http://www.etnews.com/20180502000280?mc=ns_002_00002

 

SNI 패킷을 살펴보고 DNS 서버에서는 엉뚱한 아이피를 반환하는 방식으로 차단을 진행하려는 것으로 보입니다. 사실상 불법사이트 차단을 명목으로 접속사이트 목록을 들여다보겠다는 것인데 자칭 IT강국이란 나라에서 이런 짓거리나 하고 있는게 참 한심해 보입니다.

  • ?
    실상은 IT후진국이나 IT도상국 수준이라서요
  • ?
    HTTP Public Key Pinning https://rsec.kr/?p=346 이게 도움이 될 수도 있겠네요.
  • profile
    중국에서 벌어질 법한 일이 우리나라에서도 ... 이게 실현 가능한 이야기인지 민간사찰과 다를바가 없어 보이는데요..

    이 방법이 정부 영향권의 DNS서버에만 유효한 기술인가요?? 협조하지 않는 곳의 DNS를 이용하는 유저들은 계속 차단되지 않는 사이트를 이용하게 되는 그런 효과도 없는 모든 사이트 검열의 수단만 되는건 아닌지 ...
  • profile profile
    DNS를 통한 차단은 보조수단이라 언급한것으로 봐서는 SNI를 통한 차단을 주로 하고 긴급차단의 경우에만 DNS를 사용할 것으로 보입니다.

    애초에 DNS서버로만 차단이 진행된다면 구글 DNS(8.8.8.8) 등 타 DNS 서버를 이용하는 것만으로도 회피가 가능해져서 예전에 잠깐 사용했다가 중단한 적이 있습니다.
  • profile profile
    SNI를 통한 차단은 모든 도메인 .com 과 같은 도메인도 컨트롤 범위 안에 들어가나요??
  • profile profile

    HTTPS 접속시 올바른 인증서 반환을 위해 도메인 이름을 암호화 없이 전송해주는것이 SNI인데요, 이 값을 살펴볼수 있다면 지구상 어떤 도메인이건 차단 가능합니다.

    특히 최근 GPKI에서 모든 co.kr 도메인에 적용되는 와일드카드 인증서를 발급해서 문제가 되었는데요, 마음만 먹는다면 차단사이트 도메인으로 인증서를 발급해 사용할수도 있을것으로 보입니다.

  • profile profile
    이게 순수한 의도로 작동되기 위해서는

    불법 등이 확인되어 차단이 필요하다는 결정이 내려지는 영장청구와 발부 등의 절차를 거친 곳만 가능하게 하고 이런 과정을 거치지 않고 임의로 수사기관이라 하여 필요에 따라 검열등을 위해 사용하는 행위를 할 경우 처벌이 되어야 하는 장치가 마련되어야 할 것 같네요.

    물론 이를 시행하려는 정부에서 중국정부처럼 하지는 않겠지만요..
  • profile profile
    아뇨. 아무리 정상적인 절차를 거친다 해도 해서는 안되는 행동입니다.
    마치 성매매 업소에 가는 사람을 분별하겠답시고 지하철역 입구에서 어디로 가는지 행선지를 일일히 캐묻는 행동과 같은것이라 보시면 됩니다.
  • profile profile

    아.. 제 말은 abc.com 이 불법적인 처벌 대상으로 판단이 내려진 뒤 abc.com을 대상으로 그 기술을 이용해 무언가 시작해야 한다는 의견이었구요. 기술적인 내용은 잘 몰라 제가 생각하는 것이 불가능한지는 잘 몰라 의견을 그렇게 달았습니다.

  • ?
    생각이 없는 짓을 하는것 같아요... 우리나라 행정처는 하나같이 이런 엉뚱한 짓을 하곤 하더군요
  • profile
    이건 해야 됩니다.
    안하면 국가가 직무 유기하는 것입니다.
    인터넷 검열에 대하여 우려하는 것은 국가가 불법을 저지르면 어쩌나 하는 걱정을 하는 것인데요.
    국가에 대한 신뢰가 없다면 반대해야 겠지요. 하지만 국가에 대한 신뢰가 없더라도 국가의 불법, 부도덕한 행위에 대하여는 별도의 장치로 감시하는 것이 옳은 방향입니다.
  • profile profile

    타인의 저작물을 무단으로 판매하거나 보복 포르노를 유포하는 등의 불법 행위는 당연히 막아야지요.

    그러나 이런 것이 대한민국에서만 불법인 것도 아니고... 서버가 위치한 미국이나 일본 등의 수사기관과 협력할 수도 있고, 클플이나 아마존처럼 국내에서 영업하는 CDN을 사용한다면 국내에서도 법적인 조치가 가능하거든요. 특히 저작권 침해라면 미국이 제일 민감하게 반응하고 DMCA takedown notice 같은 시스템도 잘 되어 있으니 그걸 이용하면 훨씬 강력하게 대응할 수 있어요. 그런데 국내의 특정 기관이 원할 때마다 버튼만 클릭하면 자동으로 차단되는 시스템을 만들겠다는 것은 공무원들의 행정편의주의적 발상(미국에 공문 보내기 귀찮음...)과 보안프로그램을 납품하는 업체의 이해관계가 맞아떨어졌다고밖에는 볼 수 없습니다.

