출처: 클리앙
역시..참 답답합니다.
-
-
?
데이터 송수신 감청까지는 잘 모르겠습니다만 현재 인터넷 검열이...에휴..
-
네, https로 주고받는 대부분의 내용은 정상적인 방법으로 감청이 불가능합니다. 그러나 https로 주고받는 내용 중 SNI (연결을 시도중인 도메인) 부분은 암호화되지 않기 때문에 감청할 수 있고, 그걸 바탕으로 차단하는 것도 가능합니다. 이것도 "내용"으로 보아야 하는가에 대해서는 해석의 여지가 있겠지요.
송수신 IP를 기준으로 차단하는 것은 OSI 모델에서 Layer 3에 해당합니다. 여기까지는 일반적으로 "내용"이라고 보지 않습니다. 인터넷이 정상적으로 작동하기 위해서는 어차피 중간에 있는 모든 장비들이 IP 헤더를 열어보아야 하니, 이걸 열어본다고 "감청"이라고 부르지도 않고요.
https에 사용되는 TLS 프로토콜이 OSI 모델에서 어디에 위치하는지에 대해서는 이견이 있으나, 대개 Layer 5~7 사이에 두는 것 같더군요. 사용자가 생각하는 "내용"과는 의미가 약간 다르지만, 네트워크 기술자들 입장에서는 충분히 "내용"이라고 볼 수 있는 부분입니다. IP 헤더와 달리, 패킷을 주고받는 당사자들 외에는 열어볼 필요가 없는 부분을 중간 장비가 굳이 열어본다는 점에서 "감청"이라고 부를 여지도 충분하고요. -
위의 만화에 따르면 "쪽지" 내용은 볼 수 있지만 "편지" 내용은 암호화되어 있어서 볼 수 없습니다. 여기서 쪽지는 DNS에 해당하므로, 쪽지 내용을 볼 수 있는 것이 맞습니다. (한편, SNI는 편지 봉투에 적혀 있는 받는이 이름에 해당합니다. 이것도 반장이 볼 수 있습니다.)
-
저는 이 부분이 패킷의 내용이냐 아니냐는 중요하지 않다고 봅니다. 위 댓글에도 적었지만 저희가 우려하는 것은 앞으로 현정권 또는 다른 정권에서 얼마던지 입맛에 따라 이용할 수 있는 위험한 것을 현정권에서 도입을 했다는 것 입니다.
이것을 진영논리 싸움에 악용을 한다면 국내 여론을 한쪽으로 몰리게 할 수도 있는 중요한 무기가 될 것 입니다. 전국민의 인터넷 접속 권한을 국가(통신사가 협조를 했죠.) 가지게 되었으니까요..
아.. 왜 사이트 접속이 잘 안되는거야.. 하면서 접속을 못하는 사람들이 생기지 않는 다는 보장을 할 수 없다는거죠.
일어나지도 않은 일을 왜 부정적으로 해석하냐고 할 수 있지만 이런 것이 원천적으로 불가능해야 하는 것이 맞을 겁니다.
물론 앞으로 브라우저사와 인증서회사에서 그냥 두고보지는 않을거라 곧 한때의 헤프닝으로 끝나겠지만요.... -
정치적인 명분과 별도로, 기술적인 명분을 확보하거나 대응책을 마련하는 데 있어서는 중요한 차이점일 수도 있습니다. 인터넷을 운영하기 위해 반드시 열어보아야 하는 데이터를 열어보는 것과, 패킷을 주고받는 당사자들 외에는 볼 필요가 없는 부분을 굳이 값비싼 장비를 동원하여 뜯어보는 것은 다르니까요. 전자가 권한 오남용에 해당한다면 후자는 그냥 뻘짓이고 세금 낭비입니다. 전자를 막는 것은 불가능에 가깝지만 후자는 최근 기술로 쉽게 대응할 수 있고요.
-
뻘짓이 저는 과연 몃개월 안에 멍청한 짓 했구나 하면서 자기 머리통들을 쥐어 박을지 궁금하네요....
