[칼럼] https를 차단한다?

안녕하십니까?

이번 포스트에서는 어제부터 인터넷을 뜨겁게 달구고 있는, 'https'에 관해 이야기해보겠습니다.

'https'를 한 번도 본 적이 없거나 모르는 분은 아마 없으실 겁니다.

컴퓨터와 인터넷을 처음 접했을 때를 생각해보면 우리는 'http://'를 수없이 봐왔고

저와 같이 쓸데없는 데 호기심이 조금 있는 사람이라면 한 번쯤 포털에 검색도 해보셨을 겁니다.

'http', 'http://'를 검색하면 '인터넷 데이터 통신 규약'이라는 쉽게 이해하기 어려운 용어와 함께 'Hypertext transfer protocol'이라는 더 이해하기 어려운 영어가 보입니다.

그리고 조금 쉽게 풀어준 문구도 보입니다.

'인터넷에서, 웹 서버와 사용자의 인터넷 브라우저 사이에 문서를 전송하기 위해 사용되는 통신 규약'이라는 문구 말입니다.

이것을 읽고 나면 약간의 배경지식을 동원해 무엇인지 알 수 있습니다.

인터넷에서 사용되는 웹 문서(HTML 등) 형식의 데이터를 전송하기 위해서 사용해야 하는 통신 규약이 있는데 'http'로 시작하는 통신 규약이 있다고 이해할 수 있습니다.

'http'는 1989년 설계되어 지금까지 약 30년 동안 인터넷에서 수많은 정보를 텍스트로 전달하게 해줬는데

이를 네트워크 제공자나 관리자 혹은 정체불명의 누군가가 전송 신호를 가로챈다면

http 서버를 통해 데이터를 주고받으려는 사람의 데이터가 원치 않게 유출될 수 있습니다.

이러한 허점으로 해킹, 데이터 유출 및 조작 등의 다양한 범죄가 발생하자

데이터를 주고받는 사람만이 알 수 있는 방식으로 데이터를 암호화하는 방안을 꾀하고 이것이 바로 'https'가 도입되는 계기가 됩니다.

'https'는 http, Hypertext transfer protocol 뒤에 secure socket layer를 붙여 보안이 강화된 통신 프로토콜로

http와 마찬가지로 텍스트 형태의 데이터를 이용하지만 SSL(Secure Socket Layer) 혹은 TLS(Transport Layer Security) 등의 프로토콜을 이용해 세션 데이터를 암호화합니다.

이러한 보안 강화 통신 프로토콜을 지원하는 페이지의 경우 웹사이트 주소 앞에 'http://'가 아닌 'https://'가 붙습니다.

얼마 전 해당 블로그의 도메인을 제공하는 티스토리도 'https://'를 지원하게 되면서 티스토리의 수많은 블로거의 웹페이지도 이전보다 보안이 강화된 페이지가 되었습니다.

http://를 사용할 때보다 웹 페이지의 로드 속도는 느려질 수밖에 없지만 현대의 인터넷 속도, 서버와 네트워크의 환경 자체의 우수성으로 이러한 속도 저하는 체감하기 어려워졌기에

비슷한 속도에 데이터를 주고받는 사람의 데이터가 노출될 우려도 없고 결제 등을 위해 각종 응용프로그램을 사용하는 경우에도 정보 유출 걱정을 할 필요가 없습니다.

하지만 이는 또 다른 문제에 부딪혔고 그 때문에 'https'를 차단할 방법이 필요해졌으며 어제(11일), 이를 차단하기 시작했습니다.

'http'를 사용하던 시절, 남녀노소 따질 것 없이 'http://www.warning.or.kr'이라는 사이트의 존재를 알고 계실 겁니다.

불법·유해 사이트를 차단 안내 페이지로 만든 것으로 불법 도박, 불법 체육진흥투표권 판매, 불법 마권 구매대행, 불법 의약품 판매, 불법 의약외품 판매 및 허위 과대광고를 비롯해

불법 식품 판매 및 허위 과대광고, 불법 건강기능식품 판매 및 허위 과대광고, 불법 화장품 판매 및 허위 과대광고, 불법 의료기기 판매, 불법 마약류 매매,

성매매 및 음란, 상표권(위조상품 유통), 저작권(불법 복제물 유통), 안보 위해행위, 명예훼손, 초상권 침해, 잔혹·혐오 및 차별·비하 등으로

총 17개의 사이트 분야를 담당 기관을 정해 차단에 나섰으며 이는 위와 같은 위법을 넘어 불법을 저지르고 있는 유해 사이트를 차단하는 데 목적을 뒀습니다.

