도메인 & DNS 제공자 2026 — Cloudflare Registrar / Porkbun / Namecheap / Quad9 / NextDNS / dnscontrol 심층 가이드

프롤로그 — "도메인 한 개 사는데 왜 이렇게 복잡한가"

2010년대 중반까지만 해도 도메인은 단순했다. GoDaddy나 Namecheap에서 사고, 등록사 기본 DNS를 쓰고, 끝. 가격은 다 비슷했고 부가 옵션은 거의 없었다.

2026년의 풍경은 완전히 다르다. 등록(누가 도메인 소유권을 ICANN/레지스트리에 기록하는가)과 DNS 호스팅(누가 A/AAAA/MX/TXT 레코드를 응답하는가)이 명확히 분리됐고, 거기에 공용 리졸버(사용자 기기가 어디로 질의를 던지는가)와 DNS-as-Code(레코드를 git에 두고 자동 배포하는가)라는 두 축이 추가됐다. 네 진영을 각각 다른 회사에 맡기는 것이 베스트 프랙티스가 됐다.

가격 구조도 달라졌다. Cloudflare가 2018년에 시작한 at-cost 등록(레지스트리 도매가에 ICANN 수수료만 더해서 판매)이 표준 비교 기준이 됐고, 마진을 붙이는 옛 등록사들은 "왜 같은 .com을 우리한테 사야 하나"를 설명해야 하는 처지가 됐다. 동시에 .ai, .dev, .io 같은 신 gTLD는 지정학 이슈와 레지스트리 가격 인상으로 연 $100을 넘긴 곳이 흔하다.

그리고 인수합병이 풍경을 다시 그렸다. Google Domains는 2023년에 Squarespace에 팔렸고, Gandi는 같은 해 Total Webhosting Solutions에 매각된 뒤 가격을 두 배 가까이 올려 오랜 사용자들의 신뢰를 잃었다. NS1은 IBM에 인수돼 엔터프라이즈 DNS 호스팅의 일부가 됐고, OpenDNS는 한참 전이지만 Cisco에 흡수돼 일반 사용자용 무료 리졸버에서 점점 멀어졌다.

이 글은 10여 곳의 등록 대행사, 7개 공용 리졸버, AWS Route 53과 NS1 같은 엔터프라이즈 DNS, dnscontrol과 Octodns 같은 IaC 도구, DNSSEC 도입 현황을 한 번에 정리한다. 한국(후이즈, 가비아, KISA)과 일본(お名前.com, ムームードメイン, バリュードメイン)의 현지 사정도 빼놓지 않는다.

1장 · 2026년 도메인 & DNS 지도 — 네 진영

도메인을 운영하는 일은 사실 네 개의 독립된 결정으로 쪼개진다.

1. Registrar (등록 대행사) — ICANN 인가를 받아 레지스트리에 소유권을 등록한다. .com이면 Verisign, .net도 Verisign, .org면 PIR. 등록사는 이들 레지스트리에서 도메인을 도매로 가져와 사용자에게 판다. Cloudflare Registrar, Porkbun, Namecheap, Spaceship, NameSilo, Hover, Hostinger, GoDaddy, Squarespace Domains, Gandi 등.

2. Authoritative DNS (권위 DNS 호스팅) — 그 도메인에 대한 실제 레코드를 가진 네임서버를 운영한다. 등록사 기본 DNS를 써도 되지만, 분리하는 게 일반적이다. Cloudflare DNS, AWS Route 53, NS1 (IBM), DNSimple, deSEC, Bunny DNS, ClouDNS 등.

3. Public Resolver (공용 리졸버) — 사용자 기기/네트워크가 "example.com이 뭐야?"라고 묻는 대상. ISP 기본 리졸버 대신 명시적으로 지정하는 추세다. Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, OpenDNS, AdGuard DNS, NextDNS, ControlD.

4. DNS-as-Code (IaC) — 레코드를 yaml/JS로 정의하고 git에 두고 CI에서 배포한다. dnscontrol (Stack Exchange), Octodns (GitHub), Pulumi DNS, Terraform DNS 프로바이더.

2010년대에는 1~3을 한 곳에 몰아놓는 게 보통이었다. 2026년에는 분리가 디폴트다. 등록은 Cloudflare Registrar에 at-cost로, 권위 DNS는 같은 Cloudflare나 Route 53에, 클라이언트 리졸버는 1.1.1.1 또는 NextDNS, 변경은 dnscontrol로 git 워크플로. 네 가지를 다 한 회사에 맡기지 않는 이유는 단순하다 — 한 곳이 망가져도 나머지가 살아 있어야 도메인이 죽지 않는다.

특히 등록과 DNS는 분리하는 게 안전하다. 등록사가 DNS까지 잡고 있는데 계정이 잠기면 그 순간 사이트가 통째로 사라진다. DNS만 다른 회사에 두면 등록사 사고가 나도 트래픽은 흐른다 (만료가 다가오지 않는 한).

2장 · Cloudflare Registrar — at-cost 가격의 표준

Cloudflare Registrar는 2018년에 출시됐을 때부터 한 가지 약속이 있었다. 마진 0원. 레지스트리 도매가에 ICANN 수수료(개당 18센트)만 더해서 판다. .com 도매가가 $9.59이면 사용자는$ 9.77에 산다. 갱신도 같은 가격. WHOIS 프라이버시도 무료, 잠금도 무료, DNSSEC도 무료.

