타운광장토픽게시판

현재 클플 등이 수행하고 있는 ESNI가 활성화되면

휘즈
조회 수 534
크게 작게 댓글로 가기
크게 작게 위로 아래로 댓글로 가기

현재 클플 등이 수행하고 있는 ESNI가 활성화되면 방통위가 사이트 차단을 못할 것이라 생각하시는 분들이 많은 것 같은데

만약 ESNI가 범용으로 활성화되면 사이트 차단 반대론자들은 지옥문이 열리는 것입니다.

 

클플에만 요청하면 되므로 사이트 차단이 아주 쉬워집니다.

방통위 입장에서 관리해야할 대상이 매우 줄어 드는 것입니다.

만약 클플이 말을 안들으면 국내법을 적용하여 1.1.1.1 차단하면 그만입니다.

1.1.1.1과 같은 네임서버가 많이 생기거나 직접 운영하면 될 것이라 생각하실텐데

어려운 일입니다.

현재 ip주소를 도메인으로 발급해 주는 곳은 없습니다.

클플이 어둠의 경로로 1.1.1.1을 도메인으로 발급받았는데. 누구나 받을 수 있는 것은 아닙니다.

설사 받는다하여도 ip차단은 가장 쉬운 차단방법입니다.

 

그러니까 정상적인 사이트는 도움이 되지만 차단 대상 사이트들은 지옥문이 열리는 것입니다.

그러니까 방통위의 사이트 차단을 반대하는 것보다

현재 불법인 것을 합법으로 해달라고 하는 것이,

도박,포르노 등등을 합법화 해달라고 하는 것이 오히려 합리적입니다.

 

현재 국내법상 불법인 것을 방통위가 차단하는 것인데 이것을 차단하지 말라고 하는 것은 설득력이 별로 없습니다.

제 생각에는 아래 와 같은 논의가 활발해지는 것이 바랍직합니다.

https://news.v.daum.net/v/20190213220048301

 

========= 추가 2019/02/25/08:03-==========

예상외로 많은 분들이 댓글을 달아주셨군요.

개별적으로 대댓글을 못 달아 드리고 이곳이 포괄적으로 씁니다.

 

1. 클플이 협조할 것이가와 1.1.1.1 차단가능

클플은 국가기관이나 국제기관이나 공공기관이 아닙니다.

영리를 추구하는 영리기업입니다.

만약 클플이 국내법에 저촉되는 사항에 대하여 정부의 요구사항을 거부한다면 한국에서 사업을 할 수 없겠죠.

이것은 구글이나 유튜브나 트위터나 페이스북 다 마찬가지입니다.

이것을 못한다면 주권국가가 아닙니다.

당연히 클플은 현재의 페이스북이나 구글 등처럼 협조를 할 겁니다.

중국이 구글이나 다른 사이트 국내는 네이버나 다음도 차단하고 있는데 외교적 분쟁이나 기타 국가간의 문제 없습니다.

우리가 중국과 같냐라고 반문하실 분 있으실텐데.

인터넷 자유도가 높은 미국이나 서유럽 서방국가도 같은 자유국가도 부분적으로 인테넷 검열을 합니다.

다만 그 불법의 범위가 다를 뿐이지요. 

아랍권에서 율법에 위반되는 것들이 차단되어도 국가차원에서 이의제기하는 나라 없습니다.

어떤 기업도 그 국가에서 영업을 하려면 그 국가의 법을 따라야 합니다.

우리나라만 못할 것이라 생각하는 것은 막연한 패배주의입니다.

클플이 협조하지 않는다면 클플의 서비스를 차단할 수 있습니다. 당연히 1.1.1.1도 포함되겠지요.

물론 극히 일부가 문제인데 전체를 차단할 수 있겟는가인데 그러니 클플이 협조할 수밖에 없는 구조입니다.

 

2. ESNI가 범용화되면

이미 본글에 작성된 내용인데

DoH의 핵심이 ip주소를 https로 접속하는 것입니다.

현재 ip주소를 도메인으로 내주는 곳은 없습니다.

규정이 바뀌어 여러 곳에서 클플과 같은 서비스를 한다해도 바로 ip가 파악되는 상황이므로 차단이 매우 쉬워집니다.

그러나 클플이외에 다른 업체가 ip를 도메인으로 발급 받는 것은 쉽지 않을 것이라 생각됩니다.

구글이나 기타 다른 공룡 ip기업이라하더라도..

당분간 클플의 독점이 유지될 것이고 범용화는 어려울 것이라는 것이 개인적 생각입니다.

근본적으로 DNS자체를 암호화하지 않는 한 근본적인 해결책은 아니라고 생각합니다.