'http://www.warning.or.kr'의 페이지 하단에도 나와 있듯 운영자의 이의신청을 받고 있는데 이러한 조치에 당연하겠지만

한편으로는 '저러한 창구가 있어야만 하는 이유도 있다.'고 볼 수 있습니다.

즉, 억울한 피해자가 있을 수 있다는 말입니다.

그러한 상황에서 'https', 즉 'https://'로 시작하는 웹사이트는 위와 같은 차단 안내 페이지로 바꿀 수 없자 'https'를 차단할 방법을 생각하고 거기서 다소 위험한 방법을 생각해냅니다.

먼저 어제 시작한 'https' 차단 방법은 SNI 차단으로 TLS(Transport Layer Security)의 확장 표준 중 하나이자 인증서에서 사용하는 방식의 SNI(Server Name Indication),

이를 사용해 하나의 웹 서버에서 여러 도메인의 웹사이트를 서비스하는 경우에도 'https'를 사용할 수 있게 하는데 이를 차단하는 것입니다.

서버 이름을 암호화하지 않기 때문에 특정 서버에 접근이 이뤄지고 그 서버가 서비스하는 웹사이트에 문제 될 소지가 있다고 파악되면 그 서버를 차단하는 방식입니다.

불법·유해 사이트를 차단하는 목적이나 결국 이는 '패킷을 감청할 수 있다.' 혹은 '패킷을 감청하는 것이다.'라고 볼 수 있습니다.

이미 지난해 10월, 인터넷 회선을 통해 이동하는 모든 정보를 중간에 가로채 감청하는 '패킷 감청'이 헌법 불합치 결정 즉, 위헌의 소지가 있다고 봤는데

SNI 차단과 같은 조치가 결국 그러한 위헌 소지가 있는 방식이라는 것입니다.

조금 격한 표현을 사용하자면 제정신이 박힌 사람 중 불법 도박, 불법 의약품, 마약류, 의료기기를 판매하는 것이나 상표권, 저작권 위반을 '봐주자', '어떻냐'고 할 사람이 어디 있겠으며

성매매 및 음란의 경우 합법화를 하자는 목소리, '성인이 성인물을 보는 걸 나라가 막는 이유가 뭐냐'는 나름 일리 있는 반발이 있지만

리벤지 포르노, 아동·청소년 이용 음란물, 몰카 등의 영상물을 공유할 수 있다는 우려, 그러한 사이트는 명백한 불법 사이트라는 점에서 이를 '봐주자'고 하는 사람이 어디 있겠습니까?

차단하고자 하는 이유, 필요성에 대해 공감하지 않은 사람은 거의 없겠지만 방식은 분명히 문제가 될 것이라는 게 개인적인 생각이고

아마 청와대 국민청원 등으로 자기 생각과 의견을 얘기하는 사람의 생각과도 맥을 같이할 것입니다.

대한민국 헌법 제18조에 따르면 모든 국민은 통신의 비밀을 침해받지 않는다고 하고 있고

과거 카카오톡 메신저 프로그램의 수사기관 감청 협조 및 검열 논란 당시 그리고 테러방지법을 논의하던 당시 격렬하게 반대했던 것이 현재의 여당이고 현재의 대통령입니다.

뿐만 아니라 현대기아차를 비롯한 자동차의 '차량 원격 제어 서비스' 역시 차량을 도난당했을 때 차량의 위치를 알 수 있거나 내비게이션 등 길 찾기를 할 수 있다지만

내비게이션 설정 정보, 즐겨찾기, 최근 목적지, GPS 정보, 주행 일자, 주행 거리, 운행 시간, 평균 속도 등을 서버로 주기적 혹은 간헐적으로 전송되고 있었습니다.

카카오톡이 수사기관에 감청을 협조하고 검열을 할 수 있다는 취지와 테러방지법의 취지를 비롯해 이러한 개인정보에 접근하려는 시도를 담은 각종 행위와 법안의 취지는 지금과 크게 다르지 않습니다.

