사이트를 유해 사이트로 분류하며 각 통신사에 차단 지시를 내리는 곳은 “방송통신심의위원회” 이다. 방송통신심의위원회의 차단 의결에도 불구하고, 불법 유해 사이트들 중에서 warning.or.kr 페이지를 회피 기동하는 곳이 심심치 않게 보인다.
이 사이트들은 크게 두가지로 부류로 나뉘어 진다. (1) 뉴토끼 처럼 도메인을 계속 구매하는 곳과 (2) IP 주소를 주기적으로 변경하는 곳으로 나뉘어 진다. 방송통신심의위원회(이하 방심위)에서 이미 상황을 알고 있음에도 여러 문제로 조치를 하지 못하고 있다. 이 글에서는 멀~~~리 떨어진 사람의 시선에서 상황을 다뤄보고자 한다.
1) 뉴토끼: 웹툰, 만화 공유 사이트. 저작권 이야기가 나오면 항상 언급되는 사이트이다.
2) IP를 주기적으로 바꾸는 곳은 요즘 많이 사그라졌다.
필자는 내부자·관계자는 아니다. 그러므로 이 글에는 틀린 부분이 있을 수 있다.
2015년 이전에는 도메인 주소로 차단
warning.or.kr 페이지는 아주 옛~날 부터 있었다. 이 시스템은 통신사에서 패킷을 분석해서 유해 사이트일 경우 특정 페이지로 넘겨버린다. 쉽게 이야기 해서 통신중인 데이터를 읽는다는 것이다.
과거에는 “도메인 주소”에 의거해서만 사이트를 차단했다. 즉, blog.esukmean.com 라는 도메인 주소만을 차단 기준으로 사용했다.
그러다가 ’15년에 문제가 제기됐다. “몇년 전에 차단된 도메인”을 구입했는데, 이로 인해서 한국 내에서 사이트 접속이 안되는 문제가 생긴 것이다. (‘마우스박스’가 ‘쥐박이’?···왜 불법유해 사이트로 지정 했을까, 매일경제, 아카이브) 현실에 비유하자면, AAA건물이 불법 도박장이라고 폐쇄 조치를 한 상황에서 다른 누군가가 AAA 건물을 산 상황이다. 소유권이 바뀌었는데도 “AAA건물” 이면 무조건 차단! 인 상태여서 문제가 됐다.
현실에서도 이사를 하거나 아파트를 분양 받듯이, 도메인 주소도 구매할 수 있다. 돈만 있으면 도메인 주소를 마음껏 구매하고 사용할 수 있다.
그래서 조금 있다가 (도메인 주소 + IP 주소) 조합이 일치하는지 확인하도록 차단 로직이 바뀌었다. 도메인 소유권자가 바뀌면 서버 IP는 99.999% 확률로 바뀔테니 좋은 파훼책이다. 이 방법을 적용하고 나서는 위와 같은 선량한 피해자가 없어졌다.
그러면 도메인은 그대로 쓰고, ip만 바꾸면?
이전에는 도메인 주소만 맞으면 무조건 차단 정책을 사용했다. 하지만 이제는 ip주소까지 일치해야 한다. 그걸 알아첸 불법 사이트들은 “주기적으로 IP 바꾸기” 라는 파훼책을 들고왔다. 그러면서 “영구 주소” 라는 개념이 생겨났다. warning.or.kr로 인해 차단되면 새로운 IP인 서버를 옮겨서 차단 시스템이 작동하지 않게 했다.
이것을 알게된 것은 2020년도 경이다. 이때만 해도 알음알음 알려진 내용이었다.
그러다 최근에 나무위키를 보니까 이에 대한 언급이 있어서 글을 쓰게 됐다.
필자의 경험 (2020년)
특히 “영구 주소” 꼼수는 방심위의 방만한 운영에 의해 더욱 가속화 됐다. 아래 내용은 필자가 실제로 2020년에 겪은 일이다.
필자는 과거에 어느 사이트 운영을 도와주고 있었다. 이 사이트에는 카지노 광고가 종종 올라왔다. 광고 글이 올라올 때 마다 글을 삭제하는 한편, 방송통신심의위원회에 매번 신고를 했다. 왠만한 사이트들은 전부 차단 됐다. 하지만 특정 사이트는 차단 요청을 해도 아래와 같이 매번 각하 판정이 나왔다.
안녕하십니까. 방송통신심의위원회입니다.
정보통신의 건전한 문화 발전에 관심을 가지고 신고해주셔서 감사합니다.
해당 신고정보는 기존에 동일한 정보에 대해서 심의결정이 이루어졌거나 현재 심의가 진행되고 있는 경우에 해당하여 각하(중복신고)로 처리되었음을 알려드립니다.
