아래는 (1) 지금 기준으로 크롬에서 Secure DNS(DoH) 켜는 최신 방법, (2) 조직/관리자(Enterprise) 정책, (3) 이후 등장/확산된 관련 기술 흐름을 한 번에 정리한 답변입니다.
1) 크롬에서 Secure DNS(DoH) 켜는 최신 방법
예전엔 chrome://flags/#dns-over-https(Secure DNS lookups) 플래그를 켜는 방식이 많이 공유됐는데, 요즘은 설정 UI에서 “보안 DNS(=Secure DNS)”로 제어하는 흐름이 일반적입니다. (cloudflare.com)
※ 플래그/메뉴 이름은 버전과 OS에 따라 약간 다를 수 있습니다.
2) 관리자(Enterprise) 정책: 중앙에서 강제/통제하는 방법
회사/조직 환경에서는 사용자마다 설정하게 두지 않고 정책(Policy) 으로 DoH를 통제합니다. 크롬(Chromium) 정책 템플릿에 대표적으로 다음이 있습니다. (chromium.googlesource.com)
-
DnsOverHttpsMode
- DoH 동작 모드를 중앙에서 지정(끄기/자동/고정 등)
-
DnsOverHttpsTemplates
- DoH 서버 템플릿(예:
https://dns.example/dns-query)을 지정해 특정 제공자/사내 리졸버로 고정
조직에서 “무조건 끄기”, “특정 사업자만 허용”, “사내 DoH로만 고정” 같은 요구사항은 보통 이 조합으로 처리합니다. (chromium.googlesource.com)
3) 이후 나온 최신 기술/흐름(DoH 이후)
(A) DoH / DoT / DoQ: “암호화 DNS” 전쟁 3종
요즘 “보안 DNS”라는 UI로 묶어 보이지만, 실제로는 환경에 따라 DoH/DoT/DoQ 중 어떤 걸 쓰는지(또는 강제하는지)가 달라집니다.
(B) ODoH(Oblivious DoH): “DNS 요청자와 목적지를 분리”하려는 시도
DoH는 “도청 방지”에는 강하지만, DoH 제공자가 사용자의 질의를 볼 수 있는 구조는 남습니다. ODoH는 이를 줄이기 위해 프록시(또는 릴레이) 구조로 질의자를 숨기는 방향으로 표준화가 진행됐습니다(예: RFC 9230). (ant.isi.edu)
(C) ESNI → ECH(Encrypted ClientHello): DNS만 암호화하면 끝이 아니라서
예전 자료에서 Cloudflare의 “Encrypted SNI(ESNI)” 같은 체크 페이지를 함께 안내하곤 했는데, 이 계열은 현재 ECH(Encrypted ClientHello) 방향으로 발전했습니다. 즉, “DNS 암호화 + TLS 초기 핸드셰이크 노출 최소화”를 같이 보려는 흐름입니다. (thibautprobst.fr)
원하시는 방향이 둘 중 어느 쪽일까요? (A) 일반 사용자 기준으로 “지금 내 크롬에서 확실히 켜졌는지 확인 방법”까지 정리해드릴까요, 아니면 (B) 회사/조직에서 GPO/MDM으로 강제하는 정책 예시 값까지 바로 내려드릴까요?