일본과 한국에서 최근 DNS over HTTPS가 언급되기 시작하다

인터넷을 이용하는 여러분은 HTTPS에 대해선 한 번쯤 보셨을 겁니다.
크롬 화면 위쪽 주소창을 보면 HTTPS로 시작하는 주소는 "안전함" 그렇지 않은 주소는 "안전하지 않음"이라고 표시하는데
작년부터 도입된 거죠. HTTPS 통신은 컴퓨터/스마트폰 등의 단말과 웹서비스를 제공하는 서버 둘만이 열어볼 수 있는 암호화된 통신으로 누군가 몰래 그리고 쉽게 들여다볼 수 없습니다. 크롬과 파이어폭스의 이런 변화는 HTTPS 통신 보급 캠페인의 일환입니다.

그럼 HTTP 통신은 무엇이 문제일까요. 일반 통신 HTTP는 암호화되지 않아 누구나 통신 내용을 열어볼 수 있습니다. 그렇기만 하다면 얼마나 다행일까요. 암호화되지 않은 통신은 누구나 열어볼 수 있으면서도 누구나 이 내용을 바꿔칠 수 있습니다. 이 내용이 웹서버나 단말에서 보낸 내용과 같은 지의 진위 여부를 확인할 수도 없습니다. 

일제의 방해로 이들의 만행을 말하지 못한 "헤이그 특사 사건"

일제강점기 네덜란드 헤이그에서 열린 제2회 만국평화회의에 특사 이준, 이상설, 이위종을 파견하려고 했던 건 기억하시나요? 너무 오래전 배운 거라 기억나지 않으신다면 간단히 설명드리겠습니다.

왼쪽부터 이준, 이상설, 이위종 (사진 출처: 위키백과)

1905년 11월 17일 체결된 을사늑약은 대한제국 황제의 뜻에 반하여 일본제국의 강압으로 이루어졌습니다. 이들은 이런 일이 있었음을 폭로하고 을사늑약이 불평등 조약임을 알리기 위해 1907년 개신교 감리교회의 지원을 받아 네덜란드로 날아갔습니다. 서방 언론에 접촉하고 회의 자리에 참석하려 했지만 일본의 방해로 회의에서 발언권을 얻기는커녕 이를 알아챈 일제에 의해 고종이 강제 폐위되는 사건이 일어났죠.

중간자 공격(Man-in-the-Middle, MitM Attack)이란?

이처럼 누군가 우리의 의지와는 상관없이 통신 내용을 감시하고 가로채거나 목적지와의 정보 전달을 방해하는 공격을 중간자 공격이라고 합니다.

암호화되지 않은 통신에선 이런 일이 우리가 알지 못한 채로 비일비재하게 일어날 수 있습니다. 크게는 국가나 통신사, 교육청, 학교/회사 보안팀 같은 거부할 수 없는 큰 힘이 작용하는 것도 있고, 작게는 곳곳에 공개된 무료 와이파이를 쓰는 것만으로도 그 와이파이에 누군가 심어둔 첩자에 의해 같은 일을 당할 수 있습니다.

중간자 공격의 개요 (출처: https://free.thesecurityawarenesscompany.com/downloads/man-middle-attack-poster/)

중간자 공격으로부터 안전한 암호화 통신

HTTPS 같은 암호화된 통신은 공개키 암호화 방식을 통해 둘만의 열쇠로 정보를 암호화해 내용을 다른 사람이 알 수 없고 이 정보가 둘만의 열쇠로 암호화 되었는지도 확인할 수 있어 누군가 끼어들었다 해도 쉽게 알 수 있습니다.

공개 키 암호화 지원 요소를 사용하여 디지털 서명의 암호를 해독하고 확인하는 순서 (출처: https://technet.microsoft.com/ko-kr/library/aa998077(v=exchg.65).aspx )

DNS over HTTPS, HTTPS를 통한 DNS 통신이란?

암호화 통신에 대해 간단히 이해했으니 DNS over HTTPS도 이해하기 쉽겠죠? 인터넷 주소를 접속할 IP 주소로 바꿔주는 도메인 이름 서버(DNS)와의 통신을 HTTPS 통신, 암호화 통신으로 하겠다는 뜻입니다. 지난 세월 HTTPS가 대중화되는 동안 DNS와의 통신은 변함없이 일반 통신으로 진행되어왔는데요. 이러면 누군가 DNS 통신 내용을 가로채 엉뚱한 사이트 또는 정교하게 만들어진 피싱 사이트로 여러분을 낚게 되겠죠? 최근 전기 전자 기술자 협회(IEEE)에 의해 DNS over HTTPS 표준 제정이 이루어지고 크롬과 파이어폭스 역시 이 기능을 테스팅 하고 있습니다. gHacks에 따르면 파이어폭스는 이르면 5월 중 버전 60이 출시되면 수동 설정 가능하며, 수 달 내에 DNS over HTTPS를 기본적으로 지원하게 될 것입니다.

그럼 왜 DNS over HTTPS가 언급되기 시작한 거야?