계속해서 광고글이 들어오던 상황이었으므로, 각하 판정을 받을 때 마다 신고를 다시 했었다. 그럼에도 똑같이 각하 판정을 받았다. 이게 뭔 일인가 해서 방심위에 전화를 걸어서 물어봤더니, 다음과 같은 답변을 얻었다
- 방심위는 도메인 소유자가 바뀌거나 했을때의 보호를 위해서 서버IP하고 도메인이 둘다 일치해야지 차단됨.
- 그럼 1시간마다 IP가 바뀌면 답 없냐? -> ㅇㅇ.. 현재로선 안된다
- 기술적인 한계로, 차단 할 수 없는 사이트가 존재함
해당 카지노 사이트는 IP 주소 변경으로 평생 주소를 만들었다. 최초에 신고를 했을때 (aaaa.com + 1.1.1.1)에 대해 차단 결의가 났다. 그러자 해당 사이트는 (aaaa.com + 1.1.1.2)로 IP 주소를 바꾸었다. 이러면 당연히 사이트 차단이 이루어지지 않는다.
여기까지는 이해한다. 그런데, 차단 신고가 들어오면 aaaa.com에 대해 심의가 돼어있으므로 무조건 각하 판정을 내렸다. 즉, (aaaa.com + 1.1.1.2)에 대한 차단 심의자체를 하지 않았다는 것이다. 실제로 접속되는 사이트라면 확인을 해야하는데, 그러지 않고 기계적인 각하만 계속 한 것이다.
전화로 따지니까 추가 설명란에 “IP가 바뀌어서 접속이 가능하니 이에 따른 차단 조치 바람”을 따로 적어 달라고 했다. 필자야 어느정도 이러한 상황을 안다고 치지만, 일반 시민들이 어떻게 알고 신고를 하겠는가? 필자만 하더라도 사이트 주소, 스크린샷, 설명까지 다 적었으나 반려됐었다. IP 주소가 바뀌어서 접속이 되더라도, 따로 표기하지 않으면 거들더 보질 않았다.
2020년의 상황이다. 현재는 어떨지 모른다.
요즘도 그러한가?
’20년도에는 IP가 exact match (정확히 일치) 해야 차단하는것으로 기억한다. 이 글을 작성하며 오늘 (2024년 12월) 확인 해 보니 아래와 같이 시스템이 조금 바뀐 것 같다. 이것은 curl -v --resolve simba05.com:443:172.67.189.235 https://simba05.com 와 같이 IP를 바꿔가며 접속 테스트를 해서 확인했다:
- 차단 도메인 목록이 존재한다
- 차단 IP 목록이 별개로 존재한다
- 차단 심의시 도메인 주소를 목록에 추가하고, IP 주소를 따로 추가한다
- 접속하는 사이트가 “차단 도메인 목록”에 존재하고, 접속 대상 IP가 “차단 IP목록”에 있을때 실제 차단이 이루어진다.
아래와 같은 예시를 볼 수 있다:
- ❌xvideos.com 주소 + ⭕깨끗한 IP = ⭕차단 없음
- ❌xvideos.com 주소 + ❌pornhub IP = ❌차단
- ❌xvideos.com 주소 + ❌불법 드라마 사이트 IP = ❌차단
- ⭕blog.esukmean.com 주소 + ⭕깨끗한 IP = ⭕차단 없음
- ⭕blog.esukmean.com 주소 + ❌pornhub IP = ⭕차단 없음
- ❌불법 TV 사이트 주소 + ❌xvideos.com IP = ❌차단
- ❌불법 TV 사이트 주소 + ❌다른 드라마 사이트 IP = ❌차단
- ❌불법 TV 사이트 주소 + ⭕깨끗한 IP = ⭕ 차단 없음
중요한 점은, 차단 도메인 목록과 차단 IP 목록이 독립적으로 운영된다는 것이다.
코드로 표현하자면 다음과 같을 것이다:
if (ban_domain.contains(domain) && ban_ip.contains(ip)) {
intercept_https();
}도메인 주소를 바꿔가며 차단 우회
이것도 주효하게 먹히는 전략이다. 예상되는 도메인을 미리 차단하는게 불가능한 시점에서, 방심위는 신고가 들어오는대로 차단해도 시간 격차가 발생할 수 밖에 없다. 크게 논란이 된 “뉴토끼” 같은데는 신속 심위를 한다고 한다. 하지만 일반적인 사이트들은 심위에만 거의 1달이 걸린다.