다만 그러한 행위가 이뤄지고 법이 통과될 경우 일어날 무분별한 감청, 취지를 지키기 위해 과도한 행위가 일어날 수 있다는 우려가 있었고

이에 대한 반발로 카카오톡은 수사기관 협조 중단을 밝혔고 테러방지법은 필리버스터를 통해 저지되었습니다.

지금도 마찬가지입니다.

전 세계 추세에 맞춰 더욱 진보된 보안 체계를 가진 프로토콜을 도입했지만 불법·유해 사이트를 차단하겠다는 목적하에

인터넷 서비스를 제공하는 중간자 혹은 다른 누군가가 이를 들여다본다는 것입니다.

국가 차원에서 개개인의 통신을 들여다볼 방법이 만들어졌고 이는 그러한 권한을 가진 사람 혹은 그 사람에게 지시를 내릴 수 있는 사람이나 임명권자의 의지에 따라

취지에 맞게 얼마든지 지금보다 더욱더 강화된 기준이나 입맛에 맞지 않는 사이트를 차단하는 등으로 변모할 수 있습니다.

우리는 만화와 같은 저작권자가 명백한 콘텐츠를 불법 유통하는 사이트와 각종 불법 식약품을 판매하는 사이트,

음란물을 내려받을 수 있게 하는 사이트 혹은 스트리밍 사이트가 차단된다는 것을 이전부터 알고 있었고 아쉽더라도 이를 이해하지 못하진 않았습니다.

앞으로도 위와 같은 사이트가 활개를 치는 걸 막아야 하고 이로부터 모든 국민을 보호할 수 있어야 합니다.

하지만 그러한 방법과 힘을 모든 사람의 웹사이트 방문 기록을 보거나 서버를 뒤져 찾아내는 식이면 곤란하고 소수가 이를 좌지우지할 수 있으면 안 됩니다.

또 이를 피하는 방법이 지나치게 알려질 경우 오히려 불법·유해 사이트를 찾는 사람에게 아주 좋은 방법을 알려주는 계기가 될 것이며

이는 그 사이트를 모르고 있던 사람에게도 일종의 호기심을 자극하고 '사볼까?' '해볼까?' 하는 생각이 있는 사람에게는 진입 장벽 자체를 매우 낮춰주는 효과도 있습니다.

차단하더라도 이를 피할 방법은 무수히 생겨날 것이고 이러한 것은 '그러한 행위가 위법 혹은 불법이므로 하지 말아야 하고 이를 하다 적발되면 엄벌에 처한다.'고 말하는 것보다

더 많은 예산이 요구되지만 실제 효과는 그 누구도 담보하지 못하고 확실치 않은 대책에 그칠 것입니다.

자유로운 웹페이지의 개발 및 운영을 방해할 소지 역시 다분하며 이는 쉽게 생각하기 어려운 유튜브 차단까지 하는 중국의 차단 정책과 크게 다르지 않다고 생각합니다.

현재 청와대 국민청원 및 제안에 제시된 'https 차단 정책에 대한 반대 의견'은 7만명에 가까운 청원 동의를 받고 있습니다만

기준인 20만명이 넘어도 이러한 차단을 철회할 가능성은 없다고 봐도 될 겁니다.

이미 청와대 국민청원 및 제안에 성별, 특정 계층을 대변한 청원과 그렇지 않더라도 대답하기 곤란한 청원의 경우 요리조리 피해왔다고 봐도 될 정도로 무책임한 답변이 있었습니다.

단지 높고 훌륭하신 분들이 그러한 청원이 올라온 이유와 사람이 동의하는 이유에 대해서 지금보다 조금 더 객관적인 시각으로 바라봐주길 바랄 뿐입니다.

필자는 혹자와 마찬가지로 누군가는 이 글을 읽고 '음란물을 보지 못하게 되었으니 발악하는 XX'로 치부 당할 것을 알고 있음에도 통탄한 마음으로 이 글을 작성했습니다.

머지않아 '이를 특집으로 다룰 준비를 해야 할 것 같다.'는 생각도 들고 이해하기 힘든 방식으로 차단을 해야 한다고 생각해야 하는 사람의 생각은 무엇인지 정말 궁금할 따름입니다.

여러분의 생각은 어떠하십니까?

끝까지 읽어주셔서 감사하고 저는 내일 또 다른 카테고리의 포스트로 인사드리겠습니다.

(위 이미지를 클릭하시면 블로그의 첫 페이지로 이동합니다.)