HTTPS(SNI) 차단, 검열과 표현의 자유를 침해할까?

HTTPS(SNI) 차단 논란 종합

 

SNI 차단이란?

HTTPS 통신을 하더라도 (암호화가 개시되기 이전의) 핸드셰이킹 과정에서는 <Extension : server_name 필드>에 호스트 이름, 즉 ‘목적지 URL’이 표시될 수 있음. ISP 업체는 이 정보를 이용해 사이트를 차단한다.

 

문제점 : ESNI(Encrypted SNI)를 이용하면 우회가 가능함.

 

 

논란이 되는 사항들

1. 감청일까?

감청 : 통신의 내용을 들여다 보는 것.

ex. 편지를 뜯어서 내용을 보면 감청, 하지만 봉투 겉면에 쓰인 주소를 보는것은 감청이 아니다.

 

SNI 차단은 내용을 보지 않으므로 감청이 아니다.

 

 

2. 사찰일까?

원론적으로는 맞다. 편지의 주소를 보는 것도 사찰이기 때문. 하지만 실질적인 사찰은 봉투에 쓰인 발신자 주소가 누구인지 개별적으로 식별하고 또 그것을 저장하는 경우만 해당한다. 지금은 편지가 특정 수신자에게 가는 것을 막기 위해 자동적인 수단으로 수신자 주소를 확인해 차단한 후 발신자 정보는 개별 식별하지도 저장해두지도 않기에 실질적인 사찰의 의미는 없다.

 

속도 단속 카메라와 방범용 카메라의 목적과 같다. 이들의 목적은 분명히 사찰이다. 그렇기 때문에 그 카메라들의 설치 목적과 범위를 법 규정으로 정해 악용되지 않도록 관리한다. 교통정보 카메라는 도로상의 자동차들을 개별 식별하지도 식별 정보를 저장하지도 않기에 사찰과 전혀 무관하다.

 

발신자가 누군지 각각 식별하여 저장하면 사찰이나, 현재 그렇지 않음.

 

 

3. 그렇다면 왜 논란이 되는가?

일부 ‘전문가’의 잘못된 설명 때문.

(오픈넷)

“물론 접속차단이 곧바로 개별 이용자들의 패킷이나 접속기록 내용을 직접 들여다보는 감청으로 이어지는 것은 아니다. 그러나 이용자의 패킷을 읽고 ‘송·수신을 방해’하는 형식의 감청으로 해석될 여지는 있다. 또한 불법감청은 아니라고 하여도, 이러한 접속차단 제도로 인해 이용자들의 통신 정보에 대한 국가기관과 망사업자의 통제권이 보다 강해지는 것은 분명한 사실이다. 자신의 통신 정보가 누군가에 의해 쉽게 통제되거나 노출될 수 있다는 가능성만으로 인터넷 이용자의 자유는 크게 위축될 수밖에 없다.”

보다시피 이들은 SNI 차단이 감청과는 무관한 것을 알면서도 감청으로 해석될 여지가 있다고 명시함.

 

(참여연대 양홍석 공익법센터 소장)

“어떤 사람이 네이버를 언제 접속하는지 자체를 정부가 다 일일이 체크해서 확인하고 문제없으면 보내주고 문제가 있는 경우에는 접속하지 못하도록 한다는 것 자체가 통신 내용 자체를 정부가 일일이 다 검열한다는 것과 다르지 않다.”

이 발언은 온전히 거짓. “어떤 사람”이라며 개인 식별이 가능하다는 점을 전제했기 때문. 현재 방통위는 SNI 차단 과정에서 개인을 특정, 식별하지 않는다는 점을 감안하면 전체 주장이 거짓이 되는 것.

 

그러나 만약, 방통위의 태도가 바뀌면 미래 정권에서 실질적 사찰로 발전할 우려가 있는 것은 사실임. 허나 현재 상태에서는 사찰과는 거리가 너무나 멀다. 그래서 시민단체가 요구할 것은 악용방지에 대한 법 규정 강화이지, 모호한 표현과 주장으로 거짓 정보를 만들면 안된다.

 

 

결론 : 현재 SNI 차단은 감청이 아니며, 방통위가 발신자를 식별&저장하지 않는 한 사찰도 아니므로, 방통위의 태도 변화 및 오용 방지에 대비한 법 규정 강화가 필요하다.

참고 링크

1. SNI차단 OECD 중 한국만 하고 있다? (국가 단위 명시는 하지 않았으나 단체 단위로 시행)

2. SNI차단 OECD 중 한국만 하고 있다? (터키)

3. KTV(김승주 교수, 오픈넷 변호사, 전 청와대 대변인, 시사평론가) 영상 40분

4. 김승주 교수님 개인 블로그

5. (PPSS) SNI차단에 관한 글

ps.

Q. 논란 당시 파이어폭스는 어째서 특정 설정을 통해 SNI차단을 우회할 수 있었을까?
A. 파이어 폭스는 ESNI를 지원하고있었다.

 

때 지난 논제지만 물어보는 사람이 있어서 정리해봤습니다.