튜토리얼 · 약 17분

Chrome·Edge 보안 DNS가 Clash·FakeIP를
「덮어쓰는」 이유와 끄는 방법 (DoH)

Clash·Mihomo를 켜고 시스템 DNS도 클라이언트 쪽 스텁으로 맞췄는데, Chrome이나 Microsoft Edge에서만 해외 사이트가 직접 연결되거나, 규칙이 있는 노드로 안 잡힌다고 느껴질 수 있습니다. 원인의 하나는 브라우저 자체 보안 DNS(DNS over HTTPS, DoH)가 OS가 넘기는 쿼리를 따르지 않는 경우입니다. 본문은 FakeIP·이름 풀이 체인과 어느 점에서 충돌하는지 짚고, 한국어 UI 기준 끄기·검증 절차를 정리합니다. Mihomo 쪽 DoH·FakeIP 전역 설계는 별도 주제(메타 커널 nameserver 블록)이며, 여기서는 Chromium 내장 DoH에 초점을 맞춥니다.

Chrome · Edge · DoH · FakeIP · 분할

1 흔한 증상: 터미널은 되는데 브라우저만 «분할이 안 먹는» 느낌

실무에서 자주 쓰는 그림은 다음과 같습니다. Clash Verge Rev나 다른 GUI로 시스템 프록시·TUN을 켠 뒤, TUN 가이드에 맞게 트래픽을 잡아 두었는데, 동일 PC에서 curl·nslookup으로 보면 기대한 경로의 IP가 잡히거나 연결이 잘 되는데, 만 이전 출구(직접 연결)로 남는 것처럼 보이는 상황입니다. 다른 앱·게임·스토어 앱 문제는 Windows UWP 등으로 따로 봐야 하고, Chromium 탭에 한정될 때는 DNS가 첫 점검 대상이 됩니다.

특히 가짜 IP(FakeIP) 풀을 쓰는 구성이면, 이름을 «진짜»로 먼저 풀어 버리는 클라이언트가 있으면 규칙 엔진이 기대한 대상(198.18.x.x 같은 풀)으로 세션을 묶지 못하고, SNI·연결 대상 IP가 뒤섞여 프록시 정책이 엇나가는 식으로 나타날 수 있습니다. 이 때 원인이 꼭 브라우저 DoH라는 뜻은 아니지만, DNS-over-HTTPS를 켜 두면 시스템이 가리킨 127.0.0.1·스텁을 건너뛰기 쉬우므로 우선 끄기로 재현이 사라지는지 확인하는 것이 비용 대비 효율이 좋습니다.

2 왜 «보안 DNS»가 Clash의 해석을 대체하나 (DoH 개요)

Chrome·Edge·기타 Chromium 기반 제품은 일정 조건에서 기본 OS 리졸버 대신 https://로 DNS 질의를 암호화해 보내는 DNS over HTTPS를 쓰도록 합니다(프로필·정책·실험 플래그·ISP 제휴 등에 따라 «자동»으로 켜지기도 합니다). 이때 브라우저의 DNS 경로는 우리가 Mihomo 쪽 dns 블록에서 설계한 체인과 겹칠 수도 있고, 완전히 분리될 수도 있습니다. 후자라면, OS는 여전히 Clash의 스텁을 보지만, 탭에선 클라우드플레어·구글 등 미리 박힌 DoH 엔드포인트에 직접 물어보는 식으로 동작해 분할이 흐트러집니다.

용어 정리 보안 DNS·DNS 사용량 보기 메뉴에 나오는 토글이 이 글의 핵심 상대입니다. chrome://net-internals/#dns 등으로 실제 캐시·요청 흐름을 볼 수 있으나(버전에 따라 URL이 달라질 수 있음) 일반 사용자는 설정에서 DoH 끄기가 우선입니다.

3 FakeIP·dns: enhanced-mode과 동시에 보려면

Mihomo(Clash Meta)에서 dns.enhanced-mode: fake-ip을 켜면, 애플리케이션이 A 레코드를 요청할 때 일단 클라이언트가 응답하는 가짜 대역이 나갑니다. 이후 TCP·QUIC·TLS 연결 시점에 실제 호스트·정책을 맞춥니다. 이 설계는 «이름 먼저 진짜로 풀어 버리는» 클라이언트가 끼어 있으면 기대한 순서를 깨기 쉽습니다. 브라우저 DoH는 그 흔한 «이름 먼저 밖의 서버에 질의» 쪽에 해당할 수 있으므로, FakeIP를 쓰는 프로파일일수록 보안 DNS 끄기를 습관으로 두면 디버깅이 단순해집니다. 상위 레벨 DoH·nameserver 설계는 Meta DNS 유출 방지 글과 맞춰 읽는 것이 좋습니다(본문 #3 Meta 커널와의 차이는 아래 「Meta DNS 가이드와의 차이」에 요약).

