본문 바로가기

포트폴리오

HTTPS차단 관련 제반 문제

728x90
반응형
SMALL

 

충암고등학교 3학년 김재형

1. HTTPS 차단의 문제점 및 사회적 요동

2019년 02월 11일 대한민국 정부는 디지털 성범죄와 불법 도박 근절 대책의 하나로 불법 사이트에 대한 접속을 차단하고 기존의 차단 시스템을 강화하는 HTTPS 차단을 시행한다고 밝혔다. 인터넷 검열 논란에 대해 네티즌들 사이에 갑론을박이 오갔다. 오프라인에서는 집단적 항의가 이어지게 되었다. 청와대 국민 청원 게시판에는 HTTPS 차단에 반대한다는 내용의 글이 올라와서 일주일 만에 25만 명이 서명에 동참하기도 했다. 청원 내용을 요약하면 HTTPS 차단을 하는 것은 벌레 한 마리를 잡기 위해 초가삼간을 다 태운다는 것이다. HTTPS를 차단한다고 하더라도 VPN 프로그램이나 ESNI 활성화를 통해 우회할 수 있는 방법들이 여럿 있기 때문에 차단의 효능이 충분하지 않다는 것이 주된 내용이다.

HTTPS 차단의 주요 문제점은 차단 과정에서 불법적으로 패킷의 일부분인 헤더 파일을 해킹하기 때문에 민간인 도청이나 인터넷 검열 가능성의 문제가 있다는 것이다. 국가가 마음만 먹으면 직접적으로 악용이 가능해진다는 것이다. 정부의 입장은 청와대 국민청원 답변을 통해 밝혀졌는데, 그 주요 골자는 다음과 같다. 온라인 불법 도박 시장 규모가 2015년 기준 47조원인데, 우리나라의 법에서는 도박을 강력하게 금지하고 있지만 인터넷을 통해 도박을 하는 것은 막을 수 없는 경우가 많았으며, 불법 몰카 촬영물으로 피해자가 감당하기 어려운 사건이 숱하게 일어났기 때문에 정부의 입장에서는 개인의 자유와 권리를 존중하지만, 불법 도박이나 피해자를 지옥으로 몰아넣는 불법 몰카 촬영물은 막아야 한다는 것이다.

 

2. HTTPS 차단 이전의 우리나라 인터넷 검열

우리나라는 분단 국가라는 특수한 상황과 사회에 여전히 깔려 있는 경직되고 보수적인 분위기 때문에 HTTPS를 차단하기 이전에는 warning.or.kr과 같은 방식으로 인터넷 검열을 시행해왔다. 정보통신 관련 법에서 음란물을 불법으로 규정했기 때문에 인터넷 검열에 대한 이슈는 반복적으로 발생하고 있었다. 선진국들도 이 때까지 정도에는 조금씩 차이가 있지만 자국의 법령과 규제 정책에 따라 http 기반 사이트의 차단과 통신 검열을 실시하고 있다. 우리나라도 이에 발 맞추어 계속해서 인터넷 검열을 해오고 있었지만 여러 가지 구멍들이 존재했다.

 

3. HTTPS 차단 이후의 우리나라의 인터넷 검열

2019년 2월 11일 통신사 KT를 시작으로 HTTPS 차단이 시작되었다. 불법 음란물 사이트와 불법 만화 사이트, 도박 사이트 등의 차단이 주로 이루어졌다. 2월 12일에는 통신사 SKT에도 HTTPS 차단이 적용되었다. 하지만, 대부분의 사이트에서 기존의 접속자들은 우회 방법을 통해 접속하기 때문에 여전히 트래픽이 유지되는 경우가 많은 것으로 알려졌다. 2월 20일부터는 일부 사이트의 차단이 풀렸고, 리벤지 포르노나 도박 등과 관련이 없는 사이트들 대부분은 차단 해제되게 되었다. 2월 28일에는 통신사 LG U+에도 차단이 적용되었다.

 

1)  HTTPS 차단에 대해 찬성 입장

HTTPS 차단은 패킷의 일부분인 헤더를 해킹함으로써 이루어지는데, 이는 전기통신의 내용을 지득하는 것이 아니기 때문에 통신비밀보호법이 금지하는 감청이 되지 못한다는 것이 찬성입장의 주된 논리이다. 또한, 국가가 개인의 통신정보 내용을 함부로 악용하거나 침해할 수 있다는 가능성만으로 곧바로 표현의 자유를 침해하는 것이라고 말하기에는 어불성설이며, 헌법상 명시되어 있는 다른 기본권을 보장하기 위해서라도 불가피한 측면이 있다고 찬성입장에서는 주장한다. 불법 리벤지 포르노나 도박 등이 사회적으로 큰 문제와 파장을 일으키며, 리벤지 포르노의 피해자는 얼굴이 알려지게 되면 더 이상 사회활동을 할 수 없는 등의 일상생활 파괴가 이루어질 수 있다.