최근 문화체육관광부는 HTTPS로 접속 차단을 무력화시키는 불법복제 사이트의 접속을 막기 위해 패킷은 물론 DNS 요청도 검열하는 시스템을 제작하겠다고 했습니다. 우선적으로 DNS 요청을 warning.or.kr로 돌리는 방법으로 차단을 시행했는데 공교롭게도 일본에서도 NTT가 같은 목적으로 차단을 시작하겠다(일본어)고 밝혔습니다

(붙임 문서 참고) "해결 방안은 DNS 방식 접속 차단"

이런 차단을 우회하고자 사람들은 공권력의 영향력 밖에 있는 DNS를 찾아다닌 것입니다. 위에서 DNS와의 통신이 암호화되지 않은 일반 통신으로 진행된다고 말했는데요. 통신사나 국가가 이 해외로 가는 DNS 요청도 바꿔버릴 수 있다는 뜻입니다. 그래서 DNS와 내 컴퓨터만이 알 수 있는 열쇠로 인터넷 주소와 IP 주소를 암호화해 교환하는, DNS-over-HTTPS 기술이 쓰는 브라우저에서 지원되는 지에 대해 검색해보시는 것 같습니다. 이미 클라우드 플레어 DNS(1.1.1.1)나 구글 DNS(8.8.8.8)가 DNS over HTTPS를 지원하며 지원하는 브라우저는 컴퓨터의 DNS를 이걸로 바꾸는 것만으로 바로 적용을 받을 수 있습니다. 2018년 5월 10일 현재 파이어폭스 60부터 DNS 통신 암호화를 설정하실 수 있습니다. 컴퓨터 전체로 적용하시려면 프로그램이 필요한데 윈도 시스템에서는 윈도우 클리너와 칼무리로 잘 알려진 길호넷의 시크릿DNS를 '보호모드'로 사용해 DNS over TLS(DNS over HTTPS와 비슷하게 암호화 DNS 통신)를 적용하실 수 있습니다. 몇몇 커뮤니티에서는 cloudflared나 DNScrypt 등 여러 방법이 소개되고 있지만 시크릿DNS가 가장 간단한 것 같습니다. 안드로이드에서는 Jigsaw의 앱 Intra(영문)를 통해, iOS에서는 세르게이 스미르노프의 DNSCloak으로 DNS 통신 암호화를 적용하실 수 있습니다.

생각해보기: 지금은 범법 사이트 차단에 쓰이고 있지만 범법 사이트의 범위를 어떤 세력이 넓혀버린다면?

이런 정부의 검열 조치는 헌법 제18조 "모든 국민은 통신의 비밀을 침해받지 아니한다."와 이를 보장하기 위한 법령 통신비밀보호법을 위반한 것입니다. 법령을 지켰다고 주장한들 대다수의 시민들의 통신은 제3조(통신 및 대화비밀의 보호) 예외사항에 언급된 환부우편물등의 처리, 수출입우편물에 대한 검사, 구속 또는 복역중인 사람에 대한 통신, 파산선고를 받은 자에 대한 통신, 혼신제거 등을 위한 전파감시에 해당되지 않습니다. 제5조(내란죄, 도주 및 범죄은닉 등) 제7조(테러행위) 제8조(국가안보 위협 음모행위, 사망이나 심각한 상해 등)에 언급된 통신제한조치에 해당되지도 않을겁니다. 지금이야 불법 사이트로부터 시민들을 보호하겠다는 누구나 쉽게 납득할 만한 좋은 명분이 있습니다. 하지만 이 범위가 반정부 성향 사이트로 넓어지고 정부에 비판적인 해외 언론이 차단될 수도 있습니다. 위에서 설명한 것 같은 단속 무력화를 막기 위해 VPN과 해외 DNS를 하나 둘 막고 암호화 연결도 감시하겠다고 하면 어떨까요? 이 모든 것은 허구가 아닙니다. 현재 중국에서 일어나고 있는 일입니다.

중국은 통신 검열과 정보 통제에 있어서는 일인자입니다. 만 리 방화벽(The Great Firewall)이라고 부르는 장비와 강력한 수색 권한(공권력)으로 중국에서 주고받는 모든 통신을 실시간으로 검열하고 웹사이트들을 통제합니다. 구글, 트위터, 페이스북, 왓츠앱, 스카이프 등 굵직한 서비스는 아예 차단되어 있고 VPN 사용도 차단(영문)했으며 국가 하나로 유럽과 맞먹을 만큼 매출을 많이 차지하다 보니 애플처럼 중국 사용자 데이터를 중국 서버에 보관(영문)하도록 하는 등 이에 협조적으로 나서는 곳도 있습니다. HTTPS 등의 암호화 통신을 사용자 몰래 감시하고 검열하기가 힘드니 이를 금지하고 서버 데이터를 중국에 보관하도록 강제해 언제든 캐낼 수 있는 상태로 만든 것입니다.

현재 중국 정부는 공문서상 이름을 사용하지 않은 1천만 계정을 정지(영문)시키고 검열되지 않은 해외발 뉴스를 못 보게 막았으며(영문) 사람들이 암호화 통신으로 보호받는 채팅 앱들을 내린 데다(영문) 시진핑 주석과 오바마 대통령을 외모로 풍자한 곰돌이 푸우 그림조차도 검색하지 못하게 검색어 '푸우'를 막는 등 검열과 통제를 활용해 비판과 감시의 싹을 자르고 있습니다. 이쯤 되면 커다란 힘 앞에 우리가 할 수 있는 건 얼마 없을 겁니다. 불법 사이트를 국내에서만 차단한다고 해서 그들의 범죄가 잘 처벌받고 해결되는 것이 아닙니다. 수사력을 이용해 사이트 운영자와 최초 유포자를 추적해 본보기를 보여주는 것이 우선이라고 생각합니다. 국민 모두를 감시하는 것은 한국을 중국같은 자기검열사회로 만드는 것이므로 차단과 검열은 해결책이 아닙니다. 검열은 그렇게 멀리 있는 것도 아니고 그렇게 쥐여준 칼을 우리에게 겨누지 않으리란 보장도 없습니다. 우리가 검열의 칼자루를 누군가에게 쥐여줘선 안되는 이유입니다.