가생이닷컴>커뮤니티 > 이슈 게시판 > 한국 정부가 SNI 감청, DNS 변조(스푸핑)같은 사실상 해킹행위로 겸열을 추진하는데

HOME > 커뮤니티 > 이슈 게시판

작성일 : 18-10-19 08:17

한국 정부가 SNI 감청, DNS 변조(스푸핑)같은 사실상 해킹행위로 겸열을 추진하는데

글쓴이 : KhaiTas

모두 아시다시피 https 보안프로토콜 때문에 대부분의 통신 내용이 암호화되었고,

기존의 방식으로는 정부의 입맛에 맞게 사이트를 차단할 수 없게 되었죠.

따라서 정부는 일단 급한대로 DNS의 통신은 평문으로 이루어지기 때문에, 그 통신 내용을 가로채 warning.or.kr(워닝 사이트)로 낚는 방식을 사용하기로 한겁니다. (DNS 스푸핑)

하지만 이 방식은 클라이언트(사용자)가 DNS 서버 주소를 바꾸기만 하면 바로 우회할 수 있기 때문에, 사실상 별 효과가 없죠.

따라서, 또 다른 방법을 찾다가 암호화 되지 않은 부분인 SNI 패킷을 건드리기했습니다. 이건 DNS 변조처럼 간단하지 않아서, 차단 방식 개발에 시간에 필요하다고 하죠.

통신할 때 주고받는, 서버 네임을 보여주는 패킷을 감청해서 해당 포트를 차단해버리는 방식이죠. 내년부터 적용될 예정이구요.

암울한 이야기처럼 들리지만, 이제 윗 내용은 다 소용없는 일이 될 것이라고 생각햡니다.

제 생각에는 이번 정책은 또 하나의 세금 낭비 중 하나가 될 것 같군요.

왜냐하면 DNS랑 SNI가 이제 통신상에서 암호화 될거거든요.

파이어폭스 나이틀리버전에서 이미 Dns over Https (DOH)와 ESNI (Encrypted SNI)를 모두 지원하고 있어요.

파폭 정식 버전은 DOH까지만 지원하지만, 아직 SNI 감청이 시행되지 않았으므로, 이쪽을 써도 될듯 합니다.

적용방법은 https://blog.naver.com/hentai1783/221369904441를 참고하시구요.

브라우저 자체에서 지원하기 때문에, 아주 간단하게 적용할 수 있습니다.

최근 헌법 재판소가 수사기관에서 무분별한 패킷 감청하는거 위헌 때린 것 같던데,

앞으로 이 정책을 계속 추진할 수 있을지 모르겠습니다.

사실 SNI 감청이나, DNS스푸핑 같은 것은 암호화되지 않은 패킷을 까보는 해커들의 흔한 해킹 기법 중 하나이고, 정부가 지금 똑같은 짓을 하려고 하는데, 저는 도저히 옹호할 수가 없네요.

정부가 전 국민을 상대로 통신비밀보호법을 위반하는 행위일 뿐 만 아니라, 불법적인 내용이 포함된 정보라고 해도 그것을 단순히 열람하는 것은 결코 불법이 아니기 때문입니다.

결국, 저작권 위반 사이트나, 국내 몰카 같은 불법 정보를 유통하는 사이트의 '서버'를 직접 수사하여 박살내야 합니다.

이게 안 되는게 아니거든요.

밤토끼나, 토렌트걸 같은 사이트도 결국 부산지방경찰청이 직접 서버를 압수하고, 운영자를 검거한, 사례가 있지 않습니까?

이런 임시 방편 정책은, 직접 수사는 하기 싫고, 능력 없고, 귀찮다는 말로 밖에 들리지 않네요.

행정편의주의적 발상에서 나온 정책이라고 생각합니다.

출처 : 해외 네티즌 반응 - 가생이닷컴https://www.gasengi.com

22세. 남자

가생이닷컴 운영원칙
알림:공격적인 댓글이나 욕설, 인종차별적인 글, 무분별한 특정국가 비난글등 절대 삼가 바랍니다.



