HTTPS / DNS 차단 쉽게 이해하기

인터넷에 이번 인터넷 차단 관련해서
정말 쉽고 재미있게 정리된 내용이 있어서 퍼왔습니다.
이거 하나면 완벽이해가 될 듯 하네요.

​​​HTTPS/DNS 차단 쉽게 이해하기

여기 한 교실이 있습니다. 학생들은 편지(http)와 쪽지(dns)를 이용해 소통을 합니다.

먼저 편지를 보내기 위해서는 친구의 우편함 번호(ip주소)를 알아야 합니다.

친구의 우편함 번호를 알기 위해, 번호표를 갖고 있는 부반장(통신사 dns서버)에게 쪽지(dns)를 보냅니다.
“철수 우편함 번호좀 알려줄래?”

우편함 번호를 알아냈으면, 그 번호로 편지(http)를 보내면 됩니다.
“내일 7시에 만나자.”

​<HTTP차단>
그러던 어느 날, 수업시간에 편지로 장난을 치는 아이가 있다는 걸 반장(정부)이 알아챕니다.

장난 좀 치면 어떠냐는 의견도 있습니다만, 어쨌든 수업시간에 장난을 치면 안 된다는 게 교칙이니 반장은 이걸 막으려고 합니다.

반장은 우편함에 가서 ​모든 편지를 열어서 읽어보고​(http감청),
장난치는 내용이 있다면 ​전부 가져다 버립니다.​(http차단)

​<HTTPS도입>​
반장 이외에도, 남의 편지를 열어보거나 심지어 편지 내용을 바꾸는 일이 빈번히 일어났습니다.
* 실제로 http로 이루어지는 통신은 훔쳐보거나 내용을 바꿀 수 있습니다.

편지로 보낸 민감한 이야기가 퍼지거나, 편지 내용이 바뀌어 곤란을 겪는 일들이 점점 늘어납니다.
“비밀번호는 1q2w3e4r”

이를 막기 위해, 아이들은 서로만 아는 방법으로 ​편지내용을 암호화​(https) 합니다.

이제 반장은 편지를 열어봐도 무슨 내용인지 알 수 없습니다. 장난 치는 아이도 암호 편지를 사용하니까요.

“asdfasdfasdfasdfasdfasdf"

​<DNS차단>​
암호 편지로 장난 치는 걸 막기 위해, 반장은 새로운 방법을 고안합니다.

바로, 부반장에게 장난 치는 아이가 우편함 번호를 물어보거나, 그 아이의 우편함 번호를 물어보는 쪽지가 온다면 ​다 자기한테 보내라​(DNS 오염)고 한거죠.

그럼 이제 장난치는 아이는 편지를 보낼 수 없을까요?

아닙니다. 우편함 번호표는 부반장만 갖고닜는게 아니거든요.

부반장이 자리를 비우거나, 부반장과 친하지 않은 아이들은 ​옆반 부반장​(구글 DNS등)에게 쪽지를 보내 물어봅니다.
옆반 부반장은 반장이랑 친하지 않아서 반장의 부탁을 거절합니다.

​<DNS 감청>​
옆반 부반장을 통해 계속 장난을 치자, 화가 난 반장은 새로운 방법을 도입합니다.

바로 ​모든 쪽지를 뺏어서 내용을 보고​(dns 감청) 장난 치는 아이가 보냈서나 장난 치는 아이의 우편함 번호를 물어보는 쪽지면 ​갖다 버리는 것​(dns 차단)이죠.

​<DNS over HTTP>​
반장이 모든 쪽지를 다 뺏어서 열어보자, 아이들은 ​쪽지 내용을 암호화​(DNSCrypt, DNS over TLS) 하거나,
옆반 부반장에게 ​암호 편지로 우편함 번호를 물어봅니다.​(DNS over HTTPS)

​<SNI 차단>​
암호 편지에는 한가지 큰 단점이 있습니다. ​보내는 사람의 이름​(sni)은 암호로 쓰지 않거든요.

이를 이용해 반장은 ​모든 편지를 열어서 이름을 보고​(sni 감청)
장난 치는 아이의 이름이 적혀있다면 ​갖다 버립니다.​(sni 차단)

​<Encrypted SNI​>
이 문제는 간단하게 해결됩니다.
​이름도 암호화​(encrypted sni)하면 되니까요.

​<헌법 위반>​
재미있는 것은 이 학교의 교칙은 ​남의 편지느 쪽지를 열어보는 것을 엄격히 금지​하고 있다는 것이죠.
* 대한민국 헌법 제 18조: 모든 국민은 통신의 비밀을 침해받지 아니한다.

장난 치는 아이의 편지를 열어보려면, 먼저 ​선생님 허락을 받아야 합니다.​(감청 영장 발부)
즉, 허락을 받지 않고 모든 아이들의 편지를 열어본 반장의 행동은 명백한 ​교칙 위반​입니다.

​<그래서 저랑 무슨 상관이죠?>​
다행인 것은 여기서 반장은 장난 치는 아이만을 막기 위해 이 모든 일을 했다는 것입니다.
자신이 장난을 치지 않는다면 상관 없는 이야기라 생각할 수 있죠.

하지만 반장이 ​다른 생각을 하거나,​ 반장이 ​바뀐다면,​
자신과 사이가 안좋은 아이들의 편지를 가로채거나, 누가 누구와 편지를 주고받는지 다 기록한다면,
​그 때도 남 이야기일 수 있을까요?

​<대한민국의 현상황>​
- http 차단은 오래 전부터 진행 중이며, warning.or.kr로 알려져 있습니다.
- 밤토끼 등 불법 웹툰 사이트 차단을 이유로 2018년에 국내 통신사 dns 서버에 dns 변조를 통한 차단이 도입되었습니다.
- 2019년 2월 11일 kt망에 한하여 해외 dns 서버를 포함, 모든 dns 패킷의 감청을 통한 ​​차단이 도입된 것으로 보입니다.
- sni 차단 도입이 검토중인 것으로 알려져 있습니다.

​<감청을 피하는 방법​​>​
- 아직 sni차단은 도입되지 않은 상태이므로, dns 암호화를 통해 감청을 피할 수 있습니다.
- 가장 간단한 방법은 cloudflare가 제공하는 1.1.1.1 앱을 사용하는 것입니다. https://1.1.1.1/
- android 9.0 이상을 사용한다면, 내장된 dns 암호화 기능을 사용할 수 있습니다.
- ​​firefox 6.2 이상 버전에서도 dns 암호화 기능을 제공합니다.

​<bonus 1. IP차단>​
다른 차단 방법도 있습니다. 장난치는 아이의 ​우편함으로 가는 모든 편지를 갖다 버리는 것​(ip 차단)이죠.

하지만 ​한 우편함을 여러 명이 사용​할 수도 있고,
​우편함 번호가 바뀌는 경우​도 있기 때문에 쉽게 사용하지 못하는 방법입니다.

​<Bonus 2. VPN>​
검열을 피하는 가장 확실한 방법은 우편함을 사용하는 다신 편지를 전해달라고 ​다른 친구​(vpn)에게 부탁하는 거죠.

​​다만 그 친구가 내 편지를 열어볼 수도 있으니, ​믿을만한 친구​에게 부탁하는게 좋을 겁니다.
​​* 개인 정보 등 민감한 정보를 다룰 때는 절대 무료 vpn을 이용하지 마세요.

출처: http://m.jjang0u.com/chalkadak/view?db=160&no=397032&page=1&search_field=&search_value=