역사적으로 DNS 보안을 강화한다는 것은 네트워크 트래픽에 대한 관리 가시성을 희생하는 것을 의미하는 경우가 많았습니다. 이로 인해 관리자는 모니터링 기능은 있지만 보호 기능은 부족한 암호화되지 않은 DNS와 모니터링 및 제어를 방해하는 암호화된 DNS 중에서 선택해야 합니다. Microsoft의 ZTDNS는 Windows DNS 엔진과 Windows 방화벽을 클라이언트 장치에 직접 통합하여 이 문제를 극복합니다.

ZTDNS 시스템은 클라이언트 장치가 지정된 "보호 DNS 서버"를 제외한 모든 IP 주소에 연결하는 것을 차단합니다. 클라이언트 장치는 도메인 이름을 확인해야 하는 경우 보호용 DNS 서버와 통신합니다. 이 서버는 세분화된 정책 제어를 위해 선택적으로 클라이언트 인증서를 사용할 수 있습니다. 해결 시 ZTDNS는 Windows 방화벽을 동적으로 업데이트하여 새로 확인된 IP 주소에 대한 연결을 허용하는 동시에 기본적으로 다른 모든 트래픽을 차단합니다. 이를 통해 강력한 도메인 이름 기반 잠금 도구가 생성됩니다.

이는 특별히 승인된 웹사이트만 방문할 수 있게 되어 매우 안전한 환경이 만들어지는 일련의 과정이라고 생각하시면 됩니다. 이는 몇 가지 측면에서 일반적인 DNS 확인과 다릅니다. 즉, 현재 DNS가 설정된 방식은 악성으로 알려진 모든 URL을 IP 주소로 확인할 수 있음을 의미합니다(악성 프로그램 다운로드에서 심지어 악의적인 행위자의 잠재적인 진입점).

이 기술이 실제로 배포될 때 어떤 일이 발생할 수 있는지에 대한 잠재적인 우려도 있습니다. 온라인 안전을 위해서는 유망한 일이지만, 실수로 일반 네트워크 기능이 중단되는 것을 방지하려면 관리자의 신중한 계획과 구성이 필요할 수도 있습니다. 결국 DNS는 인터넷 액세스에 필요한 핵심 기능이며, 새 시스템은 사용자가 사용해야 할 실제로 해롭지 않은 기능을 과도하게 사용하여 차단할 수 있습니다. 좋은 점은 이 기능이 아직 출시되지 않았기 때문에 인터넷 환경이 실수로 중단되거나 중단되지 않도록 올바르게 설정하는 방법을 알아낼 시간이 아직 조금 있다는 것입니다.

ZTDNS에서는 DNS 서버가 DoH(DNS over HTTPS) 또는 DoT(DNS over TLS)와 같은 암호화 프로토콜을 지원해야 합니다. Microsoft는 ZTDNS가 새로운 네트워크 프로토콜을 도입하지 않으므로 광범위하게 호환되도록 돕는다는 점을 강조합니다. Microsoft에 따르면 ZTDNS는 현재 "비공개 미리 보기" 상태입니다. 현재 회사 내부적으로만 테스트 중인지 아니면 일부 선택된 사용자가 액세스할 수 있는지 여부는 즉시 명확하지 않습니다. Microsoft는 언제 ZTDNS가 공개적으로 제공될 것인지에 대해 어떠한 언급도 하지 않았으며 현재로서 회사는 Windows Insider가 원하는 시간에 ZTDNS에 액세스할 수 있을 것이라고만 밝혔으며 때가 되면 별도의 발표가 예정되어 있습니다.

현재 ZTDNS에 대한 자세한 내용과 실제 배포 시점이 올 때 고려해야 할 사항을 알고 싶다면 모든 세부 정보가 포함된 Microsoft 블로그 게시물을 확인하세요.

출처: Ars Technica를 통한 Microsoft