프라이버시를 지키는 차세대 DNS 설계

초록

본 논문은 현재 DNS가 사용자와 도메인 간 질의를 통해 프라이버시를 크게 노출한다는 문제를 제기한다. 이를 해결하기 위해 분산 해시 테이블(DHT) 기반의 이름 해석 구조와 계산형 개인 정보 검색(cPIR) 기법을 결합한 PPDNS(Privacy‑Preserving DNS)를 제안한다. 설계와 실험을 통해 PPDNS가 기존 DNS 대비 질의자와 질의 대상의 연관성을 효과적으로 숨기면서도 통신 비용을 크게 낮출 수 있음을 보인다.

상세 분석

DNS는 인터넷의 근간을 이루는 서비스이지만, 질의가 전송되는 과정에서 사용자의 IP 주소와 요청한 도메인 이름이 그대로 노출된다. 이러한 구조적 특성은 DNSSEC와 같은 인증 메커니즘이 보안(무결성·인증)에는 기여하지만, 프라이버시 보호에는 전혀 도움이 되지 않는다. 논문은 이러한 근본적인 설계 결함을 ‘프라이버시 누수’라는 용어로 규정하고, 공격자는 장기간에 걸친 질의 로그를 통해 사용자의 탐색 패턴을 재구성할 수 있음을 강조한다.

PPDNS는 두 가지 핵심 기술을 결합한다. 첫 번째는 DHT 기반의 대체 네임스페이스이다. 기존 계층형 DNS와 달리 DHT는 키‑값 매핑을 해시 함수에 의해 무작위화된 노드에 분산 저장한다. 질의자는 자신이 찾고자 하는 도메인의 해시값을 계산하고, 해당 해시값을 담당하는 노드에게 질의를 보낸다. 이 과정에서 질의자는 자신의 IP 주소와 도메인 이름을 동시에 노출하지 않으며, 중간 노드들은 단순히 해시값을 라우팅할 뿐 실제 도메인 정보를 알 수 없다.

두 번째는 계산형 개인 정보 검색(cPIR)이다. DHT 노드가 보유한 레코드 집합이 클 경우, 질의자는 전체 레코드 집합에 대해 암호화된 질의를 전송하고, 노드는 해당 질의에 대한 응답만을 계산해 반환한다. 이렇게 하면 질의자는 전체 데이터베이스를 다운로드하지 않고도 원하는 레코드만을 얻을 수 있어, 특히 대역폭이 제한된 모바일 클라이언트에 유리하다.

보안 분석에서는 질의자와 질의 대상 사이의 연관성을 통계적 분석이나 트래픽 관찰을 통해 복원하려는 공격에 대해, DHT의 무작위 라우팅과 cPIR의 응답 구조가 공격 표면을 크게 축소한다는 점을 증명한다. 또한, 악의적인 노드가 일부 해시 구간을 장악하더라도 전체 시스템의 프라이버시 손실은 제한적이며, 복수의 독립 노드가 협력해야만 의미 있는 정보를 얻을 수 있다.

성능 평가에서는 기존 DNS와 비교해 질의 지연시간이 약 30 % 정도 증가했지만, cPIR을 적용한 경우 전송되는 데이터량이 70 % 이상 감소한다는 결과를 제시한다. 이는 프라이버시 보호와 성능 사이의 트레이드오프를 실용적인 수준으로 조정한 것으로 해석된다.

전체적으로 PPDNS는 기존 DNS 인프라와 완전히 호환되는 전환 경로를 제공하면서, 프라이버시 보호를 위한 시스템·암호학적 설계를 성공적으로 융합한 사례라 할 수 있다. 다만, DHT 노드의 관리·운영 비용과 cPIR 연산 비용이 여전히 개선 여지를 남기며, 대규모 실배포를 위해서는 추가적인 최적화와 정책적 지원이 필요하다.