조건은 두 가지다. (1) Cloudflare DNS를 써야 한다. 등록만 하고 다른 곳에 DNS를 두는 건 안 된다. (2) 일부 TLD만 지원한다 — .com .net .org .io .dev .app 등 인기 있는 100여 개 TLD. .ai, .me, .co 같은 일부는 늦게 추가됐고, 한국 .kr이나 일본 .jp 같은 ccTLD는 아직 없다.

장점.

at-cost 가격. .com 연 $9.77, .net$ 11.x, .org $9.x. 시중 평균 대비 25~40% 싸다.
갱신가 = 신규가. 첫 해 싸게 팔고 갱신 때 두 배 받는 트릭이 없다.
WHOIS 프라이버시 무료. Porkbun, Gandi도 무료지만 다수 등록사는 별도 과금.
이전 시 추가 1년 갱신 무료. ICANN 정책에 따른 표준이지만 일부 등록사는 받기도 한다.
DNSSEC 한 클릭. 자동 KSK 관리.

단점/제약.

DNS를 Cloudflare로 잠금. Route 53이나 NS1을 쓰고 싶으면 다른 등록사로 가야 한다.
TLD 커버리지가 좁다. .kr, .jp, .de 같은 ccTLD는 별도 등록사가 필요.
이전 받을 수만 있고 신규 등록은 일부 TLD만. 신규 등록 가능 TLD가 계속 늘고 있지만 여전히 제한적.
고객지원은 채팅/티켓 위주. 전화 지원 없음.

실무 흐름.

1) 다른 등록사(GoDaddy 등)에서 산 도메인을 Cloudflare에 추가 → DNS만 먼저 이전
2) WHOIS·도메인 잠금 해제, EPP/Auth 코드 발급
3) Cloudflare 대시보드 → Domain Registration → Transfer Domains
4) Auth 코드 입력, 1년 갱신 자동 추가, 결제
5) 5~7일 후 이전 완료

신규 등록은 같은 대시보드에서 "Register Domains"로 가능한 TLD 검색해서 산다.

Cloudflare Registrar가 2026년 사실상 표준이 된 이유는 분명하다 — 가격 싸움이 의미가 없어졌다. 마진 0에 어떻게 더 싸게 팔겠나. 다른 등록사들은 가격 외의 가치(고객 지원, DNS 기능, 부가 상품 번들)로 경쟁한다.

3장 · Porkbun — 가성비 + 무료 WHOIS 프라이버시

Porkbun은 2014년 출시된 미국 등록사로, 2020년대 들어 "Cloudflare Registrar 다음으로 싸고, ccTLD까지 폭넓게 지원하는 곳"이라는 평판을 얻었다.

가격 예시 (2026년 기준 대략).

.com: 신규 $9.13, 갱신$ 11.x
.dev: 약 $17
.io: 약 $45 (.io 가격이 2024년 이후 계속 올랐다)
.me: 약 $13

특징.

WHOIS 프라이버시 영구 무료. 옵션이 아니라 디폴트.
DNSSEC 무료, URL 포워딩 무료, 이메일 포워딩 무료.
SSL 인증서(SSL.com) 무료 제공 — Let's Encrypt를 쓰지 않는 환경에서 유용.
API가 깔끔하다. dnscontrol, Octodns 모두 공식 지원.
600여 종 TLD 지원 — Cloudflare Registrar가 100개 정도인 것과 대조.
이메일 호스팅 옵션 — 도메인당 $4/월 정도로 IMAP/SMTP 박스 제공.

장점.

Cloudflare가 다루지 않는 .ai, .me, .co, .kr(일부) 같은 TLD를 같은 계정에서 관리.
DNS도 자체적으로 운영하며 기능이 풍부 — ALIAS 레코드, URL 포워딩, 이메일 포워딩.
결제 수단이 다양 — 카드, PayPal, 암호화폐(BTC/LTC).

단점.

.com 신규는 Cloudflare보다 살짝 비싸다 — 마진이 0은 아니다.
갱신가가 신규가보다 높다 — Cloudflare처럼 동일하지 않다.
한국어/일본어 UI 없음, 영어만.

개인 개발자에게 Porkbun이 매력적인 이유는 한 가지로 요약된다. "등록사 하나에서 거의 모든 TLD를 같은 가격대에 사고, 무료 WHOIS·DNSSEC·이메일 포워딩까지 묶음으로 받을 수 있다." Cloudflare Registrar는 DNS를 잠그지만, Porkbun은 그렇지 않아서 권위 DNS를 Cloudflare나 Route 53으로 따로 옮길 수 있다.

4장 · Namecheap + Spaceship — 오랜 인기와 신 브랜드

Namecheap은 2000년 설립된 오래된 등록사로, 2010년대 GoDaddy 대안으로 가장 많이 추천됐다. "Namecheap은 정말 저렴(cheap)한가?"라는 질문이 자주 있는데, 답은 첫 해는 싸고, 갱신은 평균.

가격 예시.

.com 신규: 약 $6 (프로모션 시), 갱신 약$ 14
WHOIS 프라이버시: 무료 (2016년부터)
DNSSEC: 무료
SSL: 별도 판매 (PositiveSSL 등)

장점.

UI가 친숙하고 한국 사용자도 많아 가이드가 풍부.
ccTLD 커버리지가 넓다 — .uk, .de, .es 등.
호스팅, 이메일, VPN 등 부가 서비스 풍부.
24/7 채팅 지원.

단점.

갱신가가 신규가의 2배 이상인 경우가 많다 — 1~2년마다 옮길 각오가 필요.
부가 상품 업셀이 강하다 — 결제 페이지에서 옵션을 꺼두지 않으면 SSL/백업/프라이버시가 자동 추가되기도.
DNS는 기본 제공되지만 기능이 평이하다 — 고급 사용자는 Cloudflare DNS를 별도로 쓴다.

