윈도우 로고

Windows 11 DNS Over HTTPS 개인정보 보호 기능 사용 방법

by

이 가이드는 Windows 11에서 DNS Over HTTPS 개인정보 보호 기능 사용 방법에 대해 설명합니다.

DNS 요청을 암호화하면 ISP, 네트워크 관리자, 정부 기관 등 제3자가 사용자가 방문하는 웹 사이트를 감시하는 것을 방지할 수 있습니다.

Windows 11에는 DNS 조회를 일반 텍스트로 전송하는 대신 암호화된 HTTPS 연결을 통해 라우팅하는 DNS Over HTTS(DoH) 기능이 포함되어 있습니다.

이 기능은 웹 브라우저 뿐만 아니라 모든 애플리케이션에서 DNS 트래픽을 비공개로 유지하고, 일부 유형의 네트워크 검열 및 스푸핑 공격을 방지하는데 도움이 될 수 있습니다.

Windows 11 DNS Over HTTPS 활성화 방법

DNS Over HTTPS 기능은 해커로부터 공격을 보호할 수 있는 효과도 크지만, 암호화되지 않은 SNI(Server Name Indication) 정보를 암호화할 수 있는 장점도 있습니다.

예를 들어 웹 사이트에서 HTTPS 방식을 사용하더라도 사용자가 DNS를 통해 웹 사이트에 보내는 접속 요청 정보는 암호화되지 않으므로, 방문자의 행적을 추적할 수도 있습니다.

그러나 DNS 통신 내용을 암호화할 수 있는 DoH, 즉 DNS Over HTTPS 기능을 사용하면 누군가 전송되는 패킷을 가로채거나 엿보더라도 얻을 수 있는 정보가 없어지게 됩니다.

01 Windows 설정을 통해 DNS Over HTTPS 활성화

Windows 설정 앱을 통해 DoH 설정을 활성화하려면 다음 단계를 수행합니다.

Windows 설정에서 현재 활성화된 네트워크 속성 버튼 클릭

키보드 단축키 Win + I 키를 누르고 설정에서 [네트워크 및 인터넷] 메뉴를 클릭합니다.

현재 활성화된 이더넷 또는 Wi-Fi 네트워크에 대한 [속성] 버튼을 클릭합니다.

DNS 서버 할당 편집 버튼 클릭

현재 연결된 네트워크 속성 페이지에서 “DNS 서버 할당” 항목의 [편집] 버튼을 클릭합니다.

DNS 설정 편집 팝업 창에서 수동 옵션 선택

DNS 설정 편집 팝업이 열리면 드롭다운 메뉴를 클릭하고 “수동” 옵션을 선택합니다.

IPv4 토글 스위치 켬

“IPv4” 토글 스위치를 눌러 [켬]으로 변경합니다.

🔦 참고 : 네트워크가 IPv6를 지원하는 경우 IPv6 토글 스위치를 켜고 해당 주소를 입력합니다.
기본 및 대체 DNS 입력 필드에 DNS Over HTTPS 주소 입력

기본 설정 DNS 입력 필드에 DoH 기능을 지원하는 DNS 서버 주소를 입력합니다.

예를 들어 다음과 같은 주소를 사용할 수 있습니다.

  • Google Public DNS : 8.8.8.8
  • Cloudflare DNS : 1.1.1.1
  • Quad9 DNS : 9.9.9.9

다음으로 대체 DNS 입력 필드 역시 DNS 서버 주소를 입력합니다.

  • Google Public DNS : 8.8.4.4
  • Cloudflare DNS : 1.0.0.1
  • Quad9 DNS : 149.112.112.112

대체 DNS 서버는 기본 설정 DNS에서 사용한 것과 동일한 DNS 서비스를 사용하는 것이 좋습니다.

예를 들어 Google Public DNS 서비스를 이용할 경우 기본 8.8.8.8, 대체 8.8.4.4 주소를 사용합니다.

🔦 참고 : Cloudflare Resolver 1.1.1.1은 보안 및 개인 정보 보호 강화를 위해 HTTPS(DoH)를 통한 DNS 또는 TLS(DoT)를 통한 DNS 암호화 서비스를 제공합니다.

만약 네트워크가 IPv6 주소를 지원하고 있고, 현재 사용 중이라면 DoH 구성을 위해 IPv6 DNS 서버 주소를 설정하는 것이 좋습니다.