		미친파리 18-10-19 08:30 정부가 하는일이 이래요 한치앞을 내다보지 못하는 온통 따데 정신이 팔려있어서 정부가 하는일이 이래요 한치앞을 내다보지 못하는 온통 따데 정신이 팔려있어서



		KhaiTas 18-10-19 08:32 또 그냥 흐지부지 되고 끝나겠죠. 이건 헌법도 헌법이지만, 헌법 이전에 법률부터 위반하고 있습니다. 또 그냥 흐지부지 되고 끝나겠죠. 이건 헌법도 헌법이지만, 헌법 이전에 법률부터 위반하고 있습니다.



		곰소문 18-10-19 09:10 서버가 해외에 있으면 절차가 너무 복잡하고 시간이 걸려서 우후 죽순으로 생기고 이동하는 서버를 제때 모두 잡을 수가 없으니 서버를 직접 수사해서 잡는 것도 해결책은 아니지 않나요? 서버가 해외에 있으면 절차가 너무 복잡하고 시간이 걸려서 우후 죽순으로 생기고 이동하는 서버를 제때 모두 잡을 수가 없으니 서버를 직접 수사해서 잡는 것도 해결책은 아니지 않나요?



		칼까마귀 18-10-19 08:34 그래서 닭그네 마티즈 국정원 사건이 터졌냐 아좀 정신좀 차려라 그래서 닭그네 마티즈 국정원 사건이 터졌냐 아좀 정신좀 차려라



		KhaiTas 18-10-19 08:39 전 전혀 관계없는 이야기를 하고 있는데요. 전 전혀 관계없는 이야기를 하고 있는데요.



		칼까마귀 18-10-19 08:41 파리 벌레에게 한 소리입니다. 파리 벌레에게 한 소리입니다.



		LikeThis 18-10-19 09:25 감청이란... 비밀스러운 통신내용을 엿듣는 것인데... SNI 필터링 기법은 전혀 감청이 아닙니다. SNI는 하나의 서버에서 여러 도메인을 서비스 할경우, 인증서를 서버의 어느 도메인으로 보내야할지 알려주는 것이므로, 모든 단계의 통신에서 열람이 가능한 목적지 정보일 뿐입니다. 특수한 기술을 사용해서 열어보는게 아니라 그냥 보입니다. 가슴에 달고 있는 명찰을 읽는 행위가 감청일수는 없겠죠. TSL 1.3이 확장 업데이트를 통해 SNI가 암호화되지 않는 취약점을 업데이트 할 예정입니다. 감청이란... 비밀스러운 통신내용을 엿듣는 것인데... SNI 필터링 기법은 전혀 감청이 아닙니다. SNI는 하나의 서버에서 여러 도메인을 서비스 할경우, 인증서를 서버의 어느 도메인으로 보내야할지 알려주는 것이므로, 모든 단계의 통신에서 열람이 가능한 목적지 정보일 뿐입니다. 특수한 기술을 사용해서 열어보는게 아니라 그냥 보입니다. 가슴에 달고 있는 명찰을 읽는 행위가 감청일수는 없겠죠. TSL 1.3이 확장 업데이트를 통해 SNI가 암호화되지 않는 취약점을 업데이트 할 예정입니다.



		KhaiTas 18-10-19 09:42 그렇습니까. 저는 모니터링이라는 의미에서 '감청'이라는 단어를 사용한 것입니다만, 딱히 암호화되어 있지 않은 평문의 패킷이여도 통신의 대상이 아닌 제 3자가 들여다 본다는 것으로 해석할 수 있지 않을까요. 그렇습니까. 저는 모니터링이라는 의미에서 '감청'이라는 단어를 사용한 것입니다만, 딱히 암호화되어 있지 않은 평문의 패킷이여도 통신의 대상이 아닌 제 3자가 들여다 본다는 것으로 해석할 수 있지 않을까요.