Spaceship — Namecheap이 만든 새 브랜드

2023년 Namecheap은 Spaceship이라는 새 브랜드를 런칭했다. 같은 회사지만 별도 인프라/UI/가격 정책으로 운영되며, 더 젊고 개발자 친화적인 포지션을 노린다.

가격은 Namecheap과 비슷하거나 약간 싸다.
UI가 새롭고 깔끔하다 — Namecheap의 레거시 메뉴 구조를 버렸다.
WHOIS 프라이버시 무료, DNSSEC 무료.
자체 DNS (Spaceship DNS)를 강조 — Anycast 네트워크 보유.
이메일, 호스팅, AI 도메인 제안 등 통합.

평가는 갈린다. Spaceship은 "Namecheap의 옛 사용자 경험 문제를 해결한 새 시작"으로 보이지만, 백엔드가 Namecheap이라는 점에서 진정한 별개 회사인지에 대한 의구심도 있다. 신규 등록은 Spaceship에서, 기존 도메인은 Namecheap에서 그대로 두는 사람이 많다.

5장 · Gandi — TWS 인수(2023) 가격 논란

Gandi는 1999년 프랑스에서 설립된, 오랫동안 유럽 개발자의 사랑을 받은 등록사였다. "No Bullshit" 슬로건, 무료 SSL, 무료 메일 박스 2개, 깔끔한 UI, 친절한 지원 — 가격은 싸지 않았지만 신뢰가 있었다.

2023년 8월, Gandi가 Total Webhosting Solutions(TWS, 네덜란드)에 매각됐다. 매각 자체는 흔한 일이지만, 인수 후 몇 달 안에 일어난 일들이 사용자들의 격렬한 반발을 샀다.

TLD 가격 일제 인상 — .com 같은 인기 TLD는 두 배 가까이, ccTLD는 그 이상 오른 곳도 있었다.
무료로 제공되던 메일 박스 유료화 — 기존 무료 박스 보유자에게 갑작스러운 통보.
SSL 인증서 정책 변경.
고객 지원 품질 하락 보고 다수.

결과는 대규모 이탈이었다. Hacker News, Reddit 등에서 "Gandi에서 옮긴 후기" 글이 수백 개 올라왔고, 많은 개발자가 Porkbun, Cloudflare Registrar, 또는 deSEC(독일 비영리)로 이동했다. 일부는 "고가의 옛 충성 사용자에게 갑자기 더 비싼 가격을 강요한 것이 신뢰를 결정적으로 잃은 이유"라고 평했다.

2026년 현재 Gandi는 여전히 운영되며 가격을 부분적으로 조정했지만, 한 번 깨진 신뢰는 회복이 어렵다. "Gandi의 교훈" — 등록사가 바뀌면 가격 정책이 바뀐다. 5년치 미리 결제 같은 옵션은 보호막이 되지만, 5년 후에는 또 다른 회사가 운영할 수도 있다.

대안.

Porkbun, Cloudflare Registrar로 이전.
유럽 비영리 선호: deSEC (독일, 무료 DNS 호스팅 비영리), INWX (독일, 개발자 친화).
ccTLD 전문: 각 ccTLD는 현지 등록사를 두는 게 안전.

6장 · Hover (Tucows) / NameSilo / Hostinger / GoDaddy

Hover (Tucows)

Tucows의 소매 브랜드. **"공정 가격, 업셀 없음"**을 슬로건으로 한다. 가격은 평균(.com 약 $17 갱신가)이지만, 결제 페이지에서 SSL/백업/프라이버시를 강요하지 않는 것이 차별점. WHOIS 프라이버시는 기본 무료.

장점: 단순함, 안정적인 회사(Tucows는 ICANN 인가 등록사 중 큰 곳), 깔끔한 UI.

단점: 가격이 Cloudflare/Porkbun보다 비싸다. 신규 사용자에게는 매력이 낮을 수 있다.

NameSilo

도매가 가까운 가격으로 유명. .com이 $9.x 수준에서 유지. WHOIS 프라이버시 무료, 그러나 UI는 오래된 느낌. 대량 도메인 보유자(투자자, SEO 운영자)가 선호.

Hostinger

호스팅 회사가 등록을 곁다리로 한다. 호스팅 번들 가격이 매우 싸다 — 호스팅 + 도메인 + SSL을 1~2년 묶음으로 사면 첫 해는 매우 저렴. 단, 갱신가는 정상가로 돌아온다. 호스팅과 도메인을 한 곳에 묶고 싶은 비개발자에게 어필.

GoDaddy

업계 최대 등록사. 2026년 기준으로도 가장 많은 도메인을 보유. 평판은 갈린다 — UI가 복잡하고 업셀이 강하지만 안정성/지원/도구는 풍부. 한국에서도 일반인 사용자 비중이 크다.

장점: TLD 커버리지 최대, 24/7 전화 지원, 부가 도구(웹사이트 빌더 등) 다수.

단점: 갱신가가 비싸다, 결제 페이지 업셀이 공격적, WHOIS 프라이버시 별도 과금, 정치적 논란 이력(2012년 SOPA 지지 → 보이콧).

7장 · Squarespace Domains (Google Domains 인수 2023)

2023년 6월, Google이 Google Domains를 Squarespace에 매각한다고 발표했다. 약 1,000만 개 도메인이 Squarespace로 자동 이관됐다. Google Domains는 2015년부터 운영된, 깔끔한 UI와 합리적 가격($12/년 .com 단일가)으로 사랑받던 서비스였다.

