naver.HOW data lake by AI

SNI·DNS·ECH 대응 전략

작성자

sp

in"의 한국어 번역은 "안"입니다.

title: "정부/사업장 차원의 SNI·DNS·ECH 대응 전략"
slug: sni-dns-ech-controls-observability-and-compliance
series: "URL·TLS·SNI·필터링·DPI 실전 가이드"
author: EX Corp. Tech Team
summary: "도메인 단위 통제(SNI·DNS), ECH 등장 이후의 전략 전환, HTTP/3·QUIC 고려, 우회 시도에 대한 방어·관측, 그리고 조직/국가 레벨에서의 법·컴플라이언스 체크리스트."
tags: [SNI, DNS, ECH, HTTP3, QUIC, SWG, SASE, DLP, 관측, 컴플라이언스]
reading_time: "12~15분"
cover_image_suggestion: "조직 경계에서 DNS·프록시·WAF·엔드포인트·SIEM이 연결된 보안 아키텍처 다이어그램"

한눈에 핵심

  • 도메인 단위 통제는 현실적으로 DNS 정책 + SNI 기반 정책(HTTP/3 포함)이 기본축.
  • ECH 보급 이후엔 SNI 가시성 약화승인 리졸버 강제(DNS 정책), 엔드포인트/프록시 기반 통제 비중 확대.
  • 경로/쿼리 단위 통제는 TLS 가시화 가능한 포워드 프록시(SWG/SASE) 또는 엔드포인트 에이전트로.
  • 우회 시도 대응은 “설치 차단/터널 탐지/행위 기반 관측”의 3축으로 최소권한 원칙과 함께 운영.
  • 법·컴플라이언스: TLS 가시화, 로그 보존, 개인정보 마스킹, 직원 고지·동의, 벤더 데이터 처리계약(DPA) 필수.

1) 시나리오별 권장 전략 맵

A. “도메인 정도만” 통제하면 충분한 환경

  • DNS 정책: 사내 승인 리졸버(온프렘/클라우드) 강제, 카테고리/평판 기반 필터(RPZ·정책 엔진).
  • SNI 정책(보조): TLS 핸드셰이크의 SNI/ALPN 관찰로 도메인/프로토콜 차단.
  • HTTP/3 고려: UDP/443 전면 차단 대신, 허용 도메인만 H3 허용(벤더/업무 서비스 화이트리스트).
  • 우회 방지: 임의 DoH/DoT 엔드포인트 차단, 승인 리졸버로 리다이렉트, VPN·프록시 설치 제한.

B. 경로/쿼리·파일 업로드까지 세밀 통제가 필요한 환경

  • 포워드 프록시(SWG/SASE) + TLS 가시화: 카테고리 필터 + DLP/AV + 업로드/다운로드 검사.
  • 예외 리스트: 핀닝/호환 이슈(금융·메신저·개발툴 등) 화이트리스트.
  • 엔드포인트 에이전트(브라우저 확장/호스트 에이전트)로 앱·사용자 맥락 보완.
  • 감사 로깅: 민감 파라미터 마스킹, 토큰/쿠키 제거, 보존정책 명시.

C. ECH 적용 도메인이 많은 환경

  • DNS 중심: 승인 리졸버로 트래픽 고정, 도메인 카테고리/허용목록으로 결정.
  • 행위 기반 관측: IP/ASN, JA3/ALPN, 플로우 메트릭(세션 길이/페이로드 크기 분포)로 이상탐지.
  • 사용자 교육/정책: 개인 프라이버시 보호를 전제로, 업무 중 비업무 리소스 접근 가이드 명문화.

2) 아키텍처 3종 예시

(1) 라이트급: DNS+SNI 필터 & SIEM

[Endpoint] ──DNS──> [승인 리졸버(RPZ)] ──> 인터넷
            └─TLS──> [L3/4 FW + SNI 관찰] ──> 인터넷
                                      └─(로그)──> [SIEM/UEBA]
  • 장점: 저비용/저지연, 구축 쉽다.
  • 한계: 경로/쿼리 제어 불가, ECH 보급 시 SNI 약화.

(2) 스탠더드: SWG/SASE(프록시) + DNS 정책

[Endpoint] ──PAC/Agent──> [SWG/SASE(SSL Inspection, DLP)] ──> 인터넷
             └─DNS──> [승인 리졸버] (DoH/DoT 우회 차단)
                                          └─(이벤트)──> [SIEM/SOAR]
  • 장점: 경로/쿼리/파일 단위 정책, 위협·DLP 연동.
  • 한계: 프라이버시·성능·예외리스트 운영 난이도.

(3) 인바운드 보호: 리버스 프록시/API GW + WAF

인터넷 ──> [CDN/역방향 프록시] ──> [WAF/RateLimit] ──> [App/API]
                        └─(로그/메트릭)──> [SIEM/APM]
  • 장점: 내 서비스 보호에 최적(정규화·화이트리스트·봇·레이트리밋).
  • 한계: 외부 웹 통제와는 별개.

