지인과 함께 작성한 글을 퍼온 글이고, 아래 글 내용에 나오는 '지인'이 저입니다.
작년 글이라 일부 시간 표기 등을 수정하고 출처를 보강하였습니다.
여는말.
유해사이트 차단은 감청인가.
수많은 사람들이 지적한 이 주제에 대하여 나 또한 글을 적는다.
심층 패킷 검사 Deep Packet Inspection.
먼저, 유해사이트 차단은 어떻게 동작하는가?
평문 HTTP의 경우.
HTTP 서버는 여러 사이트를 호스팅할 수 있으므로 접속하려는 사이트 도메인 네임을 알려줘야 접속할 수 있다. 이를 위해 HTTP Host request header에 host 도메인 네임 정보를 넣는다.
ISP는 이를 중간에 훔쳐봐서 블랙리스트와 대조해보고 차단 대상이라면 접속하려는 서버의 IP 주소를 가장하여 사용자에게 워닝 사이트로 리디렉션하라는 위조된 패킷을 보내어 송수신을 방해한다.
TLS로 암호화된 통신의 경우(예: HTTPS).
TLS 통신의 경우 HTTP등의 페이로드 데이터가 암호화되어있다. 암호화된 페이로드로는 어떤 도메인에 접속하려는지 알 수 없다는 문제가 있어 TLS 통신을 개시할 때 Client Hello 패킷에 Server Name Indication field란 이름으로 접속 도메인 네임을 지정한다.
ISP는 이를 중간에 훔쳐봐서 블랙리스트와 대조해보고 차단 대상이라면 접속하려는 서버의 IP 주소를 가장하여 사용자에게 TCP 연결을 리셋하는 TCP reset 패킷을 보내어 송수신을 방해한다.
국제전기통신연합 ITU는 이러한 기술과 관련하여 표준안을 작성하였다. 이를 발췌하면 다음과 같다.
ITU-T Recommendation Y.2770 : Requirements for deep packet inspection in next generation networks
deep packet inspection (DPI): Analysis, according to the layered protocol architecture OSI-BRM [ITU-T X.200], of:
• payload and/or packet properties (see list of potential properties in clause 3.2.11) deeper than protocol layer 2, 3 or 4 (L2/L3/L4) header information, and
• other packet properties
in order to identify the application unambiguously.
DPI 기술이 법적으로 감청에 해당하느냐는 별개의 문제이지만, ITU 표준상 위 두 방식의 차단은 모두 DPI에 해당한다는 것을 알 수 있다.
감청.
그렇다면 감청이란 무엇인가?
통신비밀보호법 제2조 일부를 발췌하겠다.
"감청"이라 함은 전기통신에 대하여 당사자의 동의없이 전자장치ㆍ기계장치등을 사용하여 통신의 음향ㆍ문언ㆍ부호ㆍ영상을 청취ㆍ공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송ㆍ수신을 방해하는 것을 말한다.
라고 한다. 하나하나 뜯어서 보도록 하겠다.
첫째로 당사자의 동의 여부를 살펴본다.
개별 ISP 약관을 살펴보면 일단 불법/유해정보 트래픽은 사이트 접속제한 혹은 차단한다는 내용이 있다. 허나 인터넷 통신에 있어 중간의 라우터가 처리하는 것은 L3, 즉 IP 주소까지 보고 처리하지 L4 이상의 layer를 볼 필요도 없고 보아서도 안된다. 보안상의 이유로 포트 막는 것도 L4까지 보는 게 고작이다. 아무리 유해사이트 차단하겠다고 약관에 써뒀다 할지라도 그 방법이 통상적인 수준을 벗어나는 경우는 그에 대해 명시적으로 동의하지 않는 이상 당사자의 동의가 없었다 보아야 할 것이다. 그렇지 않고 통상의 수준을 벗어나는 방법까지 동의하였다고 본다면 고객의 컴퓨터를 해킹하는 등 더욱 심각한 범죄마저 허용한다는 결론이 나오기 때문이다.
