HTTPS 차단에 대한 생각

지금 HTTPS 차단으로 인해 시끌시끌 합니다.

국민청원도 올라오고 있습니다(https://www1.president.go.kr/petitions/522031).

이에 대한 개인적인 생각은 다음과 같습니다.

1. 중국의 차단과 비교하진 말자

중국의 황금방패(金盾, 금순공정으로 검색하면 자료가 다수 나옴)와 비교하는 사람들이 많습니다. 이것은 온당치 않습니다.

중국의 황금방패는 모든 데이터 내용을 감청하고 내용을 변조하거나 차단하고 데이터베이스화하여 실제적인 법적 조치까지 취하는 아주 문제가 많은 시스템입니다. 예를 들면 천안문 같은 단어를 중국 내에서 한국의 네이버에 접속해서 검색하면 검색이 되지 않고 집으로 공안이 들이닥칠 수도 있다는 것입니다. 이것을 가능하게 하는 것은 국가 차원에서 해외로 나가는 모든 회선의 패킷을 모두 열어서 확인할 수 있는 거대한 방화벽을 설치하는 것이고, 이것이 바로 황금방패인 것입니다. 하지만 HTTPS 로 구축된 웹서비스에 접속할 경우, 웹브라우져와 서버 간에 Handshaking 을 통해 공개키를 주고받고 개인키로 서명을 확인하는 방식으로 데이터를 주고 받기 때문에 중간에서 끼어들어 키를 가로채거나 암호화된 문장을 복호화할 수 없습니다. 그렇기 때문에 중국에서조차 HTTPS 통신을 하는 경우에는 감청을 할 수 없습니다. 그렇기 때문에 자국민에게는 HTTPS 통신을 이용하거나 HTTPS 암호화의 근간이 되는 SSL(TLS)을 이용한 VPN 서비스를 이용하지 못하도록 하고 있습니다. 외국인이 중국 내에서 VPN 을 쓸 경우에도 제재를 할 수 있도록 하고 있습니다. 향후 중국의 해외망을 아예 차단시키는 단계까지 진행할 수 있는 것이 현재의 황금방패 시스템입니다.

하지만, 한국의 이번 차단은 SNI 을 오염시키는 방식입니다. 이건 사용자의 데이터를 감청하겠다는 의미가 아닙니다.

보통 개발자 입장에선 하나의 WAS 에 하나의 IP 을 가지고 여러 도메인을 서비스하고 이를 HTTPS 로 서비스 하기 위해 인증서를 등록할 경우 SNI 관련 내용을 처음 접하게 되는 경우가 있는데, 쉽게 말해서 어느 서버로 접속하기 위해(예를 들어 www.naver.com 으로 접속하기 위해) 해당 주소의 실제 주소(IP)가 뭔지 묻는 행위를 먼저 해야 합니다. 그게 DNS 라고 불리우는 Domain Name Server 에 질의를 하는 것인데, 이 단계에서 실제로 사용자의 개인정보가 노출되거나 하는 일은 없습니다. 그렇다고 이걸 완전히 엉망으로 만들다가 잘못하면 해킹을 위한 사이트로 연결이 되어서 아주 위험하게 되는 것이죠. 그런데, WWW 을 처음 설계하던 당시에는 HTTPS 조차 개념이 없던 시기라 이러한 질의를 암호화 하겠다는 생각도 없었고, HTTPS 을 설계하던 넷스케이프 조차도 이런 일이 발생할 줄 몰랐던 것이죠.

네...현재 정부가 취한 방식은, 일종의 Hack 입니다. Crack 이 아닌 이유는 그래도 정당한 목적이 있기 때문이죠. 이게 변질되는게 무서운 거구요.

어쨌든, 이번 조치에서는 암호화 여부와 상관 없이 사용자의 접속 주소와 관련된 부분만 건드리기 때문에 전체 내용을 검열하는 중국의 그것과는 좀 다른 것입니다.

2. 이득을 얻는 집단 때문에 무리를 하는 것은 아닐 것이다

이러한 조치 때문에 이득을 얻는 집단은 분명히 있을 겁니다. 대표적으로 장비 업체겠죠. 아무리 단순한 작업이라고는 하지만 대한민국의 수많은 장비들의 DNS 질의를 열어서 확인해야 하는데, 서버 한 두 대 가지고 처리가 된다고 생각하는 분들은 없을 겁니다. 그러니, 서버 업체에서 돈은 좀 만지겠죠.

그런데, 서버 업체들이 갑인 경우는 거의 없습니다. 이 말은, 그들이 이런 사업을 주도적으로 끌고 갈 수는 없다는 것입니다. 그렇기 때문에 수혜를 입기는 하겠지만, 거기서 끝이라는 것이죠.

그 다음으로 생각할 수 있는 것은 해당 기능을 개발하는 개발사겠죠. 그런데, 이것 또한 돈은 많이 못법니다. 초기 기술개발을 한 뒤 정부가 차단을 해서 성과를 얻으면 다른 관공서나 대기업 등에 마구마구 팔아야 돈이 되는데, 이 기술을 따로 사야할 다른 관공서나 대기업 등이 있을까요?