매각 이유는 명확히 공개되지 않았지만, 업계 관측은 "Google이 코어 비즈니스가 아닌 서비스를 정리하는 흐름"이었다. Stadia, Google Play Music에 이은 또 하나의 정리.

Squarespace로 넘어간 후 변화.

UI 변경 — Google Domains의 단순한 화면에서 Squarespace 일반 대시보드로 통합.
가격은 일단 유지 — 적어도 첫 해는 동일 가격으로 갱신 보장(매각 당시 약속).
기능 일부 누락 — Google Domains의 일부 기능(특정 DNS 옵션, API 등)이 초기에 없었으나 점차 추가.
WHOIS 프라이버시 무료 유지.

평가.

Google Domains 사용자 다수가 이전 기회를 받아 Cloudflare Registrar, Porkbun으로 이탈.
그대로 남은 사용자는 Squarespace 빌더와의 통합을 활용.
새로 Squarespace에서 등록하는 사람은 빌더+호스팅+도메인 번들이 매력적이라면 선택.

"Google Domains의 종말"은 큰 사건이었다. 신뢰하던 회사도 서비스를 접을 수 있고, 매각된 회사의 정책은 예측 불가능해진다. Gandi 사례와 함께 "한 곳에 모든 도메인을 두지 말라"는 격언의 근거가 됐다.

8장 · DNS 리졸버 — Cloudflare 1.1.1.1 / Google 8.8.8.8 / Quad9 / OpenDNS

여기서부터는 등록과 무관한 이야기다. 리졸버는 사용자 기기/네트워크가 "이 도메인 IP가 뭐야?"라고 묻는 대상이다. 기본값은 보통 ISP의 리졸버지만, 명시적으로 다른 곳을 지정하는 게 일반적이 됐다.

리졸버	주소	특징
Cloudflare	1.1.1.1 / 1.0.0.1	가장 빠름, 프라이버시 강조, DoH/DoT 지원
Google	8.8.8.8 / 8.8.4.4	매우 안정, 글로벌 커버리지 최고, Anycast
Quad9	9.9.9.9	멀웨어 도메인 차단, 스위스 비영리, 로그 미보관
OpenDNS	208.67.222.222	Cisco 소유, 가족 필터 옵션, 비즈니스 버전 별도
AdGuard DNS	94.140.14.14	광고/추적 차단
NextDNS	가변 (계정별)	커스텀 차단 리스트, 로그/대시보드
ControlD	가변	같은 카테고리, 더 강력한 정책

Cloudflare 1.1.1.1

2018년 출시. APNIC과 협력해 1.1.1.1을 얻었다. 성능 벤치마크에서 일관되게 최상위. DoH(DNS over HTTPS), DoT(DNS over TLS) 모두 지원. 로그 24시간 보관 후 삭제 정책을 KPMG가 감사. 가족 보호 변종(1.1.1.2 멀웨어 차단, 1.1.1.3 멀웨어+성인 차단)도 있다.

Google 8.8.8.8

2009년 출시. 가장 오래된 공용 리졸버. 가장 큰 Anycast 네트워크. 성능은 일관되고 안정적이지만, 프라이버시 정책은 Cloudflare보다 덜 엄격(완전 로그 삭제 약속 없음). 어디서나 동작하는 디폴트로 쓸 만하다.

Quad9 9.9.9.9

2017년 출시. IBM의 X-Force와 협력하는 멀웨어/피싱 도메인 차단 리졸버. 스위스 비영리(Quad9 Foundation)가 운영, 로그를 보관하지 않음. 차단 데이터는 18개 이상 보안 회사의 위협 인텔리전스 기반. 약간 느리지만 보안이 우선인 환경에 적합.

OpenDNS

원래 2005년 독립 회사로 시작, 2015년 Cisco에 인수. 무료 일반 사용자용 버전과 유료 Umbrella(엔터프라이즈)가 갈렸다. 가족 필터(FamilyShield: 208.67.222.123)가 강점. Cisco 인수 후 일반 사용자 기능 업데이트는 정체.

AdGuard DNS

광고/추적 차단 전문. 두 가지 모드 — "Default"(광고/추적 차단)와 "Family Protection"(거기에 성인 콘텐츠 추가). 무료 공용 + 유료 프리미엄 (개인 대시보드, 더 강력한 차단).

9장 · Family DNS — NextDNS / ControlD / AdGuard

리졸버 중에서도 가족/조직용 필터링과 대시보드를 제공하는 카테고리. 2026년 들어 가정/소규모 사무실에서의 채택이 빠르게 늘었다.

NextDNS

2019년 출시, 프랑스. 각 사용자/조직이 자기만의 리졸버 프로파일을 만든다. 차단 리스트(EasyList, AdGuard, OISD 등 수십 종) 선택, 도메인별 화이트/블랙리스트, 안전 검색 강제, SafeSearch, 부모 통제(연령별 카테고리 차단). 대시보드에서 실시간 쿼리 로그 확인. DoH/DoT 모두 지원.

무료: 월 30만 쿼리.
프로: $19.90/년 (무제한, 분석 보관).

ControlD

2020년 출시. NextDNS와 유사 컨셉이지만 정책 제어가 더 세밀. 시간대별 정책(업무 시간엔 SNS 차단), 위치별 정책(가정/사무실), 디바이스별 정책. 자체 IPv4 Anycast와 BYOIP 옵션.

