정부 HTTPS 불법사이트 차단 논란 4대 쟁점 분석

실효성·검열·법적근거·권리침해 측면 가치 잘 따져야

컴퓨팅입력 :2019/02/14 09:54    수정: 2019/02/15 11:59

정부가 해외 불법사이트 대상으로 새 접속차단 기술을 도입했다. 국내 인터넷이용자들이 HTTPS 방식을 적용한 온라인도박, 저작권침해, 불법촬영물 사이트에 접근하지 못하게 만들었다. 지난해 문화체육관광부, 방송통신위원회, 경찰청 부처합동 발표로 예고된 계획이었다. [관련기사 ☞ "HTTPS 적용된 불법사이트도 접속차단"]

정부는 'HTTPS SNI 필드 차단'이라는 낯선 용어로 표현되는 조치를 모든 국민에게 적용하겠다고 선언해놓고도, 애초 그게 무슨 의미인지, 어떻게 구현될지 설명하는 데 어려움을 겪고 있다. 그 결과가 국민 권익을 침해하지 않고 잘 작동할 것이란 믿음을 주지 못한 분위기다.

며칠 새 논란이 컸다. 일단 방송통신위원회(이하 '방통위')는 지난 12일 이런 계획을 발표했다. 당시 방통위는 그동안 HTTPS 사이트에 안 됐던 차단이 가능해졌고, 지난 11일 방송통신심의위원회(이하 '방심위') 통신 심의결과 차단결정 대상이 된 불법 해외사이트 895건부터 이 기술을 적용한다고 밝혔다.

방통위가 방심위 의결 해외 불법사이트 대상으로 HTTPS SNI필드 차단방식을 도입했다. 암호화된 패킷내용을 들여다보는게 아니라 접속하려는 사이트 정보를 바탕으로 연결을 막는 것인데, 이를 근거로 방통위는 검열이나 감청이 아니라 주장하고 비판하는 쪽에선 프라이버시 침해 우려가 크고 실효성이 없을뿐아니라 감청에도 해당한다고 지적하기도 한다. [사진=Pixabay]

반대 여론이 형성됐다. 지난 11일 HTTPS 차단 정책을 반대한다는 청와대 국민청원이 게재됐다. 작성자는 HTTPS 차단이 우회당할 여지가 많으며 '국가 검열'로 확대될 우려가 크다고 주장했다. 흐름은 거세졌다. 청원 사흘만인 14일 오전 현재까지 16만5천명 이상이 동의를 표했다.

방통위는 12일 오후 "SNI 차단방식은 암호화되지 않는 영역인 SNI 필드에서 서버를 확인해 차단하는 방식으로, 통신감청 및 데이터 패킷 감청과는 무관"하다며 "아동포르노물, 불법촬영물, 불법도박 등 불법사이트를 집중차단"한다고 밝혔지만, 이미 불거진 논란은 사그러들지 않고 있다.

■ 역대 불법사이트 접속차단 과정과 HTTPS 보편화에 따른 대응

차단의 대상 선정과 실제 차단 과정은 방송통신심의위원회(이하 '방심위')와 국내 인터넷서비스제공사업자(ISP)인 통신사들이 상호 연계해 수행된다. 방통위가 방심위 심의결과 불법사이트로 판단한 곳을 폐쇄하거나 차단하라고 민간업체인 ISP에 '시정요구'를 한다.

결국 ISP가 방통위 시정요구에 따라 접속차단을 하는 주체가 된다. 기술적으로는 이렇다. 방심위에서 차단목록을 만든다. 목록을 ISP에게 준다. 각 ISP는 인터넷 가입자들의 해외 사이트 접속요청 중 방심위가 건넨 목록의 차단대상을 향하는 게 있으면 걸러내고, 없으면 놔둔다.

다만 실제 접속차단 방식은 IP차단, DNS차단, URL차단 등 여러가지로 나뉜다. ISP가 가입자의 접속요청을 걸러낼 때 쓰는 목록이 무슨 값이냐에 따라 나뉘는 것이다. 무슨 값으로 접속을 차단하려느냐에 따라, ISP에서 무슨 통신장비에 어떤 조치를 할지 미묘하게 달라진다.

IP차단은 라우터 장비에서 불법사이트 IP주소를 차단한다. 이 방식은 단독 서버 기반 웹사이트가 아니라 웹호스팅업체의 공용 서버에서 여러 사이트가 개별 운영될 때 쓸 수 없다. 동일한 IP주소로 연결되는 서버에 불법사이트가 하나뿐이더라도 여러 웹사이트가 모두 차단된다.

DNS차단은 사이트 도메인명을 IP로 바꿔주는 DNS서버로 진행된다. ISP업체마다 관리하는 DNS서버에 불법사이트의 IP주소 조회가 들어올 때 차단안내페이지의 IP주소를 알려주는 방식이다. 이 방식은 이용자가 국내 ISP업체 대신 해외의 DNS서버를 이용해 우회할 수 있다.