4 Google Chrome: 보안 DNS 끄기 (한국어 UI)

최신 Chrome에서는 대략 경로가 설정 > 개인정보 보호 및 보안 > 보안 쪽(버전·채널에 따라 약어가 조금 달릴 수 있음)에 고급 안에 보안 DNS 사용이 있습니다. 여기를 끄기로 두거나(표기는 «사용 안 함» / «해제» 등) 현재의 ISP 제공기 / 시스템 기본처럼 OS 쪽에 맡기는 옵션이 있으면 그쪽을 골랐을 때, 브라우저가 자체 DoH 풀에 붙는 동작이 줄어듭니다. 메뉴가 보이지 않으면 주소창에 chrome://settings/security로 직접 들어가도 됩니다.

프로필마다 별도이므로, 직장·시험용 프로필이 여러 개면 각각 점검하세요. 자식 계정·정책으로 잠기면(회사 Chrome 정책 등) 끄기 UI가 보이지 않을 수 있어, 그때는 관리 콘솔이나 IT 쪽 예외를 요청해야 합니다. 변경 후 을 닫는 정도로는 부족할 수 있으니 완전히 종료 뒤 다시 열어 보는 편이 안전합니다.

5 Microsoft Edge: «보안 DNS» 해제 (한국어 UI)

Edge는 Chromium과 동일 계열이지만 메뉴 경로·표기는 Microsoft 스타일입니다. 설정 > 개인정보, 검색 및 서비스 등에서 보안· 관련 하위에 Microsoft Edge 보안 네트워크DNS 항목이 함께 배치되기도 합니다. 이 글의 목적(DoH로 인한 리졸버 우회 차단)을 위해서는 Edge 전용으로 보안 DNS/암호화 DNS를 사용하지 않기·시스템 DNS 사용으로 돌리는 쪽이 핵심입니다. edge://settings/privacy에 들어가면 한 번에 열기 쉬운 경우가 많습니다.

로그인·동기화로 설정이 다른 PC에 덮어씌워질 수 있으니, 동기화 켬이면 클라우드에 올라간 값이 끼어들지 확인하세요. 또 Windows 11전역 «암호화된 DNS」와 Edge의 조합이 겹쳐 혼란을 주기도 합니다(아래 OS 절 참고).

6 OS·Windows 설정과 같이 둘 것

브라우저만 끄기해도, Windows설정 > 네트워크에서 암호화된 DNS(HTTPS/3)를 켜 두면, 네이티브 앱·스텁·WSL 등 다른 경로에서 다시 DNS가 엇갈릴 수 있습니다. Clash 클라이언트가 127.0.0.1·loopback 스텁을 잡는 구성이면, OS 전역 DoH/DoT는 «한 번 끄고 클라이언트만 쓰기»로 맞추는 팀이 많습니다. macOS프로필·VPN이 DNS를 밀어 넣는 경우도 동일하게 먼저 우회 여부를 확인합니다. 모바일 AndroidPrivate DNSChromium 웹뷰와는 별개로 자주 충돌하므로, 스마트폰은 주제가 다르며(본문에선 데스크톱 Chrome·Edge에 집중) 필요하면 동일 팀의 Android 전용 가이드를 따로 찾는 편이 낫습니다.

7 끄고 난 뒤 검증 (짧은 체크리스트)

단계는 단순히 «한 번 고치고 끝»이 아니라, 재부팅 이후에도 남는지 보는 것이 중요합니다.

  1. 브라우저 완전히 종료 → 다시 실행해 동일한 탭·확장 없이 시크릿 창을 연다(확장이 DNS를 가로채는 경우를 줄이기 위함).
  2. 클라이언트 로그에서 타깃 도메인이 기대 프록시 그룹으로 잡히는지, 직접·REJECT이 아닌지 확인.
  3. ip·쿠키·WebRTC 노출이 주제는 아니지만, «진짜»로 보이는 IPExit 쪽·누설 점검은 별도 툴로(본문 FakeIP만으로는 누설이 전부 설명되지는 않습니다).
  4. 이전에 정책·--host-resolver-rules·--dns-over-https- 계열 실행 옵션이 있으면, 충돌이 없는지 바로가기를 다시 봅니다.
문제브라우저만이면, 같은 사이트를 다른 엔진(예: Firefox는 자체 DoH 설정)에서 시험해 보면, 원인이 Chromium DNS인지, 회선·규칙인지 감을 잡을 수 있습니다.