		나이트위시 18-10-19 09:43 ??? 감청이 비밀스러운 통신내용을 엿듣는 것이다?? 아닙니다. 「통신비밀보호법」은 감청을 “전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 음향·문언·부호·영상을 청취·공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송·수신을 방해하는 것을 말한다”고 규정하고 있다(제2조 제7호). 전화도청(wiretapping)과 전자도청(electronic eavesdropping)이 포함된다. https://terms.naver.com/entry.nhn?docId=572407&cid=46625&categoryId=46625 그리고 SNI 차단의 경우 헬로 패킷 오가는 과정 중에 그 패킷을 열어서 암호화가 안 되있는 호스트네임을 변조하는 방식이고 암호화가 안 된 호스트 네임이라도 패킷을 열어보지 않는 이상 안 보입니다만?? 보안업계 관계자는 “도메인 차단의 경우 국외 DNS 설정 등 우회하는 게 너무 쉽다. SNI 차단도 서버 쪽에서 SNI 처리하는 부분을 바꿔버리면 된다”며 “도메인 차단 뿐만 아니라 SNI 차단도 기존의 패킷을 열지 않고서는 할 수 없는 건데, 뭔가 사고가 나야 정부도 심각성을 가질 것 같다”고 말했다. https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=014&aid=0004099389 ??? 감청이 비밀스러운 통신내용을 엿듣는 것이다?? 아닙니다. 「통신비밀보호법」은 감청을 “전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 음향·문언·부호·영상을 청취·공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송·수신을 방해하는 것을 말한다”고 규정하고 있다(제2조 제7호). 전화도청(wiretapping)과 전자도청(electronic eavesdropping)이 포함된다. https://terms.naver.com/entry.nhn?docId=572407&cid=46625&categoryId=46625 그리고 SNI 차단의 경우 헬로 패킷 오가는 과정 중에 그 패킷을 열어서 암호화가 안 되있는 호스트네임을 변조하는 방식이고 암호화가 안 된 호스트 네임이라도 패킷을 열어보지 않는 이상 안 보입니다만?? 보안업계 관계자는 “도메인 차단의 경우 국외 DNS 설정 등 우회하는 게 너무 쉽다. SNI 차단도 서버 쪽에서 SNI 처리하는 부분을 바꿔버리면 된다”며 “도메인 차단 뿐만 아니라 SNI 차단도 기존의 패킷을 열지 않고서는 할 수 없는 건데, 뭔가 사고가 나야 정부도 심각성을 가질 것 같다”고 말했다. https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=102&oid=014&aid=0004099389



		KhaiTas 18-10-19 09:46 어차피 TPP 가입하면 차단 정책 폐지 해야겠지요. 아마 오래 못갈겁니다. http://www.fnnews.com/news/201808151442439081 어차피 TPP 가입하면 차단 정책 폐지 해야겠지요. 아마 오래 못갈겁니다. http://www.fnnews.com/news/201808151442439081



		나이트위시 18-10-19 09:52 SNI차단 방식 도입하고 TPP하고는 아무 상관도 없는 건데요? SNI차단 방식 도입하고 TPP하고는 아무 상관도 없는 건데요?



		KhaiTas 18-10-19 09:59 TPP에서 요구하는 가입 조건들 중 하나가 국경 간 데이터 전송을 완전하게 허용하는 것으로 알고 있습니다. TPP의 가입국은 해외 사이트의 접속을 차단해서는 안 되고, 해외에서 구매하는 소프트웨어/게임/영상물에 세금을 부과하거나 금지해서는 안 된다고 합니다. 결국 TPP에 가입하려면 대한민국 정부는 http://warning.or.kr�� 없애야 하고, 게등위와 방심위의 인터넷 규제에 대한 권한을 대폭 축소시켜야 겠지요. TPP에서 요구하는 가입 조건들 중 하나가 국경 간 데이터 전송을 완전하게 허용하는 것으로 알고 있습니다. TPP의 가입국은 해외 사이트의 접속을 차단해서는 안 되고, 해외에서 구매하는 소프트웨어/게임/영상물에 세금을 부과하거나 금지해서는 안 된다고 합니다. 결국 TPP에 가입하려면 대한민국 정부는 http://warning.or.kr을 없애야 하고, 게등위와 방심위의 인터넷 규제에 대한 권한을 대폭 축소시켜야 겠지요.