URL차단은 사이트 전체가 아니라 하위경로까지 지정해 불법정보 연결을 막을 수 있는 방법이다. 이용자의 요청 패킷 중 HTTP 헤더에 들어가는 호스트정보를 식별해 차단할 수 있다. 이 방식은 HTTP 통신이 평문이라 가능한 것인데, 이를 암호화하는 HTTPS로 무력화된다.

■ '패킷 감청' 논란에 "내용 들여다보지 않아…감청 아니다"

방통위 김재영 이용자정책국장이 지난 13일 2019년 제7차 위원회 결과발표 자리에서 국민청원의 검열 우려, 감청 소지 문제제기에 재차 해명했다. 김 국장은 HTTPS SNI 필드 차단조치가 통신 감청·검열과 무관하며 표현의자유 침해에도 해당되지 않는다고 강조했다.

일단 국가차원의 인터넷 검열과 거리가 멀다는 이유로, 차단 ISP가 민간인으로 구성된 방심위 시정요구를 수용해 수행되는 절차로 운영된다는 점을 내세웠다. 그는 "시정요구에 따라서 차단하는 것이기 때문에 정부가 중간에 감청할 수 있는 구조가 아니다"라고 주장했다.

이어 SNI 차단 방식이 감청이 아닌 이유로, 암호화하지 않은 SNI 필드값만 확인한다는 점, 나머지 HTTPS 패킷을 암호화통신 특성상 누군가 가로채 열어봐도 내용을 알 수 없다는 점, 따라서 "정부가 이것을 검열하거나 감청하는 게 기술적으로도 불가능하다"고 설명했다.

이런 얘기다. 통신 패킷을 택배상자라고 치면 전달되는 데이터를 상자 속 내용물이라 할 수 있고, 데이터를 전달하는 데 필요한 송수신 관련 정보를 상자 겉의 택배송장이라 할 수 있다. SNI 차단은 내용물을 무시하고, 이미 노출된 송장만 보니까 감청, 검열이 아니란 논리다.

이를 받아들이더라도 논란거리는 남는다. 청원에서 지적한대로 여전히 우회가 가능하기때문에 실효성이 제한된다. 차단을 실행함에 따라 불특정 다수 국민의 권리가 잠재적으로 침해될 가능성도 제기된다. 그에 상응하는 법적인 근거가 갖춰져 있는지도 명확하지 않다.

■ SNI 필드 암호화하는 ESNI 도입 임박…예정된 시한부 해법

HTTPS SNI 필드 차단 방식은 기존 주요 차단 방식들이 효력을 잃자 도입됐다. HTTPS는 브라우저와 웹서버가 PKI 인증서 정보를 주고받아 접속을 체결한 뒤 모든 통신 내용을 암호화한 채 주고받는다. 패킷이 가로채여도 해독되지 않는다. 그런데 빈틈이 있다. SNI 필드다.

현재 통용되고 있는 기술 표준으로 HTTPS 암호화통신을 한다더라도, 여전히 최초에 어떤 서버의 무슨 사이트와 통신할 것인지를 암호화하지 않은 평문으로 노출하게 된다. 사용자가 웹서버에 보내는 패킷의 SNI 필드라는 자리에 그 값이 적혀 있다. 현존 표준의 한계다.

평문 노출된 SNI 필드의 빈틈을 메우려는 시도가 인터넷 세계에서 진행되고 있다. SNI 필드를 평문 노출하는 기존 HTTPS 규격은 TLS 1.2 표준을 구현한 것이다. 이를 보완한 TLS 1.3 표준이 나와 있다. SNI 필드값도 암호화하는 'Encrypted SNI'가 보급되면 현재 차단기법은 실효성을 잃게 된다.

지난 13일 방통위 측은 SNI 암호화 기술이 나와 통용되면 현재 차단 기술이 결국 무력화되지 않느냐는 물음에 "알고 있다"면서도 여전히 SNI 필드 차단 방식을 지속할 뜻을 밝혔다. SNI를 암호화한 기술이 보급되면 또 다른 차단 기술을 확보해 대응할 것으로 보인다.

다만 익명을 요구한 보안업계 전문가 A씨는 "이제까지는 차단기법이 대상의 변화를 줬을뿐 본질적으로 큰 변화가 없었는데 아마 Encrypted SNI가 도입되면 이번 SNI 필드 차단 방식을 찾아낸 것처럼 간단한 방법으로 다시 차단에 성공할 수 없을 것"이라고 전망했다.

나중이 아니라 당장 SNI 차단을 우회할 방법도 여러가지다. 이전부터 어떤 차단 방식을 쓰든 가상사설망(VPN) 서비스를 통해 해외 네트워크를 경유함으로써 우회가 가능했다. 또 이미 ISP가 구현한 HTTPS SNI 차단 방식의 허점을 파악하고 직접 차단을 깬 기법도 등장했다.