무료 단계 있음, 유료는 $30/년 정도부터.
비즈니스 플랜이 강함 — MDM/SAML.

AdGuard DNS (Pro)

AdGuard 회사가 제공하는 유료 대시보드 버전. 광고 차단 영역에서 강력. 모바일 앱(AdGuard for Android/iOS)과 통합되면 시스템 전체 광고 차단.

가족 DNS 선택 가이드

광고/추적만 차단: AdGuard DNS 무료 또는 Cloudflare 1.1.1.1.
자녀 보호 / 안전 검색 강제: OpenDNS FamilyShield 또는 Cloudflare 1.1.1.3 (무료) → NextDNS/ControlD (유료, 세밀 제어).
소규모 조직 / 원격 근무자 관리: NextDNS Pro 또는 ControlD Business.

10장 · AWS Route 53 / NS1 (IBM) — 엔터프라이즈 DNS 호스팅

기업 환경의 권위 DNS 호스팅은 다른 시장이다. 핵심 요구가 다르다 — Anycast 글로벌 커버리지, 99.999%+ SLA, 트래픽 라우팅 정책(지역/지연/가중치), Health Check, 큰 zone(수만 레코드), API/Terraform 통합.

AWS Route 53

AWS의 DNS 서비스. 글로벌 Anycast 네트워크, 100% SLA 발표(역사적으로 다운타임 0에 가까움). 가격은 zone당 $0.50/월, 100만 쿼리당$ 0.40 수준.

기능.

라우팅 정책 다양 — Simple, Weighted, Latency-based, Failover, Geolocation, Multi-Value Answer.
Health Check — 엔드포인트 모니터링 → DNS 응답에서 자동 제외.
Alias 레코드 — ELB, CloudFront, S3, API Gateway 등을 IP 없이 가리킨다(AWS 내부 통합).
Resolver 별도 제품 — VPC 내부 DNS 해석용.
Domain Registration — Route 53에서 도메인 등록도 가능 (가격은 average).

기업 사용 시 표준 선택. AWS 인프라와의 통합이 강력해서 AWS 위에서 운영하는 회사는 거의 모두 Route 53.

NS1 (IBM)

원래 NS1은 트래픽 라우팅의 강자였다. 데이터 기반 DNS — RUM, 외부 모니터링, 자체 메트릭을 종합해 사용자별로 최적 IP 응답. 2022년 IBM이 인수, 이후 IBM NS1 Connect 브랜드로 통합.

장점.

Filter Chain — 응답을 결정하는 정책 파이프라인이 매우 강력.
Pulsar RUM — JS 스니펫으로 실제 사용자 지연 측정 → DNS 결정에 반영.
멀티 CDN 활용 — Akamai/Cloudflare/Fastly 사이 트래픽 분산을 DNS로.

단점.

비싸다. 엔터프라이즈 가격.
IBM 인수 후 일반 개발자 대상 마케팅이 줄었다.

대안으로 DNSimple, Bunny DNS, ClouDNS, Constellix 등이 중간 시장을 노린다. deSEC는 비영리 무료 DNS 호스팅(독일).

11장 · DNSSEC 도입의 현재

DNSSEC(DNS Security Extensions)은 DNS 응답에 서명을 붙여 변조를 막는 표준이다. 1997년 첫 RFC, 2010년대 루트 zone 서명, 그런데도 채택률은 오랫동안 낮았다.

2026년 현재.

TLD 수준 채택은 거의 100% — 모든 주요 TLD가 DNSSEC 지원.
도메인 수준 채택률은 약 5~10% (TLD별 편차 큼, .se 같은 곳은 60%+).
resolver 측 검증률은 30%+ — 주요 공용 리졸버(Cloudflare, Google, Quad9)는 모두 검증.

장벽.

키 관리가 복잡 — KSK 롤오버, ZSK 롤오버, DS 레코드 등록.
잘못 설정하면 도메인 통째 다운 — 서명 만료, 알고리즘 불일치.
CDN/Cloud DNS 자동화 부족 — Cloudflare는 한 클릭이지만 다른 곳은 수동.
인지도 낮음 — 일반 개발자가 필요성을 못 느낌.

권장 사항.

Cloudflare DNS / Route 53 사용 시: 한 클릭으로 켜라. KSK 자동 관리.
자체 운영 DNS: BIND나 NSD에서 OpenDNSSEC 사용, 자동 키 롤오버.
DS 레코드를 등록사에 등록 필수 — 등록사 페이지에서 DS 또는 DNSKEY 입력.

DNSSEC만으로 모든 공격을 막진 못한다. DoH/DoT(전송 암호화), DANE/TLSA(인증서 핀닝), CAA 레코드(인증서 발급 제한)가 함께 와야 완성된다.

12장 · DNS as Code — dnscontrol / Octodns / Pulumi DNS

레코드를 GUI에서 손으로 만지는 시대는 끝났다. DNS 레코드를 git에 두고, PR 리뷰 후 CI에서 배포하는 흐름이 2020년대 중반부터 표준이 됐다.

dnscontrol (Stack Exchange)

Stack Exchange가 자사 DNS 운영을 위해 만든 도구. JavaScript DSL로 레코드를 표현.

var REG_NONE = NewRegistrar('none')
var DNS_CF = NewDnsProvider('cloudflare')

D(
  'example.com',
  REG_NONE,
  DnsProvider(DNS_CF),
  A('@', '192.0.2.1'),
  CNAME('www', '@'),
  MX('@', 10, 'mx1.example.com.'),
  TXT('@', 'v=spf1 include:_spf.google.com ~all')
)

dnscontrol preview   # 변경사항 미리 보기
dnscontrol push      # 적용

지원 프로바이더: Cloudflare, Route 53, NS1, Google Cloud DNS, Azure, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode, Vultr, deSEC, Porkbun 등 40개 이상.