		LikeThis 18-10-19 10:04 패킷을 열어서 목적지를 알아야 전달할게 아닙니까... 집배원이 배달할 주소를 모르고 어떻게 편지를 전달해요? 그리고 패킷은 그냥 데이터 덩어리입니다. 열고자시고 하는거 아닐텐데요. 패킷을 열어서 목적지를 알아야 전달할게 아닙니까... 집배원이 배달할 주소를 모르고 어떻게 편지를 전달해요? 그리고 패킷은 그냥 데이터 덩어리입니다. 열고자시고 하는거 아닐텐데요.



		KhaiTas 18-10-19 10:08 택배물 위에 적혀 있는 주소를 정부가 하나하나 볼 수 있다는 것이 문제겠지요. 님 말대로 SNI는 암호화될 것이긴 하지만. 택배물 위에 적혀 있는 주소를 정부가 하나하나 볼 수 있다는 것이 문제겠지요. 님 말대로 SNI는 암호화될 것이긴 하지만.



		LikeThis 18-10-19 10:08 우체국이 어리둥절 하겠네요. 우정사업본부도 정부기관인데요. 우체국이 정부가 국민을 감시하는 감청기관이었다니...ㅎㄷㄷㄷ 우체국이 어리둥절 하겠네요. 우정사업본부도 정부기관인데요. 우체국이 정부가 국민을 감시하는 감청기관이었다니...ㅎㄷㄷㄷ



		KhaiTas 18-10-19 10:17 그렇네요. 뭐 정부는 아니라고 하니까. 그렇네요. 뭐 정부는 아니라고 하니까.



		Sulpen 18-10-19 13:53 이건 LikeThis님이 말장난 하시는거 같네요. 집배원의 경우 편지지에 적혀있는 배달할 주소를 보지만, 그 배달할 주소를 편지지에 개개인이 적는 이유는 보내는 목적지를 집배원이 확인해서 보내주길 바라는 목적이 있던겁니다. 만약에 이걸 암호화해서 집배원이 모르는 상태로 배달이 가능했다면 그렇게 했겠지만 아직 그런 수준의 기술은 개발되지 않았습니다. 즉, 현실적으로 집배원이 주소를 보는건 보내는 사람과 받는 사람, 그리고 우체국 모두 다 동의하는 사안이라는 겁니다. 반대로 온라인 상태에서 보내는 정보는 대부분 중간 운송자가 저장하지 않는 방식을 통해서 목적지를 모르는 상태로 배송이 가능하고 그런 이유로 대부분의 온라인 사용자는 그 정보를 중간대상자가 모르도록 하기를 원합니다. 요즘은 온라인 가입이라거나 결제시에도 개인정보를 사이트에서 직접 확인하지 않고 간접확인토록 하도록 정책이 바뀐 이유도 이와 유사합니다. 그런 상황에서 비록 패킷의 정보가 쉽게 보인다고 한들 그걸 일부러 들추는 방식은 분명 감청에 해당합니다(애초에 쉽게 보이지 않도록 암호화하는 추세이기도 합니다). 그 정보가 사적인 정보일수록 더더욱 문제가 되겠지요. 다만 정해진 법률적 사안과 요건을 갖추어서 사적인 정보더라도 정당한 열람이 되도록 제도를 세우려면 매우 엄격한 수준의 국민적 합의와 헌법적 기준을 갖춰야합니다. 보통 범죄 정보와 연루되었다고 판단될 경우 사적인 대화를 영장을 발부해서 열람 가능한 제도가 이에 해당하지요. 현재 정부가 어떤 수준에서 정확히 진행할지는 애매모호하지만 영장주의 수준에 합치하는 수준으로 법률과 제도가 갖춰지지 않는 이상 사후에 위헌 판결이 될 가능성이 높아보이는게 사실입니다. 이건 LikeThis님이 말장난 하시는거 같네요. 집배원의 경우 편지지에 적혀있는 배달할 주소를 보지만, 그 배달할 주소를 편지지에 개개인이 적는 이유는 보내는 목적지를 집배원이 확인해서 보내주길 바라는 목적이 있던겁니다. 만약에 이걸 암호화해서 집배원이 모르는 상태로 배달이 가능했다면 그렇게 했겠지만 아직 그런 수준의 기술은 개발되지 않았습니다. 즉, 현실적으로 집배원이 주소를 보는건 보내는 사람과 받는 사람, 그리고 우체국 모두 다 동의하는 사안이라는 겁니다. 반대로 온라인 상태에서 보내는 정보는 대부분 중간 운송자가 저장하지 않는 방식을 통해서 목적지를 모르는 상태로 배송이 가능하고 그런 이유로 대부분의 온라인 사용자는 그 정보를 중간대상자가 모르도록 하기를 원합니다. 요즘은 온라인 가입이라거나 결제시에도 개인정보를 사이트에서 직접 확인하지 않고 간접확인토록 하도록 정책이 바뀐 이유도 이와 유사합니다. 그런 상황에서 비록 패킷의 정보가 쉽게 보인다고 한들 그걸 일부러 들추는 방식은 분명 감청에 해당합니다(애초에 쉽게 보이지 않도록 암호화하는 추세이기도 합니다). 그 정보가 사적인 정보일수록 더더욱 문제가 되겠지요. 다만 정해진 법률적 사안과 요건을 갖추어서 사적인 정보더라도 정당한 열람이 되도록 제도를 세우려면 매우 엄격한 수준의 국민적 합의와 헌법적 기준을 갖춰야합니다. 보통 범죄 정보와 연루되었다고 판단될 경우 사적인 대화를 영장을 발부해서 열람 가능한 제도가 이에 해당하지요. 현재 정부가 어떤 수준에서 정확히 진행할지는 애매모호하지만 영장주의 수준에 합치하는 수준으로 법률과 제도가 갖춰지지 않는 이상 사후에 위헌 판결이 될 가능성이 높아보이는게 사실입니다.