실무자들이야 알고 진행했겠지만.. 윗대가리들 이야기 입니다. -
실행에 옮겨질 때쯤이면 그분들은 벌써 잊어버렸지요. ㅋㅋ
-
저 설명 일부 잘못되었어요.
통신사는 원래 http get 패킷을 덤프 뜨는 것으로 알고 있어요. 그걸로 감청하는거죠.
저 설명이 말이되려면 과거에도(http) dns만 바꿔서 성인사이트 접속이 가능했어야겠죠.
이런건 통신사 장비에서 처리하는겁니다. https 암호화데이터 자체를 감청하는건 언제나 불가능합니다. 이번에 처리한 것은 암호화연결 수립(핸드쉐이크/키교환)을 방해하는겁니다. 그러나 한번 암호화연결수립하면 막히지 않습니다. -
?
으흠..감사합니다
-
언제인지 기억은 안 나지만 DNS 차단도 한 적이 있어요. HTTP GET 헤더만 뜯어보려고 해도 상당히 많은 자원이 필요하기 때문에, 아마 HTTP GET 차단이 도입된 것은 10년 이내일 겁니다. (망할 KT는 이걸 활용해서 한 집에 컴퓨터가 몇 대 있는지 추측하고 추가요금을 받아내려고 하네요. 그러라고 만든 기술이 아닐 텐데? ㅋㅋㅋ)
후진국에서는 아직도 DNS 차단을 많이 합니다. 비용이 가장 적게 들거든요. 그래서 중동이나 아프리카에서 반정부시위가 일어나면 시위대가 담벼락에 스프레이로 "DNS 8.8.8.8" 이런 낙서를 막 해요. 그거 하나만 바꾸고 인터넷에 접속해도 진실을 알 수 있다는 얘기죠...아무튼 국내 상황에서 100% 정확하지는 않더라도, 일반적으로 사용되는 차단 기술들을 어린 학생들도 쉽게 이해할 수 있게 설명해 준다는 면에서는 괜찮은 만화네요. 추천 날리고 갑니다 ㅎㅎ
-
그럼 결국에는 SNI차단이 감청에 해당된다는 건가요?
감청에 해당되면 위헌소지가 있을 것 같은데요.
이해를 잘 했는지 모르겠습니다. -
만화에서 말하는 것처럼 간단한 문제는 아니예요. 쪽지는 그냥 종이 쪼가리라서 누구나 볼 수 있지만, 편지는 봉투에 넣어서 보내거든요. 정부와 통신사는 편지를 열어본 것이 아니라 봉투에 적혀 있는 보낸이/받는이 이름만 보고 차단하는 거라고 주장할 가능성이 높습니다. SNI가 봉투 안에 있는 내용이냐 봉투 밖에 적은 것이냐를 놓고 다퉈봐야겠지요.
그런데 명백하게 봉투 안에 들어 있던 HTTP GET 헤더를 기준으로 차단하거나 내용을 변조하는 짓거리도 이미 오랫동안 해왔다는 것이 함정...
-
SNI가 봉투 밖을 보는거냐, 안의 내용을 보는거냐에 따라서 감청 여부가 달라지니까, 아직까지는 개인장보를 침해하거나 위헌 여부를 판단하기에 이른건가요?
-
네, 그렇게 쉽게 판단할 수 있었다면 벌써 위헌소송하고 난리가 났겠지요. 공무원들은 기술적인 면에서는 종종 황당한 정책을 내놓곤 하지만, 법리적인 면에서는 무척 영리해요. 시민단체 변호사님들 머리깨나 아플 겁니다.
무엇을 어떻게 차단하고 있는지 이렇게 우리끼리 공개적으로 얘기를 나눌 수 있다는 것만 봐도 중국이나 이란보다는 그나마 낫다며 위안을 삼아 봅니다...
-
보니까 청원도 올라갔던데, 아무래도 SNI가 정치적으로 악용될 수 있고, 인터넷의 자유를 침해할 수 있어서 문제가 되는건가요??