2024년 상반기에 뉴스를 탔던 KT의 바이러스 유포 사건에서도 이러한 사실이 여실히 드러난다. 트래픽 관리를 위해서 고객의 컴퓨터에 바이러스까지 유포한다니 이게 가당키나 한 일인가. 단지 약관에서 트래픽 관리에 동의하였다는 이유만으로 고객의 컴퓨터를 해킹하는 것까지도 허용된다 한다면 아예 고객 컴퓨터에 자체서명 인증서를 설치하라 강요하고는 중간에서 모든 패킷을 까보는 것마저 허용한다는, 정보보안 관점에서는 용납할 수 없는 폭거까지도 제재할 수 없다는 소리이다.
그런고로 L5~L7 수준의 페이로드를 까보겠다고 명시하지 않은 이상, 그러한 차단 조치에 당사자의 동의는 없었다 봐야만 할 것이다. 마침 앞서 언급한 DPI의 정의와도 일맥상통한다.
다음으로 통신의 음향ㆍ문언ㆍ부호ㆍ영상을 청취ㆍ공독하였는지를 살펴본다.
HTTP host header와 TLS SNI 필드는 각각 RFC2616과 RFC6066에 의거하여 ASCII로 부호화된다.
청취ㆍ공독은 너무나 자명하니 넘어가도록 하겠다.
마지막으로 그 내용을 지득 또는 채록하거나 전기통신의 송ㆍ수신을 방해하는 것에 해당하는지를 살펴본다.
ISP가 사이트 도메인 네임을 지득 또는 채록하는지는 알 수 없지만(소문으로는 사이트 접속 통계 정도는 낸다고 들었다만 사실 여부는 확인 불가), 전기통신의 송ㆍ수신을 기술적 의미에서 방해하는 사실은 누구나 다 안다. 문제는 이 방해란 단어가 법적으로도 성립하는지가 쟁점이 된다.
이 문제로 방통위와 방심위에 민원을 넣어봤던 지인에 따르면, 방통위는 그러한 지적에 대하여 합법적인 전기통신에 대해서만 방해가 성립하며 위법한 전기통신에 대한 송ㆍ수신 제한은 통신비밀보호법에서 말하는 방해로 보기 어려우므로 감청에 해당하지 않는다 판단한다고 답변하였다 한다.
그러나 이러한 지적은 그러한 사이트가 오로지 불법ㆍ유해정보만을 유통할 때에나 성립한다. 만약 사이트 측에서 불법적인 정보뿐만 아니라 합법적인 정보, 이를테면 합법적인 웹페이지 또한 제공하는 경우 그러한 접속마저 막는 경우는 송ㆍ수신을 방해하는 것이 되어 통신비밀보호법상 불법인 감청을 저지르게 되는 것이다.
2016년, 방송통신심의위원회는 영국인 외신기자 마틴 윌리엄스가 북한의 정보통신기술 관련 이슈를 다루기 위하여 운영하던 웹사이트 '노스코리아테크(northkoreatech)'에 대해 국보법 위반을 사유로 접속차단 결정을 내린바 있다. 나중에 그러한 차단 결정이 위법하였음을 법원이 인정하였으나 그간 발생한 통신비밀보호법 위반을 책임지는 이는 아무도 없었다.
앞서 말한 지인은 전화에 빗대어 이러한 검열이 얼마나 부당한 것인지 나타낸 적이 있다.
웹사이트를 접속하는 것을 전화에 빗대어본다면 어느 회사 어느 부서 누구누구에게 전화를 하는 것과 같다.
1. 먼저 회사의 전화번호를 알아내기 위해 114에 전화를 건다.
☞이는 사이트 도메인 네임으로부터 IP 주소를 알아내기 위해 DNS 서버에 질의를 보내는 것과 같다.
2. 전화번호를 알아냈다면 그 번호로 전화를 건다. 다만 그 번호는 회사 대표번호이므로 원하는 부서의 인물에게 바로 연락할 수는 없을 것이다.
☞이는 사이트를 호스팅하는 서버의 IP 주소로 패킷을 보내는 것과 같다.
서버의 주소는 cloudflare등 CDN의 IP 주소일 수도 있고 cafe24같은 웹호스팅 업체의 IP 주소일 수도 있으며 혹은 자체 운영하는 서버의 IP 주소일 수도 있다.
