웹사이트 차단이 실제로 작동하는 방식: 정부와 ISP의 역할
Source: Dev.to
위의 소스 링크에 포함된 전체 텍스트를 제공해 주시면, 해당 내용을 한국어로 번역해 드리겠습니다.
(코드 블록, URL, 마크다운 형식 등은 원본 그대로 유지됩니다.)
개요
사람들이 “정부 차단”에 대해 이야기할 때, 실제 과정은 생각보다 덜 극적입니다. 전체 국가에 대해 웹사이트를 차단하는 중앙 스위치는 존재하지 않습니다. 대신, 집행은 인터넷 서비스 제공업체(ISP)를 통해 간접적으로 이루어집니다.
정부는 일반적으로 국가 안보, 공공 안전, 혹은 불법이거나 공공 질서를 해치는 것으로 판단되는 콘텐츠의 방지를 이유로 웹사이트 제한을 명령합니다. 웹사이트는 불법 복제 콘텐츠를 호스팅하거나, 허위 정보를 퍼뜨리거나, 사기를 조장하거나, 현지 법률을 위반한 경우 차단될 수 있습니다.
접근 제한 결정은 정부에서 시작되지만, 보통 이메일이나 인도 IT법 제 69A조와 같은 법적 조항에 따른 서명된 명령서와 같은 공식 채널을 통해 ISP에 전달됩니다.
ISP가 문제다, 정부가 아니다
정부는 기본 인터넷 백본에 직접 접근할 수 있는 경우가 거의 없습니다. 대신, ISP와 통신 사업자를 규제함으로써 제한을 시행합니다.
각 ISP는 인프라, 라우터 용량, DNS 설정, 게이트웨이 소프트웨어에 따라 금지를 다르게 구현합니다. 기술적인 관점에서 이러한 금지는 DNS 해석, 라우팅 동작, 암호화된 연결을 방해하는 네트워크 수준의 개입에 의존합니다.
일반적인 웹사이트 차단 방법
1. DNS 차단
ISP는 대상 도메인의 레코드를 삭제하거나 위조하여 DNS 해석을 조작합니다. 올바른 IP 주소를 반환하는 대신, ISP의 리졸버는 NXDOMAIN 응답을 반환하거나 사용자를 정부 경고 페이지로 리다이렉트할 수 있습니다. 이는 주로 재귀 리졸버 단계에서 발생하며, 일부 제공업체는 차단을 지속시키기 위해 오염된 결과를 캐시합니다.
일반적인 사용자 경험:
- “DNS를 찾을 수 없음” 또는 “사이트에 연결할 수 없음”과 같은 오류.
우회 방법:
- 장치의 DNS를 Google(
8.8.8.8), Cloudflare(1.1.1.1), Quad9와 같은 공용 리졸버로 변경합니다. 이러한 서비스는 DNS 쿼리를 암호화하는 경우가 많아 간섭을 어렵게 합니다.
2. IP 주소 차단
ISP는 라우터나 방화벽에 접근 제어 목록(ACL)을 유지하여 블랙리스트에 오른 IP 주소로 향하는 패킷을 조용히 폐기합니다. 방화벽 규칙이나 BGP 필터를 사용하면 쉽게 배포할 수 있습니다. 그러나 많은 호스팅 제공업체가 동일한 IP에서 수백 개의 도메인을 서비스하기 때문에 과도 차단이 발생하기도 합니다.
일반적인 사용자 경험:
- 브라우저가 멈추고 결국 타임아웃 또는 “연결이 거부됨” 오류를 표시합니다.
우회 방법:
- ISP의 제어 밖에 있는 IP를 통해 트래픽을 우회하는 VPN이나 프록시 서버를 사용합니다.
3. SNI 필터링
TLS 핸드셰이크 중에 브라우저는 암호화되지 않은 Server Name Indication(SNI) 필드를 전송하여 대상 도메인을 밝힙니다. ISP는 이 필드를 검사하고 방화벽 기반 TLS 검사를 통해 지정된 도메인에 대한 연결을 차단할 수 있습니다. 최신 브라우저는 Encrypted ClientHello를 도입하고 있어 이러한 검사를 방지합니다.