  • Google Public DNS 기본 : 2001:4860:4860::8888
  • Google Public DNS 대체 : 2001:4860:4860::8844
  • Cloudflare DNS 기본 : 2606:4700:4700::1111
  • Cloudflare DNS 대체 : 2606:4700:4700::1001
  • Quad9 기본 : 2620:fe::fe
  • Quad9 대체 : 2620:fe::fe:9
DNS Over HTTPS 템플릿 설정

기본 및 대체 DNS 서버 주소 입력이 완료되면 각 DNS 입력 필드 하단의 “HTTPS를 통한 DNS” 드롭다운 메뉴를 클릭하고 “켜기(자동 템플릿)” 옵션을 선택합니다.

DNS Over HTTPS 구성 완료 후 저장 버튼을 클릭하여 변경 사항 적용

모든 단계가 완료되면 [저장] 버튼을 클릭하여 변경 사항을 적용합니다.

DNS Over HTTPS 구성 확인. 암호화됨 및 암호화되지 않음으로 표시.

Windows 설정의 네트워크 속성 페이지에서 “DNS 서버 할당” 내용을 확인합니다.

DNS 서버 암호화 여부에 따른 비교를 위해 대체 DNS 서버는 DoH 기능을 활성화하지 않았습니다.

“암호화됨”“암호화되지 않음”으로 표시되는 것을 확인할 수 있습니다.

🔦 참고 : 본문에서는 암호화 여부 표시를 비교하기 위해 대체 DNS 서버 주소를 암호화하지 않은 것으로, 실제 설정 시 DoH 기능을 기본 및 대체 모두 활성화하시기 바랍니다.

모든 단계를 완료하면 시스템에서 DNS 서버로 요청되는 정보는 모두 암호화됩니다.

02 PowerShell 사용하여 DNS Over HTTPS 활성화

Windows 터미널에서 명령을 통해 DoH 기능을 활성화하려면 다음 단계를 수행합니다.

관리자 권한으로 Windows 터미널 실행

키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 wt 입력 후 Ctrl + Shift + Enter 키를 눌러 관리자 권한으로 터미널을 실행합니다.

DNS Over HTTPS 구성 전 Get-DnsClientDohServerAddress 명령을 사용하여 DoH 지원 DNS 서버 주소 목록 확인

다음 명령을 입력하고 Enter 키를 눌러 ‘DoH’ 지원 서버 목록을 확인합니다.

Get-DnsClientDohServerAddress
DNS Over HTTPS 서버 구성

다음 명령을 입력하고 Enter 키를 눌러 ‘DoH’ 활성화 작업을 수행합니다.

netsh dns add encryption server=1.1.1.1 dohtemplate=https://cloudflare-dns.com/dns-query autoupgrade=yes udpfallback=no
DNS Over HTTPS 구성 확인

다음 명령을 입력하고 Enter 키를 눌러 ‘DoH’ 설정을 확인할 수 있습니다.

netsh dns show encryption

03 PowerShell 사용하여 사용자 정의 DoH 서버 추가

Windows 11에서는 기본적으로 미리 정의된 DNS 공급자 목록에 대해 DoH 기능을 활성화합니다.

따라서 DoH 기능을 지원하는 사용자 정의 DNS 서버를 사용하려면 먼저 등록이 필요합니다.

관리자 권한으로 Windows 터미널 실행

키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 wt 입력 후 Ctrl + Shift + Enter 키를 눌러 관리자 권한으로 터미널을 실행합니다.

DoH 서버를 추가하는 명령을 수행합니다.

다음 명령을 입력하고 Enter 키를 눌러 사용자 정의 ‘DoH’ 서버를 추가합니다.

Add-DnsClientDohServerAddress -ServerAddress 'IP_ADDRESS' -DohTemplate 'https://your-doh-server/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

위 명령에서 “IP_ADDRESS”“https://your-doh-server/dns-query” 주소를 해당 DNS 제공 서비스 주소로 변경합니다.

그러면 해당 서비스가 DNS 서버 목록에 나타나고, 앞서 살펴본 DoH 서버 주소 설정 방법을 사용하여 선택할 수 있습니다.

Get-DnsClientDohServerAddress 명령을 사용하여 DoH 지원 DNS 서버 주소 목록 확인

다음 명령을 입력하고 Enter 키를 눌러 ‘DoH’ 지원 서버 목록을 확인합니다.