		misang 18-10-19 09:49 문재인은 탄핵으론 모자란 정신병자 같아요. 감옥으로 보내야 함. 문재인은 탄핵으론 모자란 정신병자 같아요. 감옥으로 보내야 함.



		KhaiTas 18-10-19 09:51 문재인을 떠나서, 좌 우 논리를 떠나서 이건 대한민국 정부를 이루는 정치인들 전체가 문제입니다. 유해 사이트 차단의 역사는 10년이 넘습니다. 문재인을 떠나서, 좌 우 논리를 떠나서 이건 대한민국 정부를 이루는 정치인들 전체가 문제입니다. 유해 사이트 차단의 역사는 10년이 넘습니다.



		Binch 18-10-19 09:58 님이 더 그런 듯 님이 더 그런 듯



		incombat 18-10-19 09:50 감청 monitoring, 도청 sniffing. 스니핑이 그냥 트래픽을 보는 것이므로 도청, 감청은 네트워크 통신에서는 구별없이 쓰기도 하지만 일반 통신에서는 합법적으로 듣는 것과 몰래 불법적으로 듣는 구별이 있습니다. 그냥 트래픽을 패싱하는 것이 아니라 보고 필터링하면 네트워크 장비에 부하가 걸립니다. 사기업에서 정부의 행정 편의를 위해 손해를 보면서 이런 일을 해줘야 할 근거가 없습니다. 감청 monitoring, 도청 sniffing. 스니핑이 그냥 트래픽을 보는 것이므로 도청, 감청은 네트워크 통신에서는 구별없이 쓰기도 하지만 일반 통신에서는 합법적으로 듣는 것과 몰래 불법적으로 듣는 구별이 있습니다. 그냥 트래픽을 패싱하는 것이 아니라 보고 필터링하면 네트워크 장비에 부하가 걸립니다. 사기업에서 정부의 행정 편의를 위해 손해를 보면서 이런 일을 해줘야 할 근거가 없습니다.



		KhaiTas 18-10-19 09:54 하지만 국내 통신사들의 DNS는 사실 정부의 압력에 졌다고 해도 무방하겠지요. 동조하고 있습니다. 하지만 국내 통신사들의 DNS는 사실 정부의 압력에 졌다고 해도 무방하겠지요. 동조하고 있습니다.



		LikeThis 18-10-19 10:14 소속된 국가의 법과 정책을 따르는것이 기업의 의무죠. 소속된 국가의 법과 정책을 따르는것이 기업의 의무죠.