장점: 멀티 프로바이더 — 같은 zone을 두 곳에 동시에 배포(Cloudflare + Route 53)도 가능. Active-Active DNS 운영.

Octodns (GitHub)

GitHub가 자사 zone 관리를 위해 만든 도구. YAML로 레코드 정의.

# example.com.yaml
'':
  - type: A
    value: 192.0.2.1
www:
  - type: CNAME
    value: example.com.
'@':
  - type: MX
    values:
      - { preference: 10, exchange: mx1.example.com. }

octodns-sync --config-file config.yaml --doit

지원 프로바이더: Cloudflare, Route 53, Azure, NS1, Constellix, DNSimple, DigitalOcean, Google Cloud DNS, OVH, PowerDNS, Hetzner, deSEC, dnsimple 등.

dnscontrol과의 차이: 선언 형식이 YAML이라 코드 리뷰가 깔끔, 멀티 프로바이더 지원도 강력하지만 DSL의 표현력은 dnscontrol이 더 풍부.

Pulumi DNS / Terraform DNS

범용 IaC 도구의 DNS 모듈. 인프라 코드 안에서 같이 관리할 수 있는 게 장점. 단점은 DNS만의 편의 기능(여러 프로바이더 동기 배포, 동등성 비교)이 약하다.

누가 어떤 도구를 쓰나

소규모 (~10개 zone): dnscontrol — 한 파일, 명확.
중대형 (수십~수백 zone): Octodns — YAML이 자동 생성/검증에 유리.
이미 Terraform/Pulumi 쓰는 팀: 거기에 통합.

13장 · 새 gTLD 폭발 — .dev / .ai / .io 비싸짐

2012년 ICANN의 신 gTLD 프로그램으로 .app, .dev, .blog, .shop 등 1,000개 이상의 새 TLD가 출범했다. 처음엔 대부분 저렴했지만, 2024년 이후 몇 가지가 급격히 비싸졌다.

.ai — AI 붐의 수혜

.ai는 앵귈라(영국령 카리브 섬)의 ccTLD다. AI 열풍으로 수요 폭발 → 가격 인상. 2024년 약 $80, 2026년 약$ 100~150 (등록사 별). 앵귈라 정부가 .ai 라이센스 수익만으로 GDP의 1/3을 번다는 보고도.

.io — 인도양 영국령 (사실상 .ai와 같은 흐름)

스타트업/개발자가 사랑하는 .io. 2024년 약 $40에서 **2026년 약$ 50~70**까지 올랐다. 정치적 이슈도 있다 — 영국이 차고스 제도(IOT)를 모리셔스에 양도하기로 한 결정이 .io의 미래에 영향을 줄 수 있다는 우려 (IANA가 ccTLD를 폐지할 가능성).

.dev — Google 운영

Google이 운영하는 gTLD. 모든 .dev 도메인은 HSTS preload 강제 (HTTPS 필수). 가격은 약 $17/년으로 안정적. 개발자 프로젝트 호스팅에 인기.

.app — 역시 Google 운영, HSTS preload 강제

모바일 앱 페이지에 인기. 가격 $20/년 수준.

.com — 여전히 표준

Verisign이 운영. 도매가가 ICANN과의 협약에 따라 정기적으로 인상 (연 7% 한도). 2026년 도매가 약 $10. 이 정도면 신 gTLD 다수보다 싸다.

새 gTLD 사용 시 주의

갱신가가 첫 해보다 폭등하는 경우가 흔하다 — 등록 전 다년 가격 확인.
이메일/링크 자동 인식이 약한 TLD — 일부 메신저/이메일 클라이언트가 .blog, .name 등을 링크로 인식 못함.
레지스트리 리스크 — 신 gTLD 일부는 운영 회사가 작아서 폐지/이관 가능성.

14장 · 한국 — 후이즈, 가비아, KISA

한국 도메인 시장의 특수성.

.kr 도메인

KISA(한국인터넷진흥원)가 .kr 레지스트리를 운영. 모든 .kr 도메인은 KISA 인증 한국 등록사를 통해서만 등록 가능 — 외국 등록사(Cloudflare, Porkbun 등)는 직접 .kr을 팔 수 없다(일부는 재판매 형식으로 제공).

주요 한국 등록사.

후이즈(Whois) — 한국 토종, .kr부터 일반 gTLD까지 폭넓게. UI가 클래식.
가비아(Gabia) — 한국 1위 도메인/호스팅 회사. 도메인, 호스팅, 메일, 클라우드 통합.
카페24, 닷네임코리아, 아이네임즈 — 호스팅 회사 겸업 등록사.
메가존(Megazone) — 클라우드 회사 위주.

.kr 정책

외국인 등록 가능, 국내 거주 불필요.
WHOIS 정보 공개가 다른 TLD보다 엄격 (일부 정보 비공개 옵션 제한).
분쟁 조정은 KISA의 분쟁조정위원회.

한국에서 도메인을 살 때

.kr/.한국: 한국 등록사 필수 (가비아/후이즈 추천).
.com / 해외 gTLD: 한국 등록사도 팔지만 가격이 해외보다 비쌈 → Cloudflare/Porkbun이 유리.
결제: 한국 등록사는 카드/계좌이체/무통장, 해외 등록사는 카드/PayPal.