 

다시 말씀드리면 인터넷 검열을 문제삼는 것 보다는 현시대에 맞지 않는 불법사항을 문제삼는 것이 합리적이란 것입니다.

 

ddos공격을 받으면 공격자를 차단해야 할 것 아닙니까?

대부분 스팸아이피를 차단하고 있잖아요

이게 인터넷 검열이거든요.

인터넷 검열은 국가, 기업, 사적조직, 개인이 시행하고 있는데

검열 목적은 다양하죠.

그 검열 목적이  불법적이고 비합리적인 것을 문제삼아야지.

내가 불법을 저지르는 것을 상관하자 말라보다는

이런 것도 불법이냐. 합법화해달라 하는 것이 합리적이란 말입니다. 

 

===2019/2/15/22:09===

ESNI 가 abnoeh 님 댓글을 보고 좀더 생각해보니 ip로는 쿼리를 안하고 도메인만으로 응답을 한다면 가능하겠네요.

도메인 만으로 ESNI를 제공하는 곳이 다수 있으니 내용을 조금 수정해야 겠습니다.

어쨋든 ip에 대하여 인증서를 받은 곳은 클플이 유일합니다.

 

 

 

 

 

 

 

휘즈

profile
XE에 최적화된 서버를 구축, 유지보수해 드립니다.
보안서버(ddos방어, spam방지) 설치 세팅해드립니다.
보안 서버는 다음 과 같은 작업을 합니다.
- 커널 세팅
- 방화벽 설정
- WAF 설치 및 설정
- XE 전용 룰 세팅
위로 아래로
댓글 20
  • ?
    암만 그래도 설마 DNS 주소를 차단할까요... 불법 사이트만 차단되는 것도 아니고 그럼 진짜 중국이랑 다를 바가 없는데...
  • profile
    [극히 저의 개인적인 주관적인 견해 입니다.]
     
    국내법상 불법인것은 말그대로 불법이니... 정부에서 국민이 불법컨텐츠에 접근할 수 없도록 막는것은 적법하다고 생각합니다. 악법도 법이니까요... 까라면 까야지요...
     
    이미 제정되어 있는 도박, 포르노 관련 컨텐츠를 합법화 시키는것은 굉장히 오래걸리고 힘들것으로 생각됩니다.
    국내법상 법률적으로 허용되어 있는 성인물 기준으로는 성기등 주요부위를 노출을 제한하는 선에서 합법으로 칭하고 있는데 일부 자유로운 국가에 비해서 대한민국의 법률은 제한적이라고 생각 될 수 도 있겠습니다.
    (사실 성인이 AV 보는데 무슨문제가 있느냐 라고 생각하겠지만.. 국내법상 영상심의필을 받은 성인물을 제외한 모든 AV는 불법이죠)
     
    현재 정부의 인터넷 제한정책을 반대하고 있는 대다수의 사람들이 우려하고 있는 내용은 웹사이트 차단의 기술적 근거가 패킷의 편집 및 감청에 따른 반발로 생각됩니다.
     
    정상적인 국가라면 불법행위를 자행하는 개인 혹은 단체를 단속하고 처벌하여 불법컨텐츠를 근절하는 절차를 진행하겠지만 현재 정부의 불법컨텐츠 차단정책 기술력을 보자면 원인은 제거하지 않고 원인에 접근하려는 국민의 통신망을 감청/변조 하여 접근을 제한하는 우회적인 방법을 택하고 있습니다.
    (물론 이 방법이 쉽겠지만 헌법에서 보장되는 국민의 통신 자유를 침해하는 경우가 되겠지요)
    특히 우리는 가까운 나라 중국에서 정부의 통신망 제한/개입이 어떠한 결과를 초래했는지 이미 잘 알고 있잖아요??
     
    리벤지포르노, 아동포르노 등의 법률 및 윤리적으로 어긋나는 컨텐츠는 근절되어야 함이 마땅하지만 무차별적인 국민 통신망 감청/편집이 문제가 되는 경우겠지요
     
    정부는 불법컨텐츠를 게시, 묵인하는 유통망을 처벌해야지... 상기 이유를 근거로 하여 헌법에 위배되는 행위를 자행하여 국민을 탄압하고 감시하는 행위는 중단 하여아 한다고 생각합니다.
     
  • ?
    이게 나란지...
  • profile

    불법 사이트에게는 지옥문을, 일반인에게는 감청이나 패킷 조작 없는 인터넷을 선사할 수 있다면 그것도 괜찮은 아이디어 같은데요?

