HTTPS 차단 5분 요약

1. HTTPS 차단 5분 요약

HTTPS 차단은 HTTPS의 "암호화되지 않은 부분"을 검열해 차단하는 것을 골자로 합니다. 암호화를 푸는 게 아닙니다.
HTTPS는 완전한 암호화를 목표로 하(고 있다고 보이)지만 사실 현재 암호화가 되지 않는 부분이 두 가지가 있습니다.

DNS -> 우리가 www.pgr21.com 에 접속하기 위해서는 해당 도메인에 대한 IP 주소가 필요합니다. 이는 DNS 서버라 불리는 별도의 서버에 요청해야 알 수 있습니다. 근데 이 요청은 암호화되어 있지 않습니다. 이 요청에 대한 감청을 통해 사이트 이름을 획득할 수 있고, 나아가 응답을 바꿔치기해서 원하는 사이트(warning.or.kr)로 보낼 수 있습니다. 이것이 요즘 핫한 HTTPS 차단입니다.

SNI -> 요즘 시대엔 호스팅 업체처럼 한 서버에서 사이트를 여러 개 운영하는 경우가 많은데요, 서버가 적어도 어느 사이트에 대한 요청인지는 미리 알아둘 필요가 있습니다. (왜인지는 논외이므로 자세히 다루지 않습니다) 따라서 HTTPS를 사용하더라도 초기 단계에는 암호화되지 않은 도메인 이름을 전송하고 있습니다. 따라서 이를 감청하게 되면 사이트 이름을 획득할 수 있는 것입니다. 아직 이를 통한 검열은 이루어지지 않고 있으며 이를 위한 기술은 개발 단계인 것으로 추정됩니다.

HTTPS 차단이 가능한 이유는 차단을 위해서는 사이트 도메인만 알면 되고 현재 HTTPS 구조상에서는 공교롭게도 바로 그 사이트 도메인이 노출되기 때문입니다. 그 안에 있는 내용은 여전히 알 수 없습니다.

HTTPS 안의 암호화된 내용을 감청 또는 검열하는 건 국격을 좀 더 떨어뜨리는 방법을 동원하지 않으면 불가능하며 아직 대한민국 정부가 이를 실제 시행했다는 정황은 없습니다. 물론 KISA같은 곳에서 저지른 일들을 보면 하고 싶었던 것 같기도 합니다.

이번에 진행된 건 사실 기술적으로 보면 DNS 변조이고 HTTPS여도 차단을 할 수 있다! 정도의 의미가 있으나 HTTPS와는 별로 상관없는 기술이기 때문에 사실 HTTPS 차단이라고 말하는 것에는 어폐가 있습니다.

2. 과연 없던 규제가 생겼는가

이번 차단이 이루어지기 전에도 이미 우리나라가 최고 수준의 검열과 감청을 하고 있었다고 생각합니다. 다시 말해 이번 HTTPS 차단으로 인해 검열 수준이 올라갔다고 보지 않는 겁니다. 더 올라갈 게 없어서요. 암호화되지 않은 HTTP 통신은 모조리 통신사에서 까보고 (감청입니다) 유해 사이트를 차단하고 있었는데 (검열입니다) 이 조치만으로도 세계적으로 유례를 찾기 힘듭니다.

우리나라에는 이미 최고 수준의 규제가 존재했고, https의 존재 덕에 사람들이 이를 눈 앞에 두고도 무시하고 있었을 뿐입니다. 정부가 새로운 차단 방식을 도입하지 않았느냐라고 할 수도 있겠으나 DNS 차단이든 SNI 차단이든 "들어오는 패킷을 분석하고 유해 사이트가 감지되면 검열한다"라는 본질에는 변함이 없습니다. 어떻게 분석하는지만이 다를 뿐이지요.

이번 사태를 이해하는 방식은 "차단하지 못하던 음란사이트 몇 개가 추가적으로 차단되었다"이고, 아마 정부도 비슷하게 여기고 있지 않을까 싶습니다. 생각의 과정은 서로 다르겠지만요.

3. 감청과 검열의 차이

감청은 NSA처럼 뒤에서 몰래 하는 겁니다. 예나 지금이나 정부가 감청을 어느정도 수준까지 하는지는 알 수 없으며 알기도 어렵습니다. 어차피 우리의 통신 내용은 통신사를 드나들기 때문에 이를 감청하냐 안하냐는 의지와 악의의 문제입니다. 유해 사이트 차단하는 데에만 쓴다고 말해봤자 별로 의미 없다는 뜻이기도 하지만, 역으로 새 차단 방식이 도입되었다고 해서 실제 감청이 강화되었다고 말할 수는 없다는 뜻이기도 합니다.

굳이 감청에 대해 논한다면 차단 기술이 감청을 보다 용이하게 하는지에 대해서는 논할 수 있을 것입니다. 사실 DNS 관련 장난질은 통신사들이 이미 신나게 하고 있었기 때문에 딱히 이번 차단으로 인해 감청 면에서 유의미한 진보를 이뤄냈다고 보지 않습니다. SNI 차단 기술이 개발된다면 확실히 감청에 도움이 되겠지만, 그렇다고 딱히 원래 불가능하던 일을 갑자기 가능하게 만든 건 아닙니다.

반면 검열은 전 국민을 대상으로 시행되는 실제적인 조치이며, 국민의 자유도를 불필요하게 제한하고 나아가 공개적으로 감청을 자행한다는 사실을 드러내어 국격까지 떨어뜨리는 심각한 행위라 할 수 있습니다.

따라서 추가적 기술 도입에 의한 감청 가능성보다는 드러난 검열 조치 그 자체가 비판의 핵심이 되어야 한다는 것이 제 생각입니다. 2mb**noma 트위터 계정을 유해 사이트 취급하여 차단한 정부보다 음란 사이트를 대량 차단한 정부가 딱히 더 비판받을 만한 정부는 아니라고 보는 것입니다. 인터넷 검열은 예나 지금이나 똑같은 문제이며 사라져야 할 적폐입니다. 이번 정부에서도 해결 안될 것 같은 모양이니 걍 대한민국은 멀었다 싶구요.. DNS over HTTPS나 ESNI와 같은 기술이 대중화돼서 정책에 실효성이 없어지는 편이 더 빠를 것으로 예상합니다.