3) HTTP/3·QUIC 시대 운영 포인트

  • UDP 443 전면 차단은 서비스 영향 크다 → 허용목록 기반 H3 허용, 나머지는 H2로 폴백 유도.
  • 장비·프록시가 QUIC/TLS1.3 을 제대로 해석·우회·가시화할 수 있는지 사전 검증.
  • ALPN 관찰(h2/h3)로 정책 분기, 재전송 패턴/패킷 길이 분포를 보조 지표로 활용.

4) 우회 시도 대응(행위 중심)

본 섹션은 보안 운영 관점에서 우회 시도탐지/차단하기 위한 내용입니다. (우회 방법 자체를 안내하지 않습니다.)

  • 설치·실행 차단: 허가되지 않은 프록시/터널 툴 실행 방지(애플리케이션 제어·코드서명 정책).
  • 임의 DoH/DoT 차단: 브라우저 내장 DoH를 조직 정책으로 비활성, 외부 공용 DoH/DoT 엔드포인트는 L4 차단.
  • 비정상 트래픽 행위 탐지
    • 짧은 TTL/이상 체크섬/비정상 시퀀스 패턴 등 미끼/가짜 패킷 징후 감시
    • CONNECT 폭증, 잘 알려지지 않은 443/80 외 포트로의 장기 세션
    • SNI 미포함 TLS 핸드셰이크 비율 급증, ALPN 없는 연결
  • 엔드포인트 가시화: 브라우저 확장 또는 EDR에서 프록시/터널 프로세스-네트워크 상관관계 수집
  • 사용자 교육: 정책·사유·피드백 채널 공개(투명성이 우회 유인을 낮춤)

5) 로그·관측 설계(개인정보 보호 포함)

  • 수집 항목: 시간, 사용자/호스트 ID(익명화), 목적지 IP/ASN, 도메인(가능시), ALPN, JA3, 바이트/패킷 수, 결과(허용/차단 사유).
  • 민감정보 처리: URL 경로/쿼리는 원칙적 미수집 또는 강력 마스킹. 토큰/쿠키는 저장 금지.
  • 보존/파기: 보존기간·접근권한·파기 절차를 문서화, DLP 이벤트는 케이스별 기간 구분.
  • 품질 메트릭: 오탐률, 사용자 불편(헬프데스크 티켓), H3 폴백율, ECH 인입률, 예외리스트 증분.

6) TLS 가시화(SSL Inspection) 운영 체크리스트

  • 법적 근거/내부 규정: 목적·범위·대상·보존 기간을 명문화.
  • 고지·동의: 근로계약/IT 보안정책/배너 고지. BYOD는 별도 동의/프로파일.
  • 예외 리스트: 금융, 의료, 메신저, 개발자 툴, 소프트웨어 업데이트 도메인.
  • 성능/안정성: 핸드셰이크 지연, 실패율, 대역폭 오버헤드 모니터링.
  • 인증서 체인: 조직 루트CA 배포/갱신 자동화, 만료/폐기 관리.
  • 호환성: 핀닝 앱 호환 가이드 및 우회 루트(직접 경로) 마련.

7) 정책 예시 스니펫(개념)

A) 승인 리졸버 강제(개념 의사코드)

# Egress FW
DENY  UDP ANY -> :53   # 임의 DNS
DENY  TCP ANY -> :853  # 임의 DoT
DENY  TCP ANY -> :443  # 임의 DoH (well-known endpoints)  # 주기적 업데이트
ALLOW ANY -> Approved_Resolver_IPs

# PAC/MDM
FORCE_PROXY = true
BYPASS_LIST = [bank.example, software-update.example]

B) UDP/443(QUIC) 정책

ALLOW UDP 443 -> [allowlist domains/IPs via proxy mapping]
DENY  UDP 443 -> ANY (fallback to TCP/TLS)

C) SWG/SASE 규칙(개념)

IF category in [Adult, Gambling, Malware] THEN BLOCK
IF method in [PUT, POST] AND destination not in [Business SaaS allowlist] THEN CHALLENGE/LOG
INSPECT uploads <= 100MB with AV+DLP
EXEMPT domains in [Banking, Healthcare, Updates]

8) 조직 커뮤니케이션 & 거버넌스

  • 보안·법무·HR 3자 협의로 정책 수립, Change Advisory Board 절차화.
  • 사용자 피드백 루프: 차단 사유 표준 문구, 이의신청 폼, 48h 내 응답 SLO.
  • 분기별 리뷰: 예외리스트 재검토, 위협 인텔·카테고리 DB 업데이트, KPI 리포트 공유.

9) 결론

  • SNI와 DNS는 도메인 단위 통제의 양대 축이고, ECH 전환이 가속될수록 DNS·엔드포인트·행위 기반의 중요성이 커진다.
  • 세밀 통제가 필요하면 프록시 가시화+엔드포인트로, 프라이버시/법적 정합성을 전제로 운영해야 한다.
  • HTTP/3/QUIC은 차단/가시화 전략에 직접 영향 → 허용목록 기반 운용과 성능·경험의 균형이 핵심.

코멘트

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

더 많은 게시물