    물론 불법과 합법의 경계를 대부분의 선진국과 비슷한 수준으로 맞추어 (일반 AV는 ○, 리벤지포르노는 ×) 차단 대상을 원천적으로 줄이는 것도 중요하지만, 그럼에도 불구하고 국가가 차단을 원하는 사이트가 단 하나라도 있다면 전국민의 인터넷 패킷을 뜯어보는 것보다는 호스팅 또는 CDN 서비스를 제공하는 업체에 정식으로 차단을 요구하도록 하는 것이 더 낫다고 할 수 있는 면도 있습니다.

     

    게다가 클플 뒤에 숨어 있는 특정 사이트를 클플에 요구하는 것만으로 차단할 수 있었다면 SNI 차단을 시전할 필요조차 없었을 겁니다. 클플이 협조를 잘 안 해 주니까, 또는 협조요청하기 귀찮으니까 국내에서 차단하는 거죠.

  • ?
    esni가 활성화되면 애초에 한국에 서버조차도 없는 CDN들이 사용하기 시작하겠죠. fastly라던가 bunnycdn이라던가 하는 류들요 그리고 DOH는 bootstrap으로 일반 dns로 DOH 도메인 ip 조회 - 그 정보로 HTTPS 연결 설정 모드가 있습니다. 당장 지금 파폭도 기본값으로 https://mozilla.cloudflare-dns.com/dns-query로 접속하고 있어요. 1.1.1.1이 아니라
  • ? profile
    좀 관련 없긴 한데 버니는 한국 엣지 있어요... 그리고 엣지 유무의 문제가 아닐 것 같습니다. 사업자가 외국에 있으면 어차피 한국 엣지 Takedown 해도 자동으로 해외 엣지로 리디렉트 될거니까요
  • ? profile

    그 페이지는 1.1.1.1를 사용하라는 홍보 페이지구요.
    현재 DOH 를 제공하는 곳은 1.1.1.1 이 유일합니다.

  • profile ?
    https://dns.google.com/experimental
    로 한번 해보세요
    https://github.com/curl/curl/wiki/DNS-over-HTTPS 여기 보면 꽤나 많이 있네요
  • profile ?
    https://dns.quad9.net/dns-query 같은 경우는 저 주소로 그대로 웹브라우저로 열면 Invalid argument value만 뜨고 끝납니다. 확실히 dns 쿼리용으로 사용한다는 증거죠.
  • ? profile
    흠! 예 좀더 깊이 생각해보니 ip로는 못들어가고 도메인만으로는 가능하겠네요.
  • profile
    글쎄요... dns에 불법사이트 주소가 있다하여 그게 dns 차단명분이 될 수 있을까요? 트위터에 불법사이트 계정(변경된 사이트 주소를 뿌림)와 북한 계정이 있다하여 트위터 자체를 차단하나요? 이것과 비슷하지 않을까요? 만약 차단되면 트위터에서 ip를 뿌린 후 host 파일에 추가하는 방법이 있겠네요. 트위터의 dns화;;
  • profile profile
    이미 트위터를 그런 용도로 많이 쓰고 있지요. 도메인 차단되면 얼른 다른 도메인으로 바꾼 후 트위터로 알려주는 방식... 게다가 DNS라는 것이 워낙 단순한 시스템이다 보니 서버 관련 지식이 조금만 있다면 나만의 해외 DNS를 만들어 쓸 수도 있어요. VPN보다 훨씬 쉽습니다 ㅎㅎ
  • ?

    1.1.1.1을 차단하다뇨.. FTA에 걸려서 직빵으로 고소당합니다.

    국내법에 위반되니까 차단되도 된다구요? 그 국내법이란게

    해외업체에 차별적인지 아닌지 또는 미국의 사례와 비추어서

    해당 규제법안이 차별적인지 아닌지 따져보자는게 FTA입니다.

    규제법안만 있으면 바로 규제할 수 있는 국내업체보다
    외국업체가 규제하기 훨씬 더 까다롭습니다. 법만 있으면 끝이 아니에요.

    글구 제가 보건데 클플이 고소하면 높은 확률로 한국정부가 질 것 같네요.

    차단 자체가 좀 말도 안되는거라... 미국이 이런걸 이해해줄 이유가 없죠.
    우리나라는 클플한테 이래라 저래라 하기 굉장히 어렵습니다.

    그리고 현재는 ESNI가 서버단에서 지원되는 곳이 클플뿐입니다만

    표준화되면 모든 서버가 다 ESNI를 지원할텐데 클플만 막는다고

    무슨 의미가 있나요.

  • profile

    1. 클플이 한국 회사도 아니고 자국법상 문제 없는것을 들어 줄 의무는 없습니다.
    지금 까지도 무시해왔고 최근에 문제 있는건 미국 경찰에 요청하면 검토해보고 들어 주겠다입니다.

