SNI 정말 검열일까?

정부가 SNI (Server Name Indication)을 실행하며 굉장히 많은 후폭풍이 인터넷을 떠들석 하게 만들었다.

이중 여러가지 루머와 진실이 섞인채 돌고 있는데 가볍게 정리해보도록 하자

첫째 SNI는 검열이다?

이 질문에 관하여는 Yes이다.

검열이라는 것은 통제이다. 무엇인가 발매하고 보려고 하는 것을 강제적으로 막는 행위이다.

내가 원하는 사이트가 있지만 서비스 제공자가 원해서 막는 것이 아닌 중간에서 막는 것은 엄연한 검열이다.

둘째 이 사태는 모두 정부 주도이다.

반은 Yes 반은 No이다.

일단 이 서비스는 ISP 즉 인터넷 업자들이 제공하는 서비스이다. 인터넷 업자 특히 KT를 제외하고는 민영인만큼 (KT는 겉만 민영이긴 하지만) 

안하려면 ISP에서 못하겠다하면 바로 취소 될 수 있는 사태이다. 하지만 일단 ISP 특히 코리아 텔레콤에서 하신다니 KT 유저들이 먼저 타겟팅이 되었다.

다른 회사는 눈치보다 방통위 눈치가 심하면 할 것이고 유저들 눈치가 심하면 안할 것이다.

두번째로 심의하는 곳은 방통위 이다. 물론 정부에서 인사권을 가지고 있지만 정부와의 별개로 독립적인 기구이다.

이곳에서 불법이다! 하는 곳은 정부가 합법이라 해도 인터넷 상에서는 불법인 것이다.

그러기에 반은 Yes 반은 No이다.

세번째 감청이 가능하다?

이 질문은 No이다. 이 감청에 대한 이슈가 가장 크다. 검열은 맞지만 감청은 아니다.

솔직히 이 모듈 자체가 얼마나 감청 능력이 있는지 모르겠다. SNI는 말그대로 서버 네임을 받아 오는 것으로 서버 이름만 볼 뿐 속의 내용은 모른다.

즉 주소 필드만을 보며 검열 하는 것이다. 그리고 제공자도 정부가 아닌 ISP업체이다. 만약 감청을 하고싶으면 ISP 장비에 손을 써야 하는데

영장 없이 ISP가 허락할 일도 없을 뿐더러 정부도 ISP 업체 허락 없이 장비 건들면 불법이다.

또한 https는 굉장히 보안적으로 최신이고 좋은 프로토콜이 아니라 굉장히 오래된 프로토콜이다. SNI 만들어지기 전에도  https는 블랙마켓에서도 모듈을 구한다면 개인도 해킹하여 볼 수 있는 세상일 것이다.(블랙마켓을 안가봐서 모르겠다.)

그런데 정부가 감청을 위해 SNI를 사용한다? 감청을 하고 싶었으면 다른 여러방법 중 몰래 쓸 것이다.(정부도 감청은 불법이다.)

그럼 SNI가 무엇인가?

정말 가볍게 설명하자면 그물망이다. 인터넷은 물의 흐름처럼 흘러가고 있고 이에 따라 물고기들이 원하는 곳에 가며 자기가 전달하고 싶은 것을 전달한다라고 상상해보자 그런데 이 강을 관리하는 업자(ISP업체 : KT, SKT, LGT)가 이 사이즈 물고기 이상(방통위가 정한 불법 사이트)는 지나가면 안되라고 그물망을 친거고 그래서 걸리는 것이다. 물론 그물망에 물고기가 쌓이면 물이 흐르지 못하고 뒤에 다른 정상 물고기가 지나가지 못하는 것처럼 인터넷은 트래픽 때문에 한곳에 오래 있지 못하기에 소멸될 것이지만 일단 다른 강물로 지나가지 못하고 원하는 사이트를 보지 못하게 된다. 

물론 일부 사이즈 이상이 되는 선한 물고기도 있을 것이며 그외에 다른 것들도 그물에 걸릴 위험이 있고 그로인해 꼭 지나가야하는 트래픽이 못지나 갈 수 있는 문제가 있지만 그래도 왠만큼의 불법 사이트를 거를수 있는 효과가 있다.

위에 적었지만 트래픽은 사라지기에 이를 통한 내용은 볼 수 없지만 그래도 자유민주주의에서 내가 원하는 서비스를 제공받지 못한다는 것은 헌법 위배이면서 여러 불법적인 사이트를 제거해야 하는 것은 옳은 일이라 볼 수 잇는 딜레마 상황이다.

또한 감청에 대해 다시 적지만 SSL 혹은 TLS를 통해 https를 보안하며 전송하는 것 이지만 이는 굉장히 구형 방식이다. 즉 원래 보안상으로도 이제는 많은 효력을 발휘하지 못하고 그로인해 오페라와 같은 여러 인터넷 어플리케이션 제공 업체는 다른 방식을 사용한다.(이는 SNI 뚫을 수 있다고 한다.)

ISP가 일부로 정보 제공하지 않는한 감청은 불가능 하니 걱정하지 말도록 하자 

마지막으로 위에서도 얘기했지만 뚫린 방법이다. 나오기도 전에 다른 App들이 제공하는 방식으로 이미 뚫려있는 기능을 왜 도입했으며 그로인해 선한 피해자들도 많은지 방통위와 ISP 업체는 좀 생각을 해보아야한다.