HTTPS 검열과 SNI DNS 개념 햇갈리는 유게이들을 위한 정리.JPG
출처: 루리웹
http://bbs.ruliweb.com/community/board/300143/read/41100992?search_type=subject&search_key=%EA%B2%80%EC%97%B4
----------------------------------------------------------------------------------------
안녕 아마 이번 사태로 많은 프로 딸잡이 유게이들이 혼란을 겪고 있을 거야.
오늘은 다른건 아니고 이전의 검열 방식과 지금의 검열방식이 뭐가 다른지를 좀 끄적여 봤다.
노트북이라 그림이 좀 발퀄인데 이해좀 해주라.
※ 아 그리고
나는 IT
종사자도 아니고 정확한 개념은 잘 모르니까
대충 아 이런 식이구나 하는 정도로만 이해해주고
IT종사자 및 전문가들 께서는 오개념이 있어도 그냥 큰 흐름에서 이해해 주시길 부탁드립니다
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
1. 히토미 접속의 기본 구조
인터넷은 어떻게 우리에게 야짤을 보여주나
우선 이게 니가 히토미에 접속할 때 인터넷에서 일어나는 작용이야.
너가 히토미 주소를 입력하면 -> 인터넷 사업자(KT, LG SKT...)는 그 주소에 해당하는 IP 주소로 접속시켜 주는거야
마치 실제로 어떤 집을 찾아갈 때 주소를 입력하면 그 주소를 지도 어플이 찾아서 목적지를 표시해 주잖아?
그거랑 똑같다고 보면 됨.
즉, DNS는 너가 요청한 사이트의 IP라는 인터넷 주소를 찾아서 너한테 보내주는 중개인 같은거야
2. 흔히 생각하는 사이트 차단의 오개념
우리가 흔히 사이트가 막혔다고 하면 막연하게 가지는 이미지는 이런 이미지인데
이런식으로 정부가 어떤 사이트의 접속을 완전히 차단시키는 건 매우 어려워
더군다나 국내 사이트도 아니고 해외에 있는 서버를 막는건 불가능에 가깝지.
마치,
너희 부모님이 너를 클럽에 못 놀러가게 하겠다고 클럽 입구를 공구리 치는 꼴임
당연히 권한이나 영업권 침해 같은 문제들이 일어나겠지?
반대로 너를 아예 밖에 못 나가게 할 수도 없잖아. 여자친구도 만나고, 친구들이랑 술도 먹어야 되고 회사도 가야하는데.
사이트 차단도 마찬가지야.
히토미에 접속을 못하게 하겠다고
히토미 서버를 막아버릴 수도 없고, 반대로 너가 하는 수많은 다양한 사이트(네이버, 구글, 킹무위키...)의 접속 시도를 막을 수도 없잖아?
수많은 접속 시도 중에 딱! 히토미에 가려는 시도만 '골라내서' 잡는게 중요한거지.
그래서 인터넷 검열의 기본 구조는
입구(사이트)를 막아버리는게 아니라 거기 가려는 시도를 '특정' 하는데에 맞춰져 있어.
이 개념을 전제로 깔고 차단 방식을 설명할게.
3. 그래서 사용된 DNS 차단 방식
( warning.co .kr이 뜨는 이유)
그러면 어떻게 접속을 차단해야 할까?
바로 중개업자인 인터넷 사업자(KT,LG,SKT)를 조지는거야
걔네한테
"야 잘 보고 있다가, 히토미 접속하려고 주소 물어보면 걔네 주소 알려주지 말고 warning 주소 알려줘라" 하는거지.
우리가 히토미, 폰헙 등의 주소를 DNS(인터넷 사업자)에 요청하면
걔네는 들어온 요청 중에 정부에서 지정해준 대상들이 있으면
원래 주소가 아니라 warning.co .kr의 주소를 가져다 주는거야.
이건 DNS서버를 바꾸는 방식으로 대응이 가능했지.
(정부 말 듣는 KT,LG,SKT말고 구글이나 사설 DNS로 바꾸면 중간에 주소 바꿔치우는 작업이 사라짐)
말하자면 택시기사들 한테 "손님이 이 주소로 간다고 하면 경찰서로 데리고 오세요" 하는 셈인거지.
그래서 택시(KT,LG,SKT) 대신 버스나 지하철(국외 DNS 사업자)를 타면 문제가 없었어. 조금 느려지긴 해도.
4. 응 검열 꺼지고 HTTPS(TLS)
(지금까지 히토미, 폰헙이 잘 들어가지던 이유)
그러다가 인터넷 표준에 HTTPS 기술이 들어가면서 DNS 검열이 상당수 무력화됨.
DNS 검열은 기본적으로 니가 어떤 사이트에 접속하려는지 검토해서
검열처리된 사이트 목록과 대조한 뒤에 그 사이트 목록에 있으면 주소를 우회시켜 버리는 구조라고 했지?