    중국이 기술적인 차단 시스템에 지나치게 의존하는 이유는 전세계 어느 누구도 문제삼지 않는데 중국에서만 차단하려고 하는 정보가 너무 많아서 그렇습니다. 반면, 저작권 침해는 전세계 어디에서나 불법이니 일반적인 사법 시스템을 통해 충분히 제재할 수 있고, 그렇게 해야만 확실한 제재가 가능합니다. 한국에서만 차단하면 범인은 여전히 다른 나라 사람들이나 우회 방법을 알고 있는 사람들을 대상으로 저작권 침해를 계속할 수 있잖아요. 불법 행위는 그대로 둔 채, 잘 보이지 않도록 대강 덮어놓기만 하고 눈가리고 아웅하겠다는 발상인데... 이것도 일종의 직무유기가 아닐까요?

  • profile profile
    "타인의 저작물을 무단으로 판매하거나 보복 포르노를 유포하는 등의 불법 행위는 당연히 막아야지요."
    그것을 하겠다는 것 아닌가요?
    부가적인 이유, 설명이 왜 필요하죠?
  • profile profile

    막는 방법의 차이 아닐까요?

    위에서 다른 분들이 지적한 것처럼... 성매매를 단속하겠다고 성매매 업소 인근 지하철역 이용객들의 통화기록(인터넷 패킷)을 전수조사하는 꼴이거든요. 실제 업소(불법사이트)나 포주(운영자)를 수사하다가 도저히 안 되니까 궁여지책으로 그런다면 그나마 이해하겠는데, 애당초 업소 근처(CDN, 호스팅 업체)에는 경찰 한 명(수사협조 요청) 보낸 적도 없으면서 말이지요...

    광범위한 감청과 관련된 인권 문제에 대해서는 사람마다 의견이 다를 수 있겠지만, 세금 내는 국민으로서 제 돈이 이런 뻘짓에 쓰인다는 것이 한심하기 짝이 없어요. 무능한 것도 직무유기거든요.

  • profile profile

    warning_korea.png

     

    불법 사이트 차단안내 화면입니다.

    위에 적시된 내용들을 말씀하신 방법으로 막을 수 있다고 생각하시나요?

  • profile profile
    다른 글 쓰신 것에 댓글 달았습니다.
    https://xetown.com/board/962470#comment_962597
  • profile profile
    그리고 추가하면 제가 잘목알고 있는지는 몰라도 거꾸로 생각하시는 것 같아요.
    현재 정부에서 하고 있는 것은 불법 사이트 신고내지 파악이 되면 방통위에서 심의한 후 도메인 차단 하는 것 같은 데, 말씀하시는 것 처럼 전수조사는 아니란 것이죠. 무슨 수로 전세계 모든 사이트를 전수조사합니까.
    SNI를 보겠다는 것도 해당 도메인을 차단하겠다는 것으로 생각되는데요.
    기존의 http차단과 별다른 것 없고 vpn사용하면 지금도 http 사이트를 접속할 수 있듯이 https로 되어있는 사이트 차단해도 접속할 수 있을 것으로 생각됩니다.
    어차피 완벽히 막지도 못하는 것을 왜 뻘짓하느냐 라는 것에는 동의할 수 있지만, 막지 말고 그냥 두라는 것에는 동의하기 어렵습니다.
  • profile profile

    사이트를 전수조사하는 것이 아니라 일반인들이 주고받는 패킷을 전수조사하는 거지요. SNI 패킷을 본다는 것이 바로 그 의미잖아요. 위의 비유에서도 성매매 업소로 의심되는 가게를 전수조사하는 게 아니라 인근 지하철역을 드나드는 시민들을 전수조사한다고 표현했고요.

  • profile profile
    그러니까 현재 http차단하는 것과 기술적으로는 다르겠지만 개념적으로는 같은 것 아닌가요?
    결국은 도메인 확인하고 도메인 차단하는 것인데.
  • profile profile

    네, 맞습니다.

    현재 http 차단하는 방식에 동의한다고 말씀드린 적은 없습니다. https 차단한다고 하니까 새롭게 이슈가 점화된 것 뿐이지요. 둘 다 문제라고 생각합니다.

    http를 차단하더라도 DNS 변조 방식을 사용하면 모든 사용자의 Host: 헤더를 확인할 필요가 없으니 광범위한 감청 문제가 발생하지 않습니다. 차단 성공률은 도찐개찐이겠지요.

  • ?
    SNI 패킷 암호화가 논의중이니 거기에 기대해 봐야겠네요
  • profile
    현재까지 뚫을수 있는 방법은
    VPN , https 프로토콜 , 구글 데이터 세이버 등등 이었는데요.

    저 방식으로 차단하면 https 는 막혀도 구글 데이터 세이버는 안막힐꺼 같은데 말이죠.,.?

    데이터 세이버 : 사용자 -> 인터넷 -> 구글서버 -> 사이트
    VPN : 사용자 -> 인터넷 -> VPN 서버 -> 사이트
  • profile
    중국과 다를 바가 없는..
  • ?

     위글을 보니 저는 이게 생각 납니다

  • ? profile
    앗 성재기 ......