Get-DnsClientDohServerAddress

04 그룹 정책 사용하여 DNS Over HTTPS 활성화

현재 관리 중인 시스템이나 특정 설정이 잠겨 있는 경우 DoH 옵션 설정 시 “이러한 설정 중 일부는 조직에서 관리합니다” 메시지와 함께 회색으로 표시, 비활성화 되어 있을 수 있습니다.

이는 일반적으로 그룹 정책 편집기에 의해서 제어되며, 활성화하기 위해서는 다음 단계를 수행합니다.

다만 그룹 정책 편집기는 Windows 11 Pro, Enterprise 및 Education 버전에서 사용할 수 있습니다.

Home 버전 사용자는 다음 글을 참고하여 그룹 정책 편집기 활성화 후 설정할 수 있습니다.

🔗 Windows 11 Home에서 로컬 그룹 정책 편집기(Gpedit.msc) 활성화 방법

로컬 그룹 정책 편집기 실행

키보드 단축키 Win + R 키를 눌러 실행 대화 상자를 열고 gpedit.msc 입력 후 Enter 키를 눌러 그룹 정책 편집기를 실행합니다.

DNS 클라이언트 경로로 이동 후 암호화된 이름 확인 구성 정책 두 번 클릭

로컬 그룹 정책 편집기 왼쪽 창에서 다음 경로로 이동합니다.

컴퓨터 구성 > Windows 구성 요소 > 네트워크 > DNS 클라이언트

오른쪽 창에서 “암호화된 이름 확인 구성” 정책을 찾아 두 번 클릭합니다.

암호화 옵션 구성 및 DoH 관련 옵션 구성 설정

암호화된 이름 확인 구성 정책에서 “사용(E)” 옵션을 선택합니다.

다음으로 옵션 섹션에서 사용자가 사용하려는 DoH 구성을 변경하고 [확인] 버튼을 클릭합니다.

  • 암호화 옵션 구성 : 암호화 필수 or 암호화 허용
  • DoH 관련 옵션 구성 : DoH 허용
  • DoT 관련 옵션 구성 : DoT 차단

이 문서에서는 DoH 관련 설정만 다루고 있지만, 그룹 정책 편집기를 사용할 경우 암호화 여부 및 DoH와 DoT 옵션 선택이 까다로울 수 있습니다.

예를 들어 DoT 기능만 강제 적용하려면 암호화 필수 및 DoH 차단 조합이 필요합니다. 반대로 DoH 강제 적용하는 경우에도 마찬가지입니다.

암호화 필수 옵션 사용 시 암호화를 처리하는 DNS 서버가 없으면 이름 확인이 실패하여 인터넷 접속이 차단될 수도 있으므로, 사용자 환경에 맞게 적절하게 선택하여 사용하는 것이 좋습니다.

DNS Over HTTPS(DoH) 및 DNS Over TLS(DoT) 차이점

DoH 및 DoT 방식 모두 암호화된 통신 채널을 이용하는 것은 동일하지만, 둘의 차이점은 전송 프로토콜이 각각 HTTPS 및 TLS 방식을 채택하는 것입니다.

  • HTTPS 기본 포트는 443번으로, DoH 역시 443번 포트 사용
  • DoT 방식은 DoT 사용을 위한 전용 포트 853번 포트가 별도로 존재

DoH 및 DoT 방식 모두 악의적인 목적으로 접근하는 당사자 및 광고주, ISP 뿐만 아니라 정부 기관에서 데이터를 해석할 수 없도록 일반 텍스트 DNS 트래픽을 암호화하기 위해 개발된 표준 방식입니다.

TLS 방식은 DNS 쿼리를 암호화하여 안전하고 비공개로 유지하는 표준

HTTPS 웹 사이트 통신을 암호화하고 인증하는데 사용하는 것과 동일한 프로토콜인 TLS(SSL)을 사용하며, DoT는 DNS 쿼리에 사용되는 사용자 데이터그램 프로토콜(UDP) 위에 TLS 암호화를 추가하는 방식입니다.

HTTPS 방식은 DoT 방식의 대안

DoT 방식의 대안으로 DoH를 사용하면 DNS 쿼리 및 응답이 암호화되지만, UDP를 통해 직접 전송하는 대신 HTTP 또는 HTTP/2 프로토콜을 통해 전송됩니다. DoT와 마찬가지로 DoH 역시 공격자가 DNS 트래픽을 위조하거나 변경할 수 없도록 합니다.