3. 전화를 받은 직원에게 내선으로 원하는 부서에 전화를 넘겨달라고 말한다.
☞이는 웹사이트 서버가 HTTP Host 헤더나 TLS SNI 필드로부터 접속하려는 사이트의 도메인 네임을 식별하여 처리하는 것과 같다.
4. 마침내 전화를 넘겨받은 상대방과 이런저런 이야기를 나눈다.
☞이는 접속하고자 하는 웹사이트로부터 HTTP 페이로드를 주고받는 것과 같다.
통신사가 중간에서 합법적으로 취득할 수 있는 번호는 오직 송신측과 수신측의 전화번호다. 통신 내용을 엿듣는 것은 감청이다.
☞인터넷 통신에서도 마찬가지로, 송신측과 수신측의 IP 주소만 취득할 수 있고 또 그래야만 한다. 그 이상은 수신측 서버 당사자가 받아서 처리하는 정보이므로 그러한 정보를 엿듣는 것은 감청이다.
과연 전화에도 인터넷 통신과 동등한 조치를 취할 수 있겠느냐 싶다.
담합.
헌재는 방통위와 ISP의 차단기술 도입이 행정지도, 즉 비권력적사실행위라고 보았다.
그렇기에 나는 우려한다. 이것은 담합이라고.
새로운 차단조치의 적용은 언제나 사람들의 반발과 우려를 사게 된다.
그렇기에 어느 한 ISP에서만 시행을 하거나, 그 시행 시기에 차이가 발생한다면 손해가 발생함에 틀림이 없다.
공정거래위원회는 행정지도가 개입된 부당한 공동행위에 대한 심사지침에서 다음과 같이 적었다.
Ⅲ. 행정기관이 사업자간 합의를 유도하는 행정지도를 한 경우에 대한 법 집행원칙
1. 행정기관이 법령상 구체적 근거 없이 사업자들의 합의를 유도하는 행정지도를 한 결과 부당한 공동행위가 행해졌다 하더라도 그 부당한 공동행위는 원칙적으로 위법하다.
감사원의 방송통신위원회 기관운영감사보고서에 따르면 방통위는 2018년 6월 해외 불법사이트 접속차단 고도화 추진계획을 수립하고 5회에 걸쳐 정보통신서비스 제공자 등과 SNI 차단방식 도입을 위한 협의를 한 후 2019년 2월 경 SNI 차단조치를 적용토록 하는 내용의 공문을 발송하고 이를 전면시행하였다.
과연 이러한 협의 없이 어느 한 통신사만 먼저 그러한 기술을 도입할 수 있었겠는가?
이미 도입을 위한 협의를 한 것도 사실임이 명백한 마당에 과연 이것이 부당한 공동행위가 아니면 무엇이란 말인가?
맺는말.
우리는 언제쯤 완연한 자유를 누릴 수 있을 것인가.
차단 조치가 시행되던 당시 제기된 국민청원에 대한 해명에서 방송통신위원장은 다음과 같이 발언하였다.
누구든 국민의 통신내역을 들여다볼 수 없습니다. 통신비밀보호법상 법원 영장 없는 감청은 명백한 불법행위입니다. 정부는 불법행위를 하지 않습니다. 통신비밀 보호는 정부가 엄중하게 관리하고, 현황을 투명하게 공개하고 있습니다. 청원인은 이 조치가 검열의 시초가 될 가능성을 우려했습니다. 검열은 있어서도 안 되고, 있을 수도 없는 일입니다. 혹시나 가능성에 대한 우려조차 정부에 대한 신뢰가 충분하지 않다는 뜻이라, 책임을 통감합니다. 투명한 정부, 신뢰받는 정부가 되도록 모든 대책을 강구하겠습니다.
2024년이 끝나가는 겨울, 우리는 21세기 민주화 사회에서는 가능하리라고 생각조차 하지 못하던 불법적이고 반헌법적인 계엄령을 목도하였다.
계엄령이라는 이름 아래 친위 쿠데타가 성공하였다면, 그리고 방심위와 방통위가 군인들에 의해 장악되었다면 어떻게 되었을까.*
참으로 씁쓸하다.