 

2) HTTPS 차단에 대해 반대 입장

대한민국 헌법 제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다는 것과 제18조 모든 국민은 통신의 비밀을 침해받지 아니한다는 것에 따라 인터넷 검열은 국민의 자유를 침해한다는 것이 반대입장의 주된 논리라고 할 수 있다. 통신비밀보호법 제3조 제1항에서도 전기통신의 감청 또는 통신사실확인자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취하지 못한다고 명시되어 있고, 제16조에서는 전기통신의 감청을 한 경우 10년 이하의 징역과 5년 이하의 자격정지에 처한다고 되어 있다. 이와 같이 법률 상 금지되고 있는 통신의 비밀과 자유를 침해하는 HTTPS 차단은 국가가 마음만 먹으면 얼마든지 직접적으로 정보를 이용해 악용할 수 있고, 민간인 도청의 가능성도 충분히 있다고 반대입장에서는 주장한다.

 

개인적인 생각으로는 현행법상 불법적인 것만 아니라면 어느 정도 통신비밀의 보호가 지켜져야 하고, HTTPS 차단을 하는 것이 SNI 기술을 도입함으로써 가능해진 것인데 이 기술을 도입하고 유지보수하기 위해서는 또 세금이 들어가는 등의 문제가 있기 때문에 HTTPS 차단을 지금처럼 강하게 하는 것은 너무나 가혹하다고 생각한다. 관련 뉴스나 자료 등에서도 HTTPS 차단 사이트를 선정하는 기준이 모호하다고 이야기하고, 토론 등이 거의 이루어지지 않고 차단해야겠다고 안건이 올라오면 바로 쉽게 차단이 되고 그러다가 다시 차단을 풀어주기도 하는 등의 아이러니가 있다. 충분한 심의를 거치지 않으면 차단 사이트로 선정하지 않아야 된다고 생각한다.

         

4. SNI(Server Name Indication) 기술에 대한 소개 및 소결

SNI 필드차단이란 다음과 같다. SNI는 실제 홈페이지 주소인 IP 주소는 하나이지만, 여러 주소 및 도메인(URL)으로 접속할 수 있도록 홈페이지를 구성할 때 홈페이지 보안 인증서가 사용자에게 제대로 전달되지 않는 문제를 해결하기 위해 만든 기술이다.

현재 널리 사용하고있는 TLS 1.2(https) 통신 암호화 기술은 SNI 필드가 작동하도록 통신 시작 전 인증 과정에서 도메인을 암호화하고 있지 않다. 인증서를 주고 받기 이전에 도메인 정보가 암호화 되지 않는 문제는 TLS 1.2의 대표적인 보안 결함이다. 이를 해결하기 위한 인터넷 관련 업체들인 애플의 사파리, 모질라 재단의 파이어폭스, 구글의 크롬, 클라우드플레어 등이 모여서 TLS 1.2의 취약점을 개선한 신규 암호화 표준 TLS 1.3을 제안하고 있다. (사진 참조)

 

<TLS 1.2 와 TLS 1.3의 차이점 출처:클라우드플레어>

 정부는 TLS 1.2의 보안 취약점을 활용하여 불법 홈페이지 차단 (SNI 필드 차단)을 시행했다고 보아도 무관하다. 정부의 HTTPS 차단 기술은 당연히 TLS 1.3이 적용한 웹 브라우저 및 서버에 적용이 안 된다. TLS 1.3은 앞선 1.2에서 못한 도메인 정보마저 다 모두 암호화하여 보안 취약점을 막았기 때문이다. 하지만, TLS 1.3이 아직 걸음마 단계여서 1.2의 적용기간(2008~2013, 총5년)이 필요하듯이, 1.3 역시 다소 시간이 걸릴 것 같다. 현재까지 클라우드플레어가 TLS 1.3에 맞도록 서버 업그레이드를 하였으며, 그 외에 브라우저 크롬, 파이어폭스, 사파리 등은 최신 버전으로 업데이트를 한다면 TLS 1.3 기술이 사용 가능해질 것이다. 호스팅 서비스를 제공하는 업체들은 아직 서버 업그레이드를 하지 않고 있다고 한다.

 

<TLS 1.3 이 활성화된 홈페이지 사진. 출처: 클라우드플레어>

TLS 1.3 기술을 적용한 홈페이지는 SNI 필드 차단 기술로도 홈페이지 접속을 막을 수 없다. 적용된 홈페이지는 연결 프로토콜 확인 시 TLS 1.3이라고 적시되어 있다. 실제 직함 이름인 구글의 보안 공주 파리사 타브리지가 구글이 HTTPS 보급에 앞장서는 이유를 인용하자면, “웹을 이용하다보면 안전하다는 착각에 빠지기 쉽다. 인터넷은 수많은 접속 점으로 이루어져 있고 이 중간 단계에서 누구나 패킷 데이터를 훔쳐볼 수 있다. (패킷 스니핑) 사용자의 아이디, 패스워드, 신용카드 정보 등이 고스란히 무방비로 노출되어 있는 것이다. 이러한 해킹을 방지할 수 있는 가장 효율적인 방식은 HTTPS이며, 더 정확히 말하자면 TLS 기반의 HTTPS가 패킷 스니핑을 방지할 수 있는 가장 효율적인 수단이다.”라고 말하였다. TLS 1.3은 전세계적으로 빨리 보급 되어야 하는 보안 방식이며, 취약점을 활용한 고차원적이지 않은 단순한 SNI 차단을 하고 있는 HTTPS 차단 정책은 세금의 효율적 활용을 위해서라도 폐지되어야 하는 것이 맞다고 생각한다.

반응형
LIST