8 Meta DNS 가이드(#3)와 어떻게 다르나

이전에 쓰인 Meta 커널 DoH+ FakeIP «베스트 프랙티스»는 Mihomodns 섹션에서 이름ISP 쪽에 새지 않게 설계하는 흐름입니다. 이번 주제는 그와 달리 Chromium 내부의 보안 DNSOS·스텁·FakeIP 루프를 옆으로 비켜 직접 공개 DoH에 질의하는 클라이언트 측 충돌에 가깝습니다. 둘은 같이 정리하는 것이지, 메타 YAML에만 손댄다고 Edge·Chrome DoH가 자동으로 꺼지지는 않습니다.

9 자주 묻는 질문

  • DoH를 끄면 보안이 떨어지나요? Clash·Mihomo암호화된 상류 DNS를 이미 쓰고, 로컬 스텁이 그걸 쓰게 한 구성이면, 브라우저가 중복 DoH로 가는 것이 오히려 정책을 어지럽힐 수 있습니다. 위협 모델이 ISP 스누핑 방지에만 있다고 보기엔, 분할· 요구에 따라 클라이언트 단일 DNS를 택하는 편이 낫기도 합니다.
  • Firefox·Safari는요? Firefoxsettings에 별도 DoH 항목이 있고, SafarimacOS·iCloud 프라이빗 릴레이 등과 인접하므로, 동일 증상이면 별도로 «브라우저 암호화 DNS 끄기»를 검색해 주세요. 본문은 Chromium만 다룹니다.
  • Linux에서 Snap Chrome은? 샌드박스·nsswitch·systemd-resolved 조합이 복잡해 증상Windows와 다를 수 있으나, 보안 DNS 토글은 동일 설정 페이지에 있습니다. 우선 끄고, 그다음 Linux·Mihomoresolved일치를 맞춥니다.

10 정리

Clash·FakeIP·시스템 DNS까지 갖췄는데도 브라우저 탭에서만 분할이 어긋난다면, Chrome·Edge의 보안 DNS(DoH)를 꺼서 OS와 클라이언트가 쓰는 로컬 스텁으로 질의가 다시 모이는지 확인하는 것이 첫 실전 절차입니다. Mihomo 쪽에서 전역 dns: YAML을 다듬어도, 브라우저가 외부 DoH로만 우회하면 규칙이 기대대로 붙지 않을 수 있으니, 앱마다 끄기·검증을 습관으로 두는 편이 장기적으로 시간을 아낄 수 있습니다. 노드·규칙을 UI로 다루기 쉬운 Clash 계열의 장점을 살리려면, 같은 프로필을 쓰는 팀 온보딩 문서에 «브라우저 보안 DNS 끄기» 한 줄만 넣어도 헬프데스크 부담이 줄어듭니다.

동일 주제 简体中文版이 필요하면 참고하세요(브라우저 메뉴 언어는 달라도 항목 위치는 대체로 유사합니다).

→ Clash를 무료로 내려받고, DNS·분할이 한꺼번에 잡히는지 확인해 보세요 — 설치 패키지는 이 사이트 다운로드 페이지를 우선 쓰는 것이 버전 관리에 유리하고, GitHub 릴리스는 소스·이슈 확인용으로 쓰는 편이 좋습니다.

→ Clash 무료 다운로드: FakeIP·분할이 다시 맞는지 점검

태그: Chrome 보안 DNS Edge 보안 DNS DoH Clash FakeIP Mihomo 분할
Clash 프록시 클라이언트 로고

Clash · Mihomo

FakeIP, 규칙, DNS — 한곳에서

브라우저 DoH를 끄면 로컬 스텁과 Clash dns 블록이 다시 이어집니다. TUN·시스템 프록시·Mihomo를 한 UI에서 다루려면 Verge Rev 등을 다운로드 페이지에서 골라 보세요. Windows·macOS·Linux.

DNS 분할 FakeIP TUN
Windows macOS Linux

관련 읽을거리

튜토리얼

Mihomo Meta DoH·FakeIP (DNS 유출)

 튜토리얼

Clash Verge Rev TUN 모드