■ 권리 침해 소지 우려에 "피해자 보호" 우선 강조…일반 이용자 프라이버시는 논외

지난 12일 SNI 필드 차단 방식을 발표할 당시 방통위 김재영 국장은 "불법 해외 사이트에 대해서도 효과적으로 차단할 수 있을 것으로 기대된다"며 "디지털성범죄 영상물로 고통 받고 있는 피해자의 인권 보호와 웹툰 등 창작자의 권리를 두텁게 보호"하겠다고 예고했다.

방통위는 해외 불법사이트에 접속차단을 하는 것만으로, 해외에 남아 있는 복제된 저작물과 디지털성범죄 결과물로 지속될 피해가 효과적으로 줄어들 것처럼 주장한다. 하지만 불법사이트 접속 차단 조치로 막을 수 있는 건 '국내 유통'뿐이고, 그나마도 우회된다면 무의미하다.

국내서 접속이 차단된 사이트라 해도 이미 복제된 저작물이나 생성된 디지털성범죄 결과물은 계속 존재한다. 근본적으로 문제를 해결하려면 결국 접속차단이 아니라 해당 서버의 운영과 처분을 실행할 수 있는 국제사법공조가 필요하다. [관련기사 ☞ 해외사이트 퍼진 '리벤지 포르노' 삭제 백약무효] [관련기사 ☞ 불법 호스팅 '맥시데드', 국제사법공조로 폐쇄]

또 방통위는 12일 SNI 필드 차단 기법을 도입한 취지를 설명하며 "(HTTPS 방식으로) 불법정보를 과도하게 유통하는 일부 해외 인터넷사이트는 예외적으로 해당 사이트 전체를 차단하기도 했으나, 이는 표현의 자유 침해나 과차단의 우려가 있었다"고 밝혔다.

위원회 결과발표 자리에서 김재영 국장은 몇몇 시민단체를 거명하며 그들이 "정부가 인터넷을 규제하는 것에 대해 반대하는 입장을 알고 있지만, 헌법과 법률에 따라 표현의 자유도 제한될 수 있지 않느냐"며 "피해자 인권이나 사생활보호 측면을 이해해 달라"고도 언급했다.

■ 프라이버시 침해 소지…차단방식 실행과 통제 관점에 투명성 부족

불법사이트로 분류된 곳의 정보는 이미 불법이니 어차피 보호할 표현의 자유와 알 권리는 없다는 게 김 국장 발언 요지다. 다만 이 불법사이트로의 접속을 차단하기 위해 나온 SNI 필드 차단뿐아니라 그간의 여러 방식은 개인마다 추구할 수 있는 보안성을 적극 침해한다는 비판의 여지를 남긴다.

보안전문가 A씨는 "ISP가 어떤 정보를 불법사이트 차단 목적으로 본다고 해도, 일반인들은 그게 실제로 어디까지 볼지 알 수 없다"며 "HTTPS가 보안의 '기밀성'을 위해 만든 건데 그 SNI를 이용해 기밀성을 적극적으로 침해하는 것 아니냐는 의견을 제기할 수 있다"고 봤다.

업계에 따르면 ISP의 SNI 필드 차단 시스템은 기본 운영인프라와 별개로 그에 연결돼 실시간으로 패킷을 미러링하는 장비 형태로 구성된다. 이 장비는 방심위 차단목록과 일치하는 SNI값이 포함된 패킷의 접속을 차단하고, 그걸 보낸 클라이언트에 리디렉션 패킷을 보낸다.

방심위가 ISP에 불법사이트를 차단하라는 시정요구를 보낼 수 있다는 근거는 정보통신망법 제44조의 7(불법정보의 유통금지 등)에 있지만, 시정요구를 이행하려할 때 ISP가 이런 방식으로 하는 것이 다른 법적, 제도적 근거 없이 허용되는지는 불분명하다.

관련기사

방통위 측은 국내 ISP 7개사가 동일한 방식으로 SNI 필드 차단을 수행 중이라면서도 그 구체적인 방법에 대해선 밝히지 않았다. 또다른 보안전문가 B씨는 이런 법적으로 통제되지 않고 투명하지 않은 방식이 형사소송법 215조의 영장기반 압수수색 조항과 대비된다고 비판했다.

B씨는 "사이트를 연결해줄지 말지 검열하고 있고 내가 어느 사이트에 접속을 시도하는지 알게 되니 사생활 침해"라며 "압수수색을 할 때도 수색영장에 구체적으로 명시하듯 불법정보 유통 금지도 구체적으로 분류해 사유를 적어서 차단해야지 무조건 해선 안 된다"고 주장했다.