http://www.etnews.com/20180502000280?mc=ns_002_00002
SNI 패킷을 살펴보고 DNS 서버에서는 엉뚱한 아이피를 반환하는 방식으로 차단을 진행하려는 것으로 보입니다. 사실상 불법사이트 차단을 명목으로 접속사이트 목록을 들여다보겠다는 것인데 자칭 IT강국이란 나라에서 이런 짓거리나 하고 있는게 참 한심해 보입니다.
http://www.etnews.com/20180502000280?mc=ns_002_00002
SNI 패킷을 살펴보고 DNS 서버에서는 엉뚱한 아이피를 반환하는 방식으로 차단을 진행하려는 것으로 보입니다. 사실상 불법사이트 차단을 명목으로 접속사이트 목록을 들여다보겠다는 것인데 자칭 IT강국이란 나라에서 이런 짓거리나 하고 있는게 참 한심해 보입니다.
HTTPS 접속시 올바른 인증서 반환을 위해 도메인 이름을 암호화 없이 전송해주는것이 SNI인데요, 이 값을 살펴볼수 있다면 지구상 어떤 도메인이건 차단 가능합니다.
특히 최근 GPKI에서 모든 co.kr 도메인에 적용되는 와일드카드 인증서를 발급해서 문제가 되었는데요, 마음만 먹는다면 차단사이트 도메인으로 인증서를 발급해 사용할수도 있을것으로 보입니다.
아.. 제 말은 abc.com 이 불법적인 처벌 대상으로 판단이 내려진 뒤 abc.com을 대상으로 그 기술을 이용해 무언가 시작해야 한다는 의견이었구요. 기술적인 내용은 잘 몰라 제가 생각하는 것이 불가능한지는 잘 몰라 의견을 그렇게 달았습니다.
타인의 저작물을 무단으로 판매하거나 보복 포르노를 유포하는 등의 불법 행위는 당연히 막아야지요.
그러나 이런 것이 대한민국에서만 불법인 것도 아니고... 서버가 위치한 미국이나 일본 등의 수사기관과 협력할 수도 있고, 클플이나 아마존처럼 국내에서 영업하는 CDN을 사용한다면 국내에서도 법적인 조치가 가능하거든요. 특히 저작권 침해라면 미국이 제일 민감하게 반응하고 DMCA takedown notice 같은 시스템도 잘 되어 있으니 그걸 이용하면 훨씬 강력하게 대응할 수 있어요. 그런데 국내의 특정 기관이 원할 때마다 버튼만 클릭하면 자동으로 차단되는 시스템을 만들겠다는 것은 공무원들의 행정편의주의적 발상(미국에 공문 보내기 귀찮음...)과 보안프로그램을 납품하는 업체의 이해관계가 맞아떨어졌다고밖에는 볼 수 없습니다.
중국이 기술적인 차단 시스템에 지나치게 의존하는 이유는 전세계 어느 누구도 문제삼지 않는데 중국에서만 차단하려고 하는 정보가 너무 많아서 그렇습니다. 반면, 저작권 침해는 전세계 어디에서나 불법이니 일반적인 사법 시스템을 통해 충분히 제재할 수 있고, 그렇게 해야만 확실한 제재가 가능합니다. 한국에서만 차단하면 범인은 여전히 다른 나라 사람들이나 우회 방법을 알고 있는 사람들을 대상으로 저작권 침해를 계속할 수 있잖아요. 불법 행위는 그대로 둔 채, 잘 보이지 않도록 대강 덮어놓기만 하고 눈가리고 아웅하겠다는 발상인데... 이것도 일종의 직무유기가 아닐까요?
막는 방법의 차이 아닐까요?
위에서 다른 분들이 지적한 것처럼... 성매매를 단속하겠다고 성매매 업소 인근 지하철역 이용객들의 통화기록(인터넷 패킷)을 전수조사하는 꼴이거든요. 실제 업소(불법사이트)나 포주(운영자)를 수사하다가 도저히 안 되니까 궁여지책으로 그런다면 그나마 이해하겠는데, 애당초 업소 근처(CDN, 호스팅 업체)에는 경찰 한 명(수사협조 요청) 보낸 적도 없으면서 말이지요...
광범위한 감청과 관련된 인권 문제에 대해서는 사람마다 의견이 다를 수 있겠지만, 세금 내는 국민으로서 제 돈이 이런 뻘짓에 쓰인다는 것이 한심하기 짝이 없어요. 무능한 것도 직무유기거든요.
사이트를 전수조사하는 것이 아니라 일반인들이 주고받는 패킷을 전수조사하는 거지요. SNI 패킷을 본다는 것이 바로 그 의미잖아요. 위의 비유에서도 성매매 업소로 의심되는 가게를 전수조사하는 게 아니라 인근 지하철역을 드나드는 시민들을 전수조사한다고 표현했고요.
네, 맞습니다.
현재 http 차단하는 방식에 동의한다고 말씀드린 적은 없습니다. https 차단한다고 하니까 새롭게 이슈가 점화된 것 뿐이지요. 둘 다 문제라고 생각합니다.
http를 차단하더라도 DNS 변조 방식을 사용하면 모든 사용자의 Host: 헤더를 확인할 필요가 없으니 광범위한 감청 문제가 발생하지 않습니다. 차단 성공률은 도찐개찐이겠지요.
위글을 보니 저는 이게 생각 납니다