    2. DNS 주소 자체를 차단하는것은 오히려 ISD 같은 국가 분쟁으로 갈 가능성이 있어서 희박할것 같습니다. 또 사설 DNS 같은것도 나올것이고 softethervpn 와 비슷한 방식의 수시로 변경 되는 DNS 서버가 등장할 가능성이 높습니다.

    설사 차단 되고 이건 기술적으로 극복 가능해서 실용성이 떨어질겁니다.

    3. 남은건 HTTPS 패킷 자체를 까보는건데 이건 인증서 해킹하는 밖에 방법이 없는것으로 알고 있습니다.
    중간에 인증서를 가로채서 이게 맞는 인증서다 라고 속여야 패킷 까볼수 있으니까요.
    이렇게 되면 전세계의 모든 HTTPS 사이트의 인증서를 죄다 해킹하게 되는건데 이건 엄청 문제가 커질겁니다.
    우리나라쪽에서 발급되는 인증서는 모두 취소 될가능성이 높고요.

    4. 남은건 이제 중국처럼 사이트의 해당 IP 차체를 차단하고 VPN 전부 불법으로 해서 다 막는거 정도 남아 있네요. 분명 법을 제정하려는 시도는 할겁니다.
    막을수 있을지 없을지는 사람들 한테 달린것이겠지요.

    어딧까지나 개인적인 의견입니다.

    더 좋은 정보 있으시면 한수 알려주세요 ㅎㅎ

  • ?

    저는 1.1.1.1 차단을 제외하고서는 오히려 저렇게 되었으면 합니다. 정말 불법 사이트라면, 사법당국과 공조하에 법 집행을 진행하는 것은 오히려 찬성입니다.

    '불법' 사이트 차단 하겠다고 전국민 패킷을 열어보는 것에 반대합니다. 패킷을 열어보기만 한다고 하지만, SNI 정보를 기록하기만 하면 한 개인이 접속하는 사이트를 아주 상세하게 모니터링 할 수 있습니다. 정공법(사이트 운영자 체포 및 법 집행, 사법 공조를 통한 서버 압수/차단 등)을 놔두고 일을 편하게만(네트워크 차단) 하려하기 때문에 문제가 생긴다고 생각합니다.

  • ? ?
    애초에 딴 나라서는 합법인 사이트들을 막으려고 하니까 정공법이 안 되는 거죠
  • ? profile

    어떤 시스템이든지 (특히 초창기에는) 디버깅이나 성능 문제 해결 등 여러 가지 목적으로 상세한 로그를 남기는 것이 정상입니다. 로그도 없이 작업한다면 서버 담당자 짤라아죠.ㅋㅋㅋ

     

    정부 기관이나 VPN 업체들은 로그를 남기지 않는다고 주장하지만, 외부인이 그걸 검증할 방법은 없습니다. 평소에는 로그를 금방 폐기한다 해도 언젠가 어떤 목적으로 사본을 만들 여지도 얼마든지 있습니다. 따라서 언제 어느 IP에서 어느 도메인에 SNI 접속을 시도했는지 로그가 남을 가능성이 높습니다.

    이유여하를 막론하고 패킷 감청(DPI) 자체를 불법으로 지정해야 합니다. 그래야 눈 가리고 아웅하는 꼼수에 의지하지 않고 일을 제대로 하겠지요.

  • profile ?
    감청이라 생각되는 일을 자꾸 감청이 아니라 하니 대화가 안되는거 같아요. 자꾸 국가기관이 감청하는건 아니라고도 하는데, 그럼 민간 기업은 감청해도 된단 이야기인지.. 답답합니다 ㅋㅋ
  • ? profile

    통신사에서 고객이 공유기를 쓰는지 안 쓰는지, PC를 몇 대 쓰는지 파악해서 돈을 더 받아내기 위해 감청하는 기술을 대놓고 특허내는 세상인데요 뭐 ㅡ.ㅡ;;

    통신 내용뿐 아니라 통신이 일어났다는 사실만 갖고도 알아낼 수 있는 민감한 정보가 어마어마하게 많은데, 우리나라는 정부뿐 아니라 민간 IT 기업도 "메타데이터"의 중요성에 대한 인식이 많이 부족한 것 같습니다. 외국에서는 개인을 특정할 수 없도록 뭉뚱그려 놓은 개인정보 꾸러미를 AI로 분석하여 개인을 특정해 내는 기법까지 나오고 있는 판에 우리나라에서는 아직도 개인을 특정할 수 없는 개인정보는 마음대로 사고팔 수 있게 해달라고 로비하고 있으니...

  • profile ?
    사람들이 기술에 너무 무심한거 같아요.. 생명과학 공부하는 사람 입장에서 IT에서만 이런게 아닌거 같아요. 과학기술 전반에 대해서 사람들이 무심합니다.. 근데 이런 나라가 과학기술로 먹고 살고 있죠.. 아이러니