보배드림

HTTPS SNI 필드 차단 방식은 기존 주요 차단 방식들이 효력을 잃자 도입됐다. HTTPS는 브라우저와 웹서버가 PKI 인증서 정보를 주고받아 접속을 체결한 뒤 모든 통신 내용을 암호화한 채 주고받는다. 패킷이 가로채여도 해독되지 않는다. 그런데 빈틈이 있다. SNI 필드다.

현재 통용되고 있는 기술 표준으로 HTTPS 암호화통신을 한다더라도, 여전히 최초에 어떤 서버의 무슨 사이트와 통신할 것인지를 암호화하지 않은 평문으로 노출하게 된다. 사용자가 웹서버에 보내는 패킷의 SNI 필드라는 자리에 그 값이 적혀 있다. 현존 표준의 한계다.

평문 노출된 SNI 필드의 빈틈을 메우려는 시도가 인터넷 세계에서 진행되고 있다. SNI필드를 평문 노출하는 기존 HTTPS 규격은 TLS 1.2 표준을 구현한 것이다. 이를 보완한 TLS 1.3 표준이 나와 있다. SNI 필드값도 암호화하는 'Encrypted SNI'가 보급되면 현재 차단기법은 실효성을 잃게 된다.

지난 13일 방통위 측은 SNI 암호화 기술이 나와 통용되면 현재 차단 기술이 결국 무력화되지 않느냐는 물음에 "알고 있다"면서도 여전히 SNI 필드 차단 방식을 지속할 뜻을 밝혔다. SNI를 암호화한 기술이 보급되면 또 다른 차단 기술을 확보해 대응할 것으로 보인다.

다만 익명을 요구한 보안업계 전문가 A씨는 "이제까지는 차단기법이 대상의 변화를 줬을뿐 본질적으로 큰 변화가 없었는데 아마 Encrypted SNI가 도입되면 이번 SNI 필드 차단 방식을 찾아낸 것처럼 간단한 방법으로 다시 차단에 성공할 수 없을 것"이라고 전망했다.

나중이 아니라 당장 SNI 차단을 우회할 방법도 여러가지다. 이전부터 어떤 차단 방식을 쓰든 가상사설망(VPN) 서비스를 통해 해외 네트워크를 경유함으로써 우회가 가능했다. 또 이미 ISP가 구현한 HTTPS SNI 차단 방식의 허점을 파악하고 직접 차단을 깬 기법도 등장했다. 

-------------- 

지금 사용하고 있는 SNI 방법이 곧바로 무력화될 예정... 

삼성갤러시 10에 적용되는 안드로이드 P부터도 보안 DNS가 적용되고.. 

ESNI로 적용될 예정인데..일단 닥치고 차단해보자는 식으로 일을 함..

공무라는 것이.. 공익적이어야 하지만, 공개적이고 효과적이어야하는데..

그딴거 없고.. 내가 막을 권한이 있으니 막겠다임..

아무도 다니지 않는 길에 아스팔트 포장해놓고선.. 

"누구라도 다니면 되는거 아냐?" 이딴식으로 일하는 것임

어떤 기사에서는 방패와 창의 관계라는데.. 그런 관계가 아니라... 

계란으로 바위치기임..