접속 막힌 불법사이트.. SNI 필드 차단이 뭐가요?

동아닷컴

입력 2019-02-13 16:49 수정 2019-02-13 16:53

|
폰트
|
뉴스듣기
|
기사공유 | 
  • 페이스북
  • 트위터
정부가 더 강력한 불법사이트 차단 기술을 적용함에 따라 음란물, 폭력, 마약 등 불법 정보를 담은 해외 유해사이트 접근이 원천 차단됐다. 방송통신위원회는 12일 "불법음란물, 불법도박 등 불법 정보를 유통하는 해외 인터넷 사이트를 우회해서 접속하는 것을 막기위해 접속 차단 기능을 고도화했다"고 밝혔다.

11일 이후 국내 이동통신 3사를 이용 중인 사용자는 정부가 불법으로 지정한 해외 홈페이지에 접속하더라도 '연결할 수 없음'이라는 표시가 뜨게 되었다. 때문에 일각에선 표현의 자유를 위축시키고 정부가 인터넷 감청과 검열을 시도하는 것이라는 비판이 제기되고 있다.

차단에 이용된 기술은 원래 보안 취약점?

이번 접속차단에 활용된 기술은 'SNI(Server Name Indication) 필드' 차단이다. SNI는 실제 홈페이지(IP주소)는 하나이지만 여러 주소(URL)로 접속할 수 있도록 홈페이지를 구성할 때 홈페이지 보안 인증서가 사용자에게 제대로 전달되지 않는 문제를 해결하기 위해 만든 기술이다.

<TLS 1.2와 TLS 1.3의 차이점 출처:클라우드플레어>

현재 널리 이용되고 있는 통신 암호화 기술인 TLS 1.2(https)는 SNI 필드가 제대로 작동하도록 통신이 시작되기 전 인증 과정에서 특정 영역(도메인)을 암호화하지 않고 있다. 이렇게 인증서를 주고받기 앞서 도메인 정보가 암호화되지 않는 것은 TLS 1.2의 대표적인 보안 결함으로 꼽히고 있다. 이러한 문제를 해결하기 위해 지난해 8월 애플(사파리), 모질라재단(파이어폭스), 구글(크롬), 클라우드플레어 등 인터넷 관련 업체들이 모여 신규 암호통신 표준인 TLS 1.3을 제안한 상태다. 즉, 정부는 TLS 1.2의 보안 취약점을 활용해 불법 홈페이지 차단을 시행한 셈이다.

정부가 불법 홈페이지를 차단하기 위해 가장 먼저 이용한 방법은 단순 URL 주소 차단이다. 하지만 통신 정보가 암호화되는 https를 활용하면 쉽게 무력화되는 단점이 있었다. 이를 해결하기 위해 DNS(Domain Name System, 숫자로 된 IP 주소를 영어나 한국어로된 일반 주소로 바꿔주는 기술)를 활용한 차단법을 선보였다. 하지만 이 역시 앱이나 프로그램 등으로 손쉽게 우회할 수 있었다. 완벽한 불법 홈페이지 차단법을 찾다가 결국 통신 감청으로 이해될 수도 있는 SNI 필드 차단이란 극단적인 선택까지 한 것으로 풀이된다.

이제 막 시작된 TLS 1.3... 완벽한 통신 보안은 언제 가능할까

정부의 이번 SNI 필드 차단은 TLS 1.3이 적용된 웹 브라우저와 서버에는 적용되지 않는다. 인증서를 주고받기 앞서 도메인 정보까지 모두 암호화하기 때문이다.

하지만 TLS 1.3은 이제 막 발걸음을 뗀 기술이다. 웹 브라우저에는 하나둘씩 관련 기술이 적용되고 있지만, 호스팅 서비스를 제공하는 업체들은 아직 TLS 1.3에 맞게 서버 업그레이드를 실시하지 않았다. 최신 버전 크롬, 파이어폭스, 사파리 등에선 TLS 1.3를 이용할 수 있으나, TLS 1.3이 적용된 서버 업체는 미국의 클라우드플레어가 유일하다.

TLS 1.2는 2008년에 개발된 기술임에도 본격적으로 웹 환경에 적용되기까지 5년이 넘는 시간이 걸렸다. TLS 1.3 역시 업체들의 이해관계 때문에 모든 웹 브라우저와 서버(웹 사이트)에 적용되려면 다소 시간이 걸릴 전망이다.

한 업계 관계자는 "TLS 1.3이 활성화되려면 결국 호스팅 업체들의 기술 업그레이드가 필요하다"며, "미국의 호스팅, 클라우드 업체를 중심으로 TLS 1.3을 지원하려는 움직임이 활발해지고 있다"고 밝혔다.

TLS 1.3 활성화 방법

크롬: URL 창에 'chrome : // flags' 입력 후 TLS 1.3을 검색해서 활성화
파이어폭스: URL 창에 'about : config' 입력 후 'security.tls.version.max'를 검색해서 기본값을 3에서 4로 변경

두 웹 브라우저 모두 기본적으로 TLS 1.3이 꺼져있다. TLS 1.2와 완벽환 호환을 보장할 수 없기 때문이다. 따라서 TLS 1.3가 적용된 홈페이지를 접속하고 난 후 다시 설정을 원래대로 돌려주는 편이 좋다.

<TLS 1.3이 활성화된 홈페이지. SNI 필드 차단으로도 해당 홈페이지 접속을 막을 순 없다. 출처:클라우드플레어>

TLS 1.3이 적용된 홈페이지는 웹 브라우저에서 연결 프로토콜을 확인하면 TLS 1.3이라고 표시된다.

동아닷컴 IT전문 강일용 기자 zero@donga.com

라이프



모바일 버전 보기