정확히 문제점이(많겠지만) 무엇인지 알고싶습니다. -
SNI 차단이 충분히 문제가 된다면, 문제점을 파악해서 다른 사람들에게 SNI 차단의 문제점 웹페이지라도 만들어서 배포하려고 합니다.
https://www.battleforthenet.com 처럼 말이죠. -
특정 사이트에 접속하는 것을 윗분들 마음대로 차단할 수 있다는 것이 논란의 핵심이지요. 차단하기 위해서는 누가 누구와 통신하고 있는지 알아내야 한다, 즉 차단을 위해 감청까지 해야 한다는 것이 두 번째 논란거리이고요.
DNS를 차단하느냐 SNI를 차단하느냐는 디테일일 뿐입니다. 지금까지는 기술이 부족해서 제대로 차단되지 않았는데, 이제는 좀더 효과적으로 차단할 수 있게 되었으니 논란이 커진 거예요. 갑자기 생긴 논란이 아닙니다.
물론 명목상으로는 불법 성인사이트나 저작권 침해 사이트 등을 차단할 뿐이라고 하지만, 최근까지도 정치적으로 굴곡이 많았던 우리나라인 만큼 이 기술이 오남용될 것을 우려하는 목소리가 나오는 것도 당연합니다. 예를 들어 유력한 정치인이나 기업인의 범죄행위가 주류 언론에서 외면받고 피해자들이 사이트를 개설해서 진실을 알리려고 노력하고 있는데, 그 양반이 통신사에 전화 한 통 해서 그 사이트를 차단해 버린다면? 뭐 이런 거죠... -
흠..알겠습니다.
자료 수집을 더 해본 후에 웹페이지 만들어야겠네요.
언젠가는 미국처럼 인터넷 접속이 자유로워졌으면 좋겠습니다. -
쉽게 이야기하면 이렇습니다.
베그님 집 문 앞에 경찰(예시)이 한명 늘 상주합니다.
경찰 : 행선지가 어디신가요 ?
베그님 : XX나이트클럽이요.
경찰 : 안됩니다. 들어가세요. 거긴 저희 목록에 위법한 곳 입니다.
베그님은 다시 집안으로 강제로 들어갑니다.
다시 외출을 하려고 나옵니다.
경찰 : 행선지 ?
베그님 : OO 호프집 이요.
경찰 : 허가~ 나가세요.
위 내용은 그냥 쉽게 이야기하려고 만든 실행활의 예시입니다만. 저기서 지금 상황과 대입할 수 있는건 100% 행선지를 진실만을 이야기 하게 됩니다. 베그님은 시스템상... 거짓으로 말할 수 없게 마법에 걸려있습니다 ㅋ
이게 후진국에서나 있을 법한 일인게 왜 그렇냐면..
지금 정부에서는 불법적인 곳을 가지 못하게 하는 제한된 곳에만 사용한다고 할 것입니다.
그런데 이 기준의 결국 정부에서 정한 가이드에 따라 결정되는 것이고 그 차단의 범위는 중국,대한민국 입장에서 다를뿐 같은 똑같은 상횡인 것인거죠.
중국에서 인터넷 하려면 VPN이 필요하죠? 정부에서 막은 곳 외 정보를 접하거나 뭐 등등의 이유로 ...
대한민국도 지금 같은 상황 또는 비슷한 상황인 것 입니다.추가: XX나이트가 불법이면 거길 부셔버리란 말이야 높으신 님들~!
-
오호...이해가 바로 됐습니다
정말로 소중한 답변 감사합니다! -
소중한 시간 내서 답변주셔서 감사합니다 :D
-
덧붙여서... 이런 논란을 다루기가 쉽지 않은 이유는, 차단할 명분을 제공하는 불법 사이트들이 워낙 악명높기 때문입니다. 소라넷 같은 성인사이트와 마루마루 같은 저작권 침해 사이트, 불법 도박 사이트로 인한 피해가 지난 10여년간 널리 보도되었기 때문에... 차단에 반대하면 마치 이런 사이트 편을 드는 것처럼 보이게 됩니다. 차단하자는 쪽에 유리한 여론이 형성될 수밖에 없어요. 다른 나라에서도 테러 얘기를 꺼내면 무조건 패스입니다.