일반적인 사용자 경험:
- “연결이 재설정됨” 또는 “보안 연결 실패” 오류.
우회 방법:
- VPN을 사용하거나 암호화된 핸드셰이크 메커니즘을 지원하는 브라우저를 사용합니다.
4. HTTP 가로채기 및 리다이렉션
포트 80을 통한 암호화되지 않은 HTTP 트래픽의 경우, ISP는 Host 헤더를 읽고 투명 프록시 서버를 삽입해 차단 알림이나 정부 페이지로 사용자를 리다이렉트할 수 있습니다.
일반적인 사용자 경험:
- 요청한 사이트 대신 ISP 브랜드 또는 정부 경고 페이지가 표시됩니다.
우회 방법:
- HTTPS로 전환하거나 VPN을 사용합니다. HTTPS는 요청을 암호화하고, VPN은 모든 트래픽을 ISP로부터 숨깁니다.
5. 딥 패킷 인스펙션(DPI)
DPI는 패킷 및 암호화된 메타데이터를 분석해 금지된 콘텐츠나 우회 도구를 식별합니다. 주요 네트워크 병목 지점에 배치되며, 휴리스틱 또는 머신러닝 모델을 사용해 트래픽 패턴을 인식합니다. 이 방식은 자원 소모가 크고 네트워크 성능을 저하시킬 수 있습니다.
일반적인 사용자 경험:
- 로딩이 느리거나, 중간에 연결이 끊기거나, 반복적인 타임아웃 발생.
우회 방법:
- 트래픽을 일반 HTTPS처럼 위장하는 마스킹 기능이 있는 VPN(예: Shadowsocks, Obfuscation 플러그인을 적용한 WireGuard 등)을 사용합니다.
6. 라우트‑레벨 또는 BGP 필터링
ISP는 BGP를 이용해 특정 IP 프리픽스에 대한 트래픽을 철회하거나 널‑라우트(null‑route)하여 전체 네트워크를 접근 불가능하게 만들 수 있습니다. 잘못된 설정은 전 세계적인 영향을 미칠 수 있는데, 2008년 파키스탄 텔레콤이 실수로 유튜브를 전 세계에서 차단했던 사례가 대표적입니다.
일반적인 사용자 경험:
- 오래 걸리는 로드 후 “목적지에 도달할 수 없음” 오류가 나타납니다.
우회 방법:
- ISP가 수정할 수 없는 대체 BGP 경로를 통해 트래픽을 터널링하는 VPN을 사용합니다.
7. 애플리케이션‑레벨 제어
정부가 특정 앱(예: TikTok, PUBG)을 목표로 할 때 차단은 주로 Google Play나 Apple App Store와 같은 앱 스토어에서 해당 앱을 제거하는 형태로 이루어집니다. 또한 앱 서버가 지리적 제한을 적용해 특정 지역에서의 연결을 거부할 수도 있습니다.
일반적인 사용자 경험:
- 앱이 스토어에서 사라지거나 새로운 콘텐츠를 로드하지 못함.
우회 방법:
- APK를 직접 설치하거나 대체 앱 스토어를 이용하고, 신뢰할 수 있는 VPN을 통해 연결합니다.
VPN 현실
VPN은 검열에 대한 가장 신뢰할 수 있는 대응책으로 남아 있습니다. VPN은 장치와 원격 서버 사이에 암호화된 터널을 생성하여 ISP가 어떤 웹사이트에 접속했는지 볼 수 없게 합니다.
정부와 ISP는 점점 더 핸드쉐이크 패턴과 트래픽 지문을 통해 VPN 사용을 탐지하기 위해 DPI 시스템을 배치하고 있습니다. 이에 대응하여 최신 VPN은 암호화된 트래픽을 일반 HTTPS와 유사하게 보이도록 하는 마스킹 기술을 사용합니다.
검열에 대한 영구적인 해결책은 없습니다. 차단 기술이 진화함에 따라 우회 도구도 대응해 적응합니다. 이 지속적인 기술 군비 경쟁은 인터넷 접근이 어떻게 통제되고 다투어지는지를 계속 형성합니다.