통신사(ISP)들은 어떨까요? KT, SK, LG U+등이 있죠. 이들이 차단 공문을 받고 돈을 지원받는지, 아니면 자기들 돈을 쏟아부었는지는 모르겠습니다. 단기적으로 어떤 일이 벌어질지 모르겠지만, 벌써부터 Cloudflare 나 Google 의 DNS 로 컴퓨터나 휴대전화의 정보를 변경하고 있습니다. 아무리 Cache 가 있다지만, 해외로 자꾸 질의를 하게 되면 해외망이 더 비좁아지고, 이를 증설해야 하는 것은 결국 ISP 입니다. 지금도 넷플릭스나 유튜브 등의 서비스 때문에 해외망이 터져 나가는데, 해외 VPN 을 사용하고 DNS 을 해외 서버로 이용하는 것이 그들에게 어떤 이득을 가져다 줄까요?

결국 이득을 얻게 되는 집단은 특별히 없다고 보는게 맞을 겁니다.

(물론 메*, *성시* 같은 집단들은 정신승리를 할지는 모르겠네요)

3. 위기는 기회로

사실 제 입장에서도 차단된 사이트에 들어갈 일이 없습니다. 이번 차단 소식을 듣고 테스트를 위해서 처음 들어가본 사이트들만 있지, 기존 제가 이용하던 사이트 중 차단된 곳은 없는 것으로 보입니다.

그렇다 치더라도, 이번 차단은 분명 WWW 의 보안 취약점을 이용한 것임은 분명합니다. 이 기회에 웹브라우져나 기타 인터넷 서비스 이용 시 보안 단계를 올리는 조치는 필요하다고 봅니다. 물론 MS 나 Apple, Google, 기타 OS 제조사나 단체에서 기본 기능으로 넣어주면 좋겠지만 그렇지 않더라도 특정 앱을 사용해서 보안 문제가 발생할 여지를 없애는 것이 가장 좋을 것이라 생각됩니다. Android 에서는 이미 Intra 같은 앱이 출시되었고, 웹브라우져로는 FireFox 가 Cloudflare 의 eSNI 기능을 내장하고 있습니다.

4. 한국은 이미 정보의 자유도가 낮다는 사실

사실입니다. 생각보다 규제가 많습니다.

그런데, 미국만 하더라도 정보 자유도가 매우 높은 국가는 아닙니다. 오히려 일본보다도 떨어집니다. 국가기관에서 TLS 인증서의 마스터키를 제공하라고 압력을 넣은 적도 있고, 아이폰의 개인비밀번호를 풀어달라고 애플에 요청한 적도 있습니다. 결국 이러한 침해는 국가안보라는 미명 하에 어떤 나라든 유혹에 빠질 수 있는 부분이 있습니다.

다만, 이걸 정부가 요청한다고 끝까지 버티지 못하는 회사들이 더 큰 문제라고 개인적으로는 생각합니다. 정부의 요청에 의연하게 반기를 든 텔레그램과, 정부가 요청하면 자료를 제공하겠다고 한 카**톡의 사례를 저는 되세겨봅니다.

5. warning.or.kr 로 보내는 것 보다 더 감청에 적합하다는 건 말이 안된다

특정 주소로 질의할 경우 warning.or.kr 로 보내는 건(redirect) 많이들 보셨을 겁니다. 그런데, HTTPS 로 요청하면 그냥 통과하죠. 그냥 주소를 redirect 하는건 위험하지 않고, SNI 에서 도메인 명을 찾아서 패킷을 버리는(drop) 행위는 위험하다?

이건, 프로그래밍을 안해본 사람들이...아니 프로그래밍을 어설프게 아는 사람들이 하는 생각일까요? 모든 요청에 대해서 로그를 남기는건 개발자의 의지에 따라 어떻게든 가능합니다. redirect 될 때 로그를 못남길 것 같나요? 아니면 drop 시킬 때 실시간으로 지켜보는걸 만드는게 쉬우니까 그게 더 위험할까요? 말이 안되죠. 그 많은 요청을 누가 실시간으로 보고 있답니까? redirect 할 때에는 원래 가려고 했던 주소가 뭔지 몰라서 감청이 불가능 하다는 건가요?

위에서 언급했지만 https 로는 안되지만 http 로는 된다는게 더 위험한 냄새가 풍기지 않나요? 황금방패처럼 패킷 내용을 다 보고 있다는 위험성이 느껴지지 않으세요? 오히려 주소는 열어보지만 다른 것은 보지 못하고 있는 SNI 필터링 방식이 덜 위험해 보이는데 말입니다.

이걸 현 정권하고 엮어서 아주 쌍욕을 하고 청원을 올리고 유튜브 만들어서 훨씬 감청이 쉽다고 큰소리 치는 분들이 있는데, 그냥 표준에서 놓친 구멍이 존재하는 겁니다. 이 구멍을 막아서 쓰는게 좋을 것 같고, 정부도 오죽 했으면 이럴까 하는 생각도 좀 했으면 좋겠네요. 표면적으로는 성인물 사이트 차단이 많이 이야기 되는데, 불법 도박 사이트 같은게 더 큰 문제로 생각되고, 사실 이미 우회하는 방법이 다 나와서 정부에서 말하는 것처럼 조금 불편해진 것만으로도 효과가 있다고 얘기하는건 공무원스러운 대답이고 그 수준이 정부의 한계라고 생각이 됩니다. 하지만, 접속하는 주소 좀 안다고 그 사람 처벌할 수도 없는건데, 이런 일이 생기면 가장 먼저 할 것은 구멍부터 틀어막아야 것이 아닐까요?