HTTPS는 니가 어떤 사이트에 접속하려고 하는지를 암호화 시키는거야.
서로 암구어를 한번씩 주고 받은 뒤에
모든 대화를 암호로 해 버리면, 중간(DNS)에서는 그 정보를 파악할 수가 없잖아?
그러면 블랙리스트 사이트랑 대조가 불가능하고, 검열도 불가능해져.
그래서 우리가 HTTPS가 적용된 사이트들은 warning이 뜨지 않고 잘 접속이 되었던 거야.
5. 지금 KT에 적용된 SNI 검열 방식
문제는 오늘 부터 적용되서 게시글이 불바다가 되었던 SNI 차단 방식이야.
아까 HTTPS가 친구랑 암호로 대화해서 중간에서 그 내용을 못 알아채게 하는 방식이라고 했지?
근데 너가 친구랑 암호로 대화하기 위해서는
반드시 한번 정도는 암호를 정하기 위해서 서로 대화해야 하잖아?
그때 그 대화를 통해서 얘가 누구랑 이야기 하는지 유추하고 차단하는게 지금의 SNI 차단 방식이야.
정확히 SNI가 하는 일이랑은 조금 많이 차이가 있는데
(암호를 정하려고 전달/ 한번 전달 등등의 개념이 정확히 대치되는건 아님)
아무튼 지금의 SNI 차단 방식은
암호화된 내용과 달리 인증서 정보 교환을 위해서 평서문으로 교환되는 SNI를 분석해서 그걸 토대로 차단을 박는 방식이야
이게 적용되면 HTTPS 방식으로도 검열을 피할 수가 없어.
암호화된 통신을 위한 암호화 되지 않은 부분을 기반으로 차단을 걸어버리는 거니까.
이게 많은 유게이들이 불타게 했던 오늘의 검열 방식이야.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
번외.
Q. 이제 히토미 못키나요. 우리 다 좋된건가요?
SNI도 암호화 시키는 기술이 HTTPS 처럼 차세대 표준에 적용될거임. 그러면 다시 HTTPS때 처럼 꿀 빨 수 있음
Q. 왜 차단?榮募쨉 새로고침하면 접속 ?榮鳴 안?榮鳴 함?
SNI 차단방식은 암호화된 전체의 일부분인 SNI만 보고 차단을 할지 말지 결정하는 방식이라
트래픽이 많아지거나 패킷이 쫙쫙 들어오다보면 간헐적으로 뚫릴 수 밖에 없음.
서류 오탈자를 찾아야되는데 다량의 서류가 빠르게 들어오고 막 순서 섞이고 하면 햇갈리는거랑 비슷함.
(기계가 실수한단 소린 아님. 분석과정에서 오류가 난다는 거지)
Q. 왜 KT만 차단됨?
원래 인터넷에서 차단이나 특정 기술 적용될 때는 한꺼번에 ??! 안하고 약간 간격을 두고 함. 저번 검열때도 그랬음.
대한민국 인터넷 망 전체를 한번에 적용했다가 어디 결함같은거 있어서 터지면 그날로 나라 망함.
물론 다른 인터넷 회사에도 곧 적용될거임.
Q. 차단 우회하다 걸리면 불법임?
님이 웹하드 사장님 아니면 그런조항 없음 ㄱㅊ
Q. 차단당한 우리는 뭘 할 수 있죠?
ESNI 기술 적용될 때 까지 VPN이나 SNI우회 하셈
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
여기까지가 이번 검열의 개념적인 설명이고 아래는 그냥 내 사견이야.
개인적으로, 뭐 정부를 비판한다거나 쉴드치는 지옥매치에 발 들일 생각은 없고
이게 결국 국가가 모든 국민의 접속시도 하나하나를 전부 감청해서 대조하고 있단 뜻이란 말이야?
물론 어떤 의도를 가지고 정보를 수집하는게 아니라 무작위적이고 무차별적인 수준에서 모든 접속시도를 한번 확인하는 거지만
이게 과연 올바른 일인지는 좀 고민이 되더라.
국가에서 모든 국민의 개인정보를 보관하는거랑 뭐가 다르냐는 사람도 있는데
비지향적이고 단순정보인 개인정보와 다르게, 말 그대로 내가 어떤 사이트에서 뭘 검색했는지까지 아는건
개인적이고 개인의 성향과 취향이 작용하는 정보라고 생각해.
내 키랑 몸무게를 아는거랑, 내가 일년 내내 어디가서 뭘 먹었는지를 아는거랑은 좀 다르잖아.
유게이들도 단순히 "아 야동 막힘?" 정도에서 끝나지 말고
과연 특정 법률을 위해서 국민 모두의 개인의 접속 정보를 모니터링 하는게 어떤 의미인지 생각해보는 글이 되었으면 좋겠다.
유머는 어제 폰허브 프리미엄 1년짜리 결제한 내가 유머.
유북지기