		호연 18-10-19 10:33 이명박근혜 정부때는 민간인 사찰이 드러난 적이 많았습니다. 실제로 경찰 법원 군 국정원 등 대부분의 국가기관이 이런 행동을 했었죠. 법과 원칙이 권력자에 의해 거의 무시되던 시절이어서 자라보고 놀란 가슴 솥뚜껑보고 놀라는 경우가 많았습니다. 이번 조치가 기술적인 우려가 있음에도 파장이 크지 않은건 기본적으로 각 정부에 대한 신뢰 수준이 다르기 때문일 것이라고 생각합니다. LikeThis 님의 댓글을 보면 SNI 암호화도 곧 이루어질 것이라고 하니 크게 우려할 일은 아닌 것 같네요. 다만 정책의 일관성이 잘 보이지 않고 중구난방한 느낌을 주기는 하는 것 같습니다. 이명박근혜 정부때는 민간인 사찰이 드러난 적이 많았습니다. 실제로 경찰 법원 군 국정원 등 대부분의 국가기관이 이런 행동을 했었죠. 법과 원칙이 권력자에 의해 거의 무시되던 시절이어서 자라보고 놀란 가슴 솥뚜껑보고 놀라는 경우가 많았습니다. 이번 조치가 기술적인 우려가 있음에도 파장이 크지 않은건 기본적으로 각 정부에 대한 신뢰 수준이 다르기 때문일 것이라고 생각합니다. LikeThis 님의 댓글을 보면 SNI 암호화도 곧 이루어질 것이라고 하니 크게 우려할 일은 아닌 것 같네요. 다만 정책의 일관성이 잘 보이지 않고 중구난방한 느낌을 주기는 하는 것 같습니다.



		반메흠 18-10-19 10:41 치안조무사들 세금 받아먹고서는 잡으라는 흉악범죄는 안잡고 사무실 의자에 기대서 손가락 까딱거리며 잡을 수 있는 야동이나 잡아대죠. 사람들이 피하는 방법을 알게되니 지들이 불법을 저지르는군요. CCTV에 다 찍힌 살인범도 풀어주는 것들인데 오죽 할까요 치안조무사들 세금 받아먹고서는 잡으라는 흉악범죄는 안잡고 사무실 의자에 기대서 손가락 까딱거리며 잡을 수 있는 야동이나 잡아대죠. 사람들이 피하는 방법을 알게되니 지들이 불법을 저지르는군요. CCTV에 다 찍힌 살인범도 풀어주는 것들인데 오죽 할까요



		incombat 18-10-19 11:18 신도는 정치인을 반신으로 만들고, 제자는 정치인을 선생님으로 만들고, 팬클럽은 정치인을 아이돌로 만듭니다. 정치인이 뭔데 아무데나 잣대들이대고 난리인지 모르겠네요. 정치인보다 재수없는 자들은 신도, 제자, 팬클럽입니다. 신도는 정치인을 반신으로 만들고, 제자는 정치인을 선생님으로 만들고, 팬클럽은 정치인을 아이돌로 만듭니다. 정치인이 뭔데 아무데나 잣대들이대고 난리인지 모르겠네요. 정치인보다 재수없는 자들은 신도, 제자, 팬클럽입니다.



		건달 18-10-22 00:52 동의하지 않은 주소를 확인 하는게 감찰이고 사찰입니다. 우리가 어떤 서비스를 계약을 하든간에 동의하고 확인 받는 절차가 항시 존재하는 거 다 아시죠? 괜히 불편하게 그런거 체크하고 싸인하는게 아니랍니다. 한심한 사상을 가진 분들이 생각보다 많아서 놀랍습니다. 집권 정당이 내가 지지한 정당이라고해서 감쌀수 있는건 아닙니다. 적어도 저는 그렇네여 동의하지 않은 주소를 확인 하는게 감찰이고 사찰입니다. 우리가 어떤 서비스를 계약을 하든간에 동의하고 확인 받는 절차가 항시 존재하는 거 다 아시죠? 괜히 불편하게 그런거 체크하고 싸인하는게 아니랍니다. 한심한 사상을 가진 분들이 생각보다 많아서 놀랍습니다. 집권 정당이 내가 지지한 정당이라고해서 감쌀수 있는건 아닙니다. 적어도 저는 그렇네여

주요메뉴

회원 로그인

Copyright