평소 국가 권력의 오남용을 경계하는 입장에 있는 시민단체들도 이런 이슈가 나오면 한 목소리를 내기가 쉽지 않습니다. 불필요한 논란을 일으킬 위험을 감수하고 한 가지 예를 들어보자면, 많은 여성단체들은 몰카 영상이나 리벤지 포르노가 올라오는 성인사이트에 강력한 제재가 있기를 바랍니다. 그런 사이트로 인한 피해는 현재진행형이니까요. 반면, 안모씨와 같은 성범죄자의 악행을 폭로하는 것을 방해하는 데 이런 기술이 남용될 수도 있다는 지적은 아직 실현되지 않은 가능성에 불과하지요. 이런 입장을 가진 분들을 설득하려면 미투 폭로 사이트를 권력자들의 주력 무기인 "명예훼손"으로 걸어서 차단해 버릴 위험을 알리고, 어설픈 차단 외에도 국제 사법공조를 통해 불법 사이트를 더 효과적으로 제재할 방법이 있다는 점 역시 강조해야 할 것입니다.미국 FBI도 불법 사이트에는 워닝을 띄웁니다. 그런데 국내 전용으로 차단 걸어서 리다이렉트하는 게 아니라, 사이트 운영자를 체포하고 서버 및 도메인을 압수한 후 워닝 페이지를 정식으로 올려놓습니다. 사이트 자체가 없어지는 거지요. 이게 모범답안이고 천조국의 기상입니다. ㅋㅋㅋ
-
관련 법률에 관해서 전문가에게 자문을 구하거나, 보안 업계에 계신분에게 자문을(구할수 있으면) 구해서 사이트를 만들 예정입니다.
-
찾아보니까 영국에서는 2년전에 도입했네요.
https://github.com/brave/browser-laptop/issues/12235
링크를 살펴보면 Bypass 하는 방법도 나와있습니다.근데 SNI 차단원리를 아니까 엄청간단하게 피할수도 있어요.
-
클리앙에서는 인터넷 연결 방식을 모르는 대다수의 사람들에게 쉽게 설명을 하기 위해 자세한 프로세스가 누락되거나 일부 잘못된 표현이 있기는 하지만 완전 초보자들이 쉽게 알 수 있을만한 자료 인것 같습니다.
대신 여기 타운에서는 대부분 잘 아는 분들이 많아서 그런지 온통 지적뿐이네요. ㅠㅠ
잘 봤습니다. -
?
중국이나 마찬가지네요..ㅋㅋㅋ하..본의 아니게 이번 차단으로 이득을 보지만 말이죠..
지금 설명에는 쪽지내용까지 감청을 하는 것으로 오해하기 쉬운데,
제가 이해하는 것은 지금 dns에 요청한 ip가 뭐냐 ? 를 감청 하는 것으로 이해합니다.
불법사이트로 가는 것을 dns 차원에서 막으려면 클라이언트에서 요청한 ip가 뭔지 알아야 이 양반이 불법 사이트로 가려고 하는건지 일반적인 사이트로 가려고 하는건지 알 수 있습다.
따라서 일부 불법사이트를 차단하겠다고 전국민의 사생활을 사전에 감청하는 것입니다. 그런데 여기서 감청이라는 부분이 데이터의 내용이 아닐겁니다.
물론 데이터가 아닌 내가 어떤 사이트를 주로 가고 있고 하는 등은 개인의 성향 그리고 프라이버시 드에 심각한 침해를 할 수 있다고 봅니다.
브라우저사나 인증서 회사들이 이런짓을 못하게 계속 막으려 하는 이유가 바로 개인이 보장받아야 할 자유가 너무 심하게 침해를 받기 때문일 겁니다.
만약 앞으로 이 기술이 계속 통하고 있다면 앞으로 어떤 정권이 어떤 정치적 목적 또는 선거등 다양한 용도로 자기들의 입맛에 맞지 않는 사이트로 가려하는 것을 dns에서 교묘하게 알아채지 못하게 방해를 할 것이라는게 과거 경험을 통해 너무나도 예상이 되어지는 대목입니다.
제가 이해하는 것이 틀렸다면( 데이터 송수신 내용까지 감청한다면....) 이건 천지가 개벽할 일이 벌어진거죠.