KISA의 역할

.kr 레지스트리 운영.
사이버 보안 정책 (한국인터넷진흥원).
KRcert (한국침해사고대응팀) — DNS 관련 사이버 인시던트 대응.

DNS 호스팅

대형 사이트는 보통 Cloudflare DNS 또는 Route 53을 직접 쓴다. 한국 토종 DNS 호스팅 서비스도 있지만 글로벌 Anycast 커버리지 측면에서 글로벌 서비스가 우위.

15장 · 일본 — お名前.com / ムームードメイン / バリュードメイン

일본 도메인 시장의 풍경.

.jp 도메인

JPRS(株式会社日本レジストリサービス)가 .jp 레지스트리를 운영. .co.jp(법인), .ne.jp(네트워크), .or.jp(비영리), .ac.jp(교육), .go.jp(정부) 등 세분화된 2단계 도메인이 특징.

주요 일본 등록사

お名前.com (お名前ドットコム) — GMO 그룹 운영, 일본 1위 등록사. .jp부터 모든 gTLD까지 풍부. UI는 일본어 위주, 영어도 일부.
ムームードメイン (Muumuu Domain) — GMO 페퍼푸드 자회사, 개인/소규모 사용자에게 인기. 가격 합리적, UI 친숙.
バリュードメイン (Value Domain) — GMO 그룹, 개발자/기술 사용자에게 인기. DNS 기능 풍부.
さくらインターネット (Sakura Internet) — 호스팅 회사 겸업, .jp 등록.

GMO 그룹이 일본 도메인 시장을 사실상 과점하고 있다. 가격은 해외 등록사(Porkbun, Cloudflare)보다 약간 비싸지만, .jp 등록은 일본 등록사가 절차상 편리.

.jp 정책

영문/한자 모두 가능 (例えば: 日本.jp).
co.jp는 일본 법인만 등록 가능, 회사 등록 정보 확인.
WHOIS 정보가 비교적 엄격하게 공개.

일본에서 도메인을 살 때

.jp, .co.jp: 일본 등록사 필수 (お名前.com 또는 ムームードメイン).
.com / gTLD: 해외 등록사(Cloudflare/Porkbun)가 가격에서 유리.
결제: 카드, 銀行振込, 편의점 결제, 携帯キャリア 결제까지 다양.

일본의 DNS / 보안 동향

JPRS가 .jp DNSSEC 사인을 운영, 채택률은 점진적 증가.
JPCERT/CC가 DNS 관련 보안 인시던트 대응.
대기업/통신사는 자체 권위 DNS 운영, 중소 기업은 등록사 기본 DNS 또는 Cloudflare/Route 53.

16장 · 누가 무엇을 골라야 하나 — 시나리오별 추천

지금까지 본 도구들을 시나리오별로 묶어보자.

개인 개발자, 도메인 1~3개

등록: Cloudflare Registrar (지원 TLD라면) 또는 Porkbun.
권위 DNS: 등록사 그대로 (Cloudflare DNS / Porkbun DNS).
공용 리졸버: Cloudflare 1.1.1.1 또는 Quad9.
IaC: 도메인 1개라면 GUI로 충분, 3개부터 dnscontrol 도입 가치.

스타트업, 도메인 5~20개

등록: Cloudflare Registrar + Porkbun (TLD 커버리지 보완).
권위 DNS: Cloudflare DNS (CDN/WAF와 통합) 또는 Route 53 (AWS 인프라).
공용 리졸버: 사내 NextDNS Pro (대시보드/통제) 또는 Cloudflare.
IaC: dnscontrol — git 워크플로 필수.

중견 기업, 도메인 수십~수백 개

등록: 등록사 한두 곳 통합 (Cloudflare Registrar + 지역별 ccTLD 등록사).
권위 DNS: Route 53 또는 NS1 (트래픽 라우팅 필요 시).
DNS-as-Code: Octodns 또는 Terraform DNS 모듈, CI/CD 통합.
DNSSEC: 모든 도메인 켜기.
모니터링: DNS Spy, RIPE Atlas로 외부 가시성.

가족/가정용 (자녀 보호)

공용 리졸버: NextDNS 또는 ControlD 가족 플랜.
라우터 설정으로 가정 내 모든 기기 적용.
AdGuard DNS: 광고 차단도 함께.

프라이버시 강박

등록: Njalla(앵귈라 기반, 프라이버시 강조) 또는 deSEC.
WHOIS: 무조건 비공개 (대부분 등록사가 무료 제공).
공용 리졸버: Quad9 (로그 없음, 스위스 비영리) 또는 AdGuard DoH.
DoH/DoT: 브라우저/OS에서 DoH 강제 (Cloudflare WARP 등).

정치적 위험이 있는 콘텐츠

등록: 검열 위험이 낮은 ccTLD (.ch, .is, .me 등), 정치적 압력에 둔감한 등록사.
DNS: 분산 시스템 — 등록과 DNS를 다른 회사에, 권위 DNS는 멀티 프로바이더.
백업 도메인 미리 확보.

17장 · 자주 묻는 운영 질문들

Q. 등록사를 옮기면 사이트가 다운되나?

A. 아니다. 등록사 이전은 소유권 레코드만 옮기는 절차이고, 권위 DNS가 그대로면 트래픽은 흐른다. 하지만 등록사를 옮길 때 권위 DNS도 같이 옮긴다면 잘못 설정하면 다운될 수 있다. DNS 이전 → 며칠 안정 확인 → 등록사 이전이 순서.

