중국이 인터넷 검열 시스템 '만리방화벽'을 통해 TLS 1.3과 ESNI를 적용한 HTTPS 트래픽 접속을 차단하고 있는 것으로 나타났다.
TLS 1.3과 ESNI는 사용자가 방문하는 웹사이트를 알 수 없도록 보안 수준을 강화한 통신 프로토콜이다. 이에 중국 정부가 해당 프로토콜 사용을 막아버리는 식으로 대응한 것이다.
검열 시스템을 추적하는 단체인 아이유포트, 만리방화벽 리포트(Great Firewall Report)와 메릴랜드 대학교는 중국 정부가 만리방화벽에 이같은 정책을 적용하는 업데이트를 실시했다고 지난 7일 합동 보고서를 통해 밝혔다.
TLS 1.3 이전 버전이나 SNI를 사용하는 HTTPS 트래픽의 경우 사용자가 연결하고자 하는 도메인이 노출될 가능성이 있다. 사용자가 어떤 호스트에 접속하려는지 서버에 알려주는 SNI 필드값 때문이다. 이 값은 암호화되지 않은 평문으로 노출된다. 만리방화벽 같은 검열 시스템에서 이를 참고할 경우 사용자가 어떤 사이트에 접근하는지 알 수 있다. 우리나라에서도 불법 사이트 접근 금지를 위해 SNI 필드값 기반 차단 기술이 쓰이고 있다.
TLS 1.3은 다르다. 검열 수단인 SNI 필드값을 암호화해주는 ESNI를 사용할 수 있다. 기존 방식으로는 검열이 불가능한 것이다.
보고서에 따르면 만리방화벽 시스템은 TLS 1.3과 ESNI가 사용되는 HTTPS 트래픽 연결을 차단하는 기능을 도입했다. 이 연결을 시도한 IP 주소도 2~3분 가량 인터넷 사용을 막는다.
중국 정부는 이 프로토콜을 사용하는 HTTPS 트래픽에 대한 검열이 어렵다고 판단, 이같은 조치를 취한 것으로 분석된다.
관련기사
- MS, 10월 오피스365에서 구형 TLS 퇴출한다2020.07.24
- 정부 HTTPS 불법사이트 차단 논란 4대 쟁점 분석2019.02.14
- 정부, 공공사이트 HTTPS '보안경고' 못 없앴다2018.12.27
- “해외서도 SNI 차단방식 쓰고 있다”2019.03.08
다만 이를 우회할 방법이 없는 것은 아니다. 보고서를 작성한 기관들은 이에 대해 현재 클라이언트가 사용할 수 있는 방법 6가지와, 서버에서 적용 가능한 방법 4가지를 발견했다고 밝혔다.
그러나 이는 장기적인 해결책이 아닐 수 있다는 전망도 내놨다. 중국 정부가 지속적으로 만리방화벽의 검열 기능을 고도화할 것이라는 게 이유다.