방심위는 대체사이트에 대해 즉각적인 ‘접속 차단’ 조치를 하고 있으나, 접속 차단이 되기까지 4일 정도의 시일이 소요된다.
https://news.nate.com/view/20240821n24832 (아카이브)
사전에 의심되는 도메인을 차단하기에는 위험 부담이 크다. 예를 들어, 숫자를 몇 십~몇 백개 단위로 넘어 뛸 수 있다. 그 사이사이에 합법적인 사이트도 있을 수 있다. 상황에 따라 알파벳을 붙일 수도 있다.
게다가, 위의 (도메인 주소 + IP 주소) 차단 시스템 아래에서는 IP 주소까지 확인 해야한다. 미리 차단을 했는데, 새 IP를 가져온다면 답이 없다.
도메인 구매 비용은 1.5만원이다. 1.5만원에 짧으면 1주일 ~ 길게는 한 달을 운영할 수 있다. 불법 사이트들이 돈을 잘 번다면 이정도 비용은 사소할 것이다.
비용과 별개로, 위의 취약점(?)을 퍼뜨리진 않기에 다행이라고 생각한다. 만약 위에 언급한 IP를 바꾸는 방식이나 후술할 ech 방식을 썻다면 논란이 됐을 것이다.
ECH의 등장
조금 기술적인 이야기로 들어간다. HTTPS가 암호화 통신임에도 warning.or.kr은 사이트를 차단한다. HTTP 요청이 편지라고 했을때, 편지 겉면에 있는 배달 주소 정보는 암호화 되어 있지 않다. 편지 봉투 안의 내용은 암호화 되어 있지만, 그 겉면은 그렇지 않은 셈이다. 유해 사이트 차단 시스템은 이것을 활용한다.
문제는 시대가 발전함에 따라, 편지 봉투의 배달지 정보까지 암호화하는 시대가 됐다. 이 기술이 ECH이다. 현재 기술로서는 warning.or.kr 이들 사이트를 차단 할 수 없다. ECH 자체를 한국에서 못쓰게 하는 수준이 아니라면 막기 힘들다.
필자가 이 글을 쓰면서 정보를 수집할 때 curl 상에서는 connection reset이 발생하는데, 브라우저에서는 접속되는 사이트가 많아서 찾아보다 발견했다.
ECH는 브라우저 하단에서 이루어지는 작업이므로 사용자는 알아채기 어렵다. 필자도 Wireshark로 확인했다.
혹자는 IP 주소를 막으면 되지 않는가? 묻는다. 하지만 그러기에도 쉽지 않다.
하나의 IP 주소에 수백~수만개의 사이트가 연결되어 있을 수 있다. (CDN 서비스나 Load balancer 상태 등) 그러므로, 섣불리 IP 주소를 차단 했다가는 연관된 모든 사이트에 접속이 불가해 진다.
ECH는 Cloudflare를 사용하면 쓸 수 있다. Cloudflare의 무료 요금제만 써도 된다. Cloudflare에서 내쫒기지만 않는다면 warning.or.kr을 기술적으로 막을 수 있다. 특히 이 방법은 구조가 복잡하기 때문에, 차단 정책이 적용되기 까지 오랜 시간이 걸릴 것이다.
자료를 조사하며 확인하기에, 불법 사이트들이 Cloudflare를 많이 쓰고 있었다. 아마 ECH도 하나의 이유가 될 수 있을 것 같다. 지금이야 ECH의 대부분을 담당하는 Cloudflare에 차단 협조를 보낸다고 해도, 내년 5월만 돼도 어려울 것이다. (내년 4월에 일반 서버들에서도 ECH를 사용할 수 있을것으로 보인다.)
https 타입의 쿼리에 의존한다. DNS https 레코드에 있는 ECH정보에 따라서 ECH 연결을 구상한다.
ECH는 ECH 중계 서버의 이름을 빌리는 방식이다. 겉에서 보면 중계 서버 정보만이 보인다.
ECH는 CloudFlare에서 거의 유일하게 제공 중이다. CloudFlare는 짜피 중계서버 역할을 하고 있으니 쉽게 할 수 있는 영역이다.
일반 사이트에 적용하려면 LetsEncrypt 같이 누구나 쓸 수 있는 ECH 중계 서버가 필요할 것이다.
만약 불법 사이트에서 ECH를 직접 구현했다면, 해당 사이트의 ECH 서버를 차단하면 상황이 종료된다.
nginx는 OpenSSL에 의존하고 있는데, OpenSSL에서는 25년 4월 정도에 기능 추가가 될 것으로 예상한다고 하더라.
이 상황이 된다면 방심위가 어떻게 대응할 것인지 기다려봐야 알 수 있을것이다.
답글 남기기