Chrome, Firefox 등 브라우저 DNS Over HTTPS 활성화 방법

Chrome, Edge, Firefox 등 일부 브라우저에서는 Windows 시스템 DNS 구성을 무시하거나 자체 정의할 수 있는 DoH 설정이 있습니다.

예를 들어 Windows에서 Google DoH 서비스를 사용하도록 설정되어 있더라도 Chrome은 기본적으로 Google DNS 서버를 공급자로 사용할 수도 있습니다.

따라서 브라우저가 시스템 수준의 DoH 설정을 준수하도록 설정해야 할 수도 있습니다.

01 Google Chrome DoH 구성 설정

Google Chrome 브라우저에서 시스템에서 설정한 DoH 구성을 준수하려면 다음 단계를 수행합니다.

시스템 DNS Over HTTPS 구성을 사용하도록 Chrome 설정 확인

크롬 브라우저를 열고 [ ⁝ ] 아이콘을 누르고 [설정] 옵션을 선택합니다.

설정 페이지에서 [개인 정보 보호 및 보안] 클릭 후 “개인 정보 보호 및 보안” 섹션에서 “보안” 옵션을 클릭합니다.

DNS 제공업체 드롭다운 메뉴에서 'OS 기본값(가능한 경우)' 옵션 선택

보안 페이지의 “고급” 섹션에서 “DNS 제공업체 선택” 옵션을 찾습니다.

드롭다운 메뉴를 클릭하고 “OS 기본값(가능한 경우)” 옵션을 선택합니다.

(선택 사항) 시스템 구성과 별개로 Cloudflare, OpenDNS 등 크롬 브라우저에서 사용할 별도의 DNS 제공 업체를 사용할 수도 있습니다.

02 Mozilla Firefox DoH 구성 설정

Mozilla Firefox 브라우저에서 시스템에서 설정한 DoH 구성을 준수하려면 다음 단계를 수행합니다.

Firefox 브라우저에서 'about:config' 페이지 이동 후 network.trr.mode 5로 설정 시 시스템에서 구성한 DNS Over HTTPS 사용

Firefox 브라우저를 열고 주소 표시줄에 “about:config” 입력 후 이동합니다.

검색 입력 창에 “network.trr.mode” 입력 후 검색 결과를 확인합니다.

Firefox 브라우저에서 'about:config' 페이지 이동 후 network.trr.mode 5로 설정 시 시스템에서 구성한 DNS Over HTTPS 사용

“network.trr.mode” 값을 “5”로 설정하면, 시스템에서 구성한 DoH 구성을 따릅니다.

물론 Firefox 역시 브라우저 수준에서 개별 제어를 하고 싶다면 직접 DoH 구성을 할 수 있습니다.

Firefox 브라우저에서 별도로 DoH 구성하여 사용하려면 설정 이동

Firefox 브라우저에서 [☰] 버튼을 누르고 [Settings] 옵션을 선택합니다.

DNS over HTTPS 개별 설정 구성

Firefox 설정 페이지에서 [Privacy & Security] 메뉴를 클릭하고 “DNS over HTTPS” 섹션에서 원하는 DoH 구성을 설정할 수 있습니다.

🔦 참고 : 대부분의 표준 Windows 애플리케이션의 경우 OS 수준에서 DoH 기능을 활성화하면 DNS 트래픽은 의도한 것처럼 암호화됩니다. 다만 일부 애플리케이션은 시스템 DNS 설정을 우회하고 자체 DNS 구성을 사용할 수도 있습니다.

마치며

Windows 11은 추가 프로그램의 도움 없이도 DoH를 지원합니다.

따라서 DNS 설정 단계에서 암호화 옵션을 활성화하고 Cloudflare, Google, OpenDNS 등 암호화를 지원하는 Public DNS를 지정하여 개인 정보를 보호할 수 있습니다.

DoH를 사용하도록 설정하면 DNS 클라이언트와 DNS 서버 간의 DNS 쿼리가 일반 텍스트가 아닌 보안 HTTPS 연결을 통해 전달됩니다.

암호화된 연결을 통해 DNS 쿼리를 전달하면 신뢰할 수 없는 제3자에 의한 가로채기로부터 보호됩니다.

🔗 삼성 갤럭시 프라이빗 DNS를 활성화하는 방법 (SNI 검열 우회)
🔗 Windows 11에서 DNS 서버 주소를 변경하는 방법

Leave a Comment

© 2025 GeeKorea.com
Privacy Policy Terms Contact