 유지

불가

모던 브라우저는 Happy Eyeballs 알고리즘을 지원하여, 첫 번째 IP가 응답하지 않으면 수백 밀리초 내에 다음 IP로 전환합니다. 하지만 근본적 해결은 AWS Route 53이나 Cloudflare DNS처럼 헬스 체크를 지원하는 관리형 DNS를 사용하는 것입니다.

3. CDN과 DNS의 연계 — 가장 가까운 서버로 안내하기

꼬리질문: "CDN은 DNS와 어떻게 연계되나요? GeoDNS와 Anycast의 차이는?"

CDN은 전 세계에 분산된 엣지 서버에 콘텐츠를 캐시하여 사용자에게 가장 가까운 서버에서 전달합니다. 이때 "가장 가까운 서버를 어떻게 찾는가?"의 답이 바로 DNS입니다. GeoDNS(IP 기반 지리적 라우팅)와 Anycast(BGP 기반 네트워크 라우팅) 두 가지 방식이 대표적입니다.

실무에서 CDN을 적용할 때는 도메인의 CNAME 레코드를 CDN 제공자의 도메인으로 변경하는 것만으로 연동이 완료됩니다. 이후 지역 기반 라우팅은 CDN 제공자의 DNS가 알아서 처리합니다.

사용자 위치를 선택하여 GeoDNS와 Anycast의 라우팅 차이를 직접 확인해보세요.

CDN과 DNS 연계 — 지역 기반 라우팅

CNAME 체인

www.example.com→ CNAME →cdn.example.com.cdn-provider.net→엣지 IP

사용자 위치를 선택하세요:

4. DoH/DoT — DNS 질의도 암호화가 필요하다

꼬리질문: "DoH와 DoT는 왜 필요하고, 어떤 차이가 있나요?"

전통적인 DNS 질의는 UDP 53번 포트를 통해 평문으로 전송됩니다. ISP가 사용자의 모든 DNS 질의를 볼 수 있고, 공공 Wi-Fi에서는 도청도 가능합니다. DNS over TLS(DoT)와 DNS over HTTPS(DoH)는 이 문제를 해결합니다.

DoT는 전용 853번 포트에서 TLS로 암호화하고, DoH는 일반 HTTPS(443번 포트)로 DNS를 캡슐화합니다. 특히 DoH는 일반 웹 트래픽과 구분이 불가능하여 검열 우회에 유리하고, Firefox와 Chrome 등 브라우저에서 직접 지원합니다.

각 프로토콜 탭을 전환하며 패킷 전송 과정의 차이를 확인해보세요.

DNS 프라이버시 비교 — 기존 DNS vs DoT vs DoH

💻

클라이언트

ISP / 중간자

🌐

DNS 리졸버

항목	기존 DNS	DNS over TLS	DNS over HTTPS
포트	53	853	443
프로토콜	UDP	TLS	HTTPS
암호화
식별 가능	가능	가능	어려움
구현 위치	OS/리졸버	OS/리졸버	브라우저/앱

DNSSEC이 "응답이 진짜인지 검증"하는 것이라면, DoH/DoT는 "질의 과정을 아무도 볼 수 없게 하는 것"입니다. 둘은 보완적이므로 함께 사용하면 가장 안전합니다.

자주 발생하는 문제

실무에서 DNS 관련으로 자주 겪는 문제들을 정리했습니다.

면접 체크리스트

이 아티클을 읽고 나면 아래 질문에 답할 수 있어야 합니다.

- DNSSEC의 신뢰 체인: 루트 존부터 최종 도메인까지 KSK, ZSK, DS 레코드가 어떻게 연결되는지 설명할 수 있는가?
- DNS Round Robin의 한계: 헬스 체크 부재, 세션 유지 불가, 불균등 분산 문제를 설명하고 대안을 제시할 수 있는가?
- GeoDNS vs Anycast: IP 기반 지리적 라우팅과 BGP 기반 네트워크 라우팅의 차이를 설명할 수 있는가?
- DoH vs DoT: 두 프로토콜의 포트, 식별 가능 여부, 적합한 사용 환경의 차이를 설명할 수 있는가?
- CNAME 기반 CDN 연동: 도메인 소유자가 CDN을 적용하는 과정을 DNS 관점에서 설명할 수 있는가?

퀴즈

배운 내용을 퀴즈로 점검해보세요.

퀴즈 1

DNSSEC이 보호하는 것

회사 웹사이트에 DNSSEC을 적용했습니다. 다음 중 DNSSEC이 방어할 수 있는 공격은 무엇일까요?

퀴즈 2

서버 1대 다운, Round Robin의 반응은?

DNS Round Robin으로 서버 A, B, C를 운영 중입니다. 서버 B가 다운되었을 때, DNS Round Robin의 동작은?

퀴즈 3

CDN의 라우팅 방식 구분

서울에 있는 사용자가 CDN을 통해 콘텐츠를 요청합니다. BGP 라우팅을 이용해 네트워크 토폴로지 상 가장 가까운 서버로 자동 도달시키는 방식은?

퀴즈 4

네트워크 관리자와 DNS 프라이버시

기업 네트워크 관리자가 사내에서 사용되는 암호화 DNS 트래픽을 식별하고 싶습니다. 식별이 비교적 쉬운 프로토콜은?

퀴즈 5

CDN 전환 시 발생한 사용자 접속 문제

서비스의 CDN 제공자를 A사에서 B사로 변경하고 CNAME 레코드를 수정했는데, 6시간이 지나도 일부 사용자가 A사 CDN으로 접속합니다. 가장 가능성이 높은 원인은?

추가 학습 자료를 공유합니다.

Cloudflare — DNSSEC 동작 원리 — DNSSEC의 신뢰 체인, ZSK/KSK, DS 레코드를 그림과 함께 쉽게 설명합니다
Cloudflare — GeoDNS란? — GeoDNS의 개념과 CDN에서의 활용을 간결하게 설명합니다
생활코딩 — DNS 기초 — DNS의 기본 원리부터 차근차근 설명하는 한국어 튜토리얼입니다
널널한 개발자 — DNS 동작 원리 — DNS 질의 과정을 시각적으로 쉽게 풀어낸 유튜브 강의입니다
44bits — CDN과 DNS의 관계 — CDN이 무엇이고 DNS와 어떻게 연동되는지 한국어로 잘 정리한 글입니다

의견을 들려주세요

서비스 개선에 큰 도움이 됩니다. 익명으로 자유롭게 남겨주세요.