안드로이드 프라이빗 DNS (광고 차단, 네트워크 보안, DNS-over-TLS)

솔직히 저는 꽤 오랫동안 광고 차단을 앱에만 의존해야 한다고 생각했습니다. 별도의 VPN 앱을 켜두거나 광고 차단 브라우저를 따로 써야 한다고 믿었는데, 알고 보니 안드로이드 시스템 설정 깊숙한 곳에 광고와 추적을 한 번에 잡아주는 기능이 이미 숨어 있었습니다. 앱 하나 설치하지 않고 네트워크 보안까지 덤으로 챙길 수 있다는 걸 알게 된 날, 괜히 몇 년을 돌아왔다는 기분이 들었습니다.

광고 차단보다 먼저 알아야 할 DNS-over-TLS의 원리

제가 처음 프라이빗 DNS 설정을 건드렸을 때는 솔직히 뭘 하는 건지 잘 몰랐습니다. 그냥 "광고가 사라진다더라"는 이야기만 듣고 따라 했습니다. 그런데 직접 써보고 나서 원리가 궁금해져서 찾아보니, 이게 단순한 꼼수가 아니라 꽤 탄탄한 기술 기반 위에 올라선 기능이었습니다.

프라이빗 DNS는 DNS-over-TLS(DoT) 방식으로 작동합니다. 여기서 DNS-over-TLS란, 인터넷 주소를 조회하는 DNS 쿼리를 TLS 암호화 터널을 통해 전송하는 프로토콜을 말합니다. 쉽게 말해, 내가 어떤 웹사이트에 접속하려는지 통신사나 공유기가 들여다볼 수 없도록 내용을 암호화해서 주고받는 방식입니다. 예전에는 DNS 쿼리가 평문(plaintext) 상태로 네트워크를 오갔기 때문에, 중간에서 누군가가 제 인터넷 사용 기록을 엿보거나 조작하는 것이 기술적으로 얼마든지 가능했습니다.

안드로이드 9 파이(Android 9 Pie) 이후부터는 이 DoT 방식이 운영체제에 기본 내장되어 있습니다(출처: Google Android 개발자 문서). 설정 앱에서 '네트워크 및 인터넷' → '프라이빗 DNS'로 들어가면 호스트 이름 입력란이 보입니다. 여기에 광고 차단 기능을 지원하는 리졸버(resolver) 주소를 입력하면 됩니다. 리졸버란 도메인 이름을 IP 주소로 변환해 주는 서버를 뜻하는데, 광고 서버나 추적 도메인을 아예 응답하지 않도록 설계된 리졸버를 쓰면 별도 앱 없이도 광고가 차단됩니다.

제가 직접 써봤는데, 설정 바꾸고 나서 뉴스 앱을 열었을 때의 그 쾌적함이 아직도 기억납니다. 기사 사이사이를 비집고 들어오던 배너 광고가 흔적도 없이 사라진 거죠. 처음엔 앱이 오류 난 줄 알았을 정도였습니다.

프라이빗 DNS 설정에 자주 쓰이는 호스트 이름을 정리하면 다음과 같습니다.

• dns.adguard-dns.com — AdGuard에서 운영하는 광고·추적 차단 전용 DNS 서버
• dns.cloudflare.com — Cloudflare에서 운영하는 빠른 공개 DNS (광고 차단 기능 없음, 순수 보안·속도 목적)
• security.cloudflare-dns.com — Cloudflare의 보안 강화형 DNS (악성 도메인 차단 포함)

네트워크 보안, 설정 하나가 만든 디지털 주권 이야기

광고가 사라지는 것만으로도 충분히 만족스러웠는데, 시간이 지나면서 이 설정이 보안 측면에서 훨씬 큰 의미가 있다는 걸 체감하게 되었습니다. 카페 와이파이나 공공장소 인터넷을 쓸 때마다 늘 찜찜했거든요. 누가 같은 네트워크에서 제 트래픽을 들여다보고 있는 건 아닐까 하는 불안감이 있었습니다.

DNS 스푸핑(DNS Spoofing)이라는 공격 방식이 있습니다. 여기서 DNS 스푸핑이란, 공격자가 DNS 응답을 위조해서 사용자를 가짜 웹사이트로 유도하는 수법을 말합니다. 보안이 허술한 공개 와이파이 환경에서 실제로 자주 발생하는 공격인데, DoT 방식의 프라이빗 DNS를 설정해 두면 이 공격의 성립 자체가 어려워집니다. 암호화된 채널을 통해 신뢰할 수 있는 리졸버와 직접 통신하기 때문입니다.

제 경험상 이건 좀 다릅니다. 많은 분들이 VPN을 써야만 이런 보호가 가능하다고 알고 있는데, VPN은 모든 트래픽을 우회시키다 보니 속도 저하가 꽤 크게 체감됩니다. 반면 프라이빗 DNS는 DNS 쿼리 구간만 암호화하기 때문에 속도 체감 차이가 거의 없었습니다. 배터리 소모 걱정도 기우였고요. 제가 한 달 가까이 써본 결과, 배터리 사용 통계에서 별도의 변화를 발견하지 못했습니다.

Cloudflare가 발표한 자료에 따르면, DoT 방식으로 DNS 쿼리를 암호화했을 때 중간자(MITM) 공격과 DNS 도청으로부터 사용자를 효과적으로 보호할 수 있다고 밝히고 있습니다(출처: Cloudflare). 여기서 중간자(MITM, Man-In-The-Middle) 공격이란, 통신하는 두 주체 사이에 공격자가 몰래 끼어들어 데이터를 가로채거나 변조하는 공격 방식을 뜻합니다.

 

솔직히 이건 예상 밖이었습니다. 기능 하나를 바꿨을 뿐인데 광고 차단과 네트워크 보안이라는 두 가지 문제를 동시에 해결하게 될 줄은 몰랐습니다. 거대 플랫폼들이 추적 스크립트와 서드파티 쿠키를 통해 사용자의 웹 행동 경로를 수집하고 광고 타기팅에 활용하는 구조를 생각하면, 이 작은 설정 하나가 그 고리를 끊는 출발점이 된다는 점이 의미 있습니다. 제 데이터가 어디로 흘러가는지 통제하고 싶다면, 값비싼 설루션보다 이 기본 설정부터 확인해 보시길 권합니다.

디지털 환경에서 내 네트워크를 스스로 정돈한다는 감각은 생각보다 꽤 큰 만족감을 줍니다. 광고한 줄 사라지는 것이 아니라, 내 인터넷 사용 습관 전체를 내가 통제하고 있다는 느낌이랄까요. 안드로이드를 쓰고 계신다면 지금 당장 설정 앱을 열어서 프라이빗 DNS 항목을 한 번 확인해 보십시오. 오 분이 안 걸리는 설정이 일상을 꽤 바꿔놓을 수 있습니다.

---

참고: https://www.cloudflare.com/ko-kr/learning/dns/dns-over-tls/
https://developer.android.com/about/versions/pie/android-9.0

DNS 보안과 TLS HTTPS 비교