Q. WHOIS 프라이버시를 꼭 켜야 하나?

A. 일반인은 켜라. 스팸/피싱/소셜 엔지니어링 표적이 된다. 단, 일부 ccTLD(.us 등)는 WHOIS 비공개를 제한.

Q. 도메인 잠금(Transfer Lock)은 뭔가?

A. 도용 방지 장치. 켜져 있으면 다른 등록사로 이전할 때 별도 해제 절차 필요. 평소엔 켜두고, 이전할 때만 끈다.

Q. EPP/Auth 코드란?

A. 도메인 이전 시 필요한 인증 코드. 현재 등록사에서 발급받아 새 등록사에 입력. 코드 발급 후 며칠 내 사용해야 함.

Q. 도메인 만료 후 얼마간 회복 가능한가?

A. ICANN 정책상 30일 grace period (정상가 갱신), 이후 30~~80일 redemption period (수수료 약 $100~~200), 이후 release. 자동 갱신과 결제 수단 백업이 안전.

Q. DNS 변경이 반영되는 시간(TTL)은?

A. 레코드의 TTL 값에 따름. 기본은 보통 300초~3,600초. 변경 직전에 TTL을 60초로 낮춰두면 빠르게 전파.

Q. 멀티 프로바이더 DNS(두 곳 동시 운영)는 어떻게?

A. 등록사 NS 설정에 두 회사의 네임서버를 같이 등록 → 두 회사에 같은 zone을 dnscontrol/Octodns로 동기 배포. 한 회사가 다운돼도 다른 곳이 응답.

Q. .ai 도메인이 갑자기 비싸졌다, 어떻게?

A. 앵귈라 정부의 가격 정책 변화 + 수요 증가. 갱신 직전에 다년 결제로 잠그거나, 대체 TLD(.dev, .app)을 고려.

마무리 — 분리, 자동화, 백업

도메인과 DNS의 2026년 베스트 프랙티스를 한 줄로 요약하면 — 분리하고, 자동화하고, 백업하라.

분리 — 등록과 권위 DNS를 다른 회사에. 등록은 Cloudflare Registrar / Porkbun, DNS는 Route 53 / Cloudflare DNS / NS1.
자동화 — DNS 레코드를 git에 두고 dnscontrol 또는 Octodns로 배포. PR 리뷰, CI 검증.
백업 — 결제 카드 백업, 두 번째 관리자 계정, 만료 알림 90/60/30/15/3일 다단계 설정.

Gandi가 가격을 올린 것, Google Domains가 팔린 것, NS1이 IBM에 인수된 것 — 모두 같은 교훈을 준다. 회사는 바뀐다. 정책도 바뀐다. 한 곳에 모든 걸 두면 그 회사가 바뀔 때 너의 전체 인프라가 흔들린다.

Cloudflare Registrar의 at-cost 가격이 영원할 거란 보장도 없다. 그래도 분리된 구조로 운영하면, 등록사가 바뀌어도 DNS는 살아 있고, DNS 공급자가 바뀌어도 등록사는 그대로 있고, 리졸버가 차단당해도 다른 리졸버로 돌릴 수 있다. 이 다층 방어가 2026년 도메인 운영의 핵심이다.

참고 / References

ICANN Registrar Accreditation — https://www.icann.org/registrar-reports/accredited-list.html
Cloudflare Registrar — https://www.cloudflare.com/products/registrar/
Porkbun — https://porkbun.com/
Namecheap — https://www.namecheap.com/
Spaceship — https://www.spaceship.com/
Gandi (TWS) — https://www.gandi.net/
Hover (Tucows) — https://www.hover.com/
NameSilo — https://www.namesilo.com/
Hostinger Domains — https://www.hostinger.com/domains
GoDaddy — https://www.godaddy.com/
Squarespace Domains — https://www.squarespace.com/domains
deSEC (비영리 DNS/등록) — https://desec.io/
INWX — https://www.inwx.com/
Cloudflare 1.1.1.1 — https://1.1.1.1/
Google Public DNS 8.8.8.8 — https://developers.google.com/speed/public-dns
Quad9 — https://quad9.net/
OpenDNS — https://www.opendns.com/
AdGuard DNS — https://adguard-dns.io/
NextDNS — https://nextdns.io/
ControlD — https://controld.com/
AWS Route 53 — https://aws.amazon.com/route53/
NS1 / IBM NS1 Connect — https://www.ibm.com/products/ns1-connect
DNSimple — https://dnsimple.com/
dnscontrol — https://docs.dnscontrol.org/
Octodns — https://github.com/octodns/octodns
Pulumi DNS providers — https://www.pulumi.com/registry/
Terraform DNS providers — https://registry.terraform.io/browse/providers
DNSSEC overview — https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en
DANE/TLSA — https://datatracker.ietf.org/doc/html/rfc6698
CAA records — https://datatracker.ietf.org/doc/html/rfc8659
KISA .kr — https://krnic.or.kr/
가비아 — https://www.gabia.com/
후이즈 — https://whois.co.kr/
JPRS (.jp) — https://jprs.jp/
お名前.com — https://www.onamae.com/
ムームードメイン — https://muumuu-domain.com/
バリュードメイン — https://www.value-domain.com/
Google Domains sale to Squarespace (2023) — https://blog.google/products/registry/squarespace-google-domains/
Gandi acquired by Total Webhosting Solutions (2023) — https://news.gandi.net/en/2023/07/total-webhosting-solutions-acquires-gandi/
NS1 acquired by IBM (2022) — https://newsroom.ibm.com/2022-09-01-IBM-Closes-Acquisition-of-NS1
IANA TLD pricing — https://www.iana.org/domains/root/db