HTTPS SNI 와 ESNI

기존의 웹사이트 차단 방식

#IP차단

라우터 장비에서 불법사이트 IP주소를 차단한다. 

이 방식은 단독 서버 기반 웹사이트가 아니라 웹호스팅업체의 공용 서버에서 여러 사이트가 개별 운영될 때 쓸 수 없다. 

동일한 IP주소로 연결되는 서버에 불법사이트가 하나뿐이더라도 여러 웹사이트가 모두 차단된다.

#DNS차단

사이트 도메인명을 IP로 바꿔주는 DNS서버로 진행된다. 

ISP업체마다 관리하는 DNS서버에 불법사이트의 IP주소 조회가 들어올 때 차단안내페이지의 IP주소를 알려주는 방식이다. 

이 방식은 이용자가 국내 ISP업체 대신 해외의 DNS서버를 이용해 우회할 수 있다.

#URL차단 

사이트 전체가 아니라 하위경로까지 지정해 불법정보 연결을 막을 수 있는 방법이다. 

이용자의 요청 패킷 중 HTTP 헤더에 들어가는 호스트정보를 식별해 차단할 수 있다. 

이 방식은 HTTP 통신이 평문이라 가능한 것인데, 이를 암호화하는 HTTPS로 무력화된다.

#HTTPS SNI 와 ESNI

■ SNI 필드 암호화하는 ESNI 도입 임박…예정된 시한부 해법

HTTPS SNI 필드 차단 방식은 기존 주요 차단 방식들이 효력을 잃자 도입됐다. HTTPS는 브라우저와 웹서버가 PKI 인증서 정보를 주고받아 접속을 체결한 뒤 모든 통신 내용을 암호화한 채 주고받는다. 패킷이 가로채여도 해독되지 않는다. 그런데 빈틈이 있다. SNI 필드다.

현재 통용되고 있는 기술 표준으로 HTTPS 암호화통신을 한다더라도, 여전히 최초에 어떤 서버의 무슨 사이트와 통신할 것인지를 암호화하지 않은 평문으로 노출하게 된다. 사용자가 웹서버에 보내는 패킷의 SNI 필드라는 자리에 그 값이 적혀 있다. 현존 표준의 한계다.

평문 노출된 SNI 필드의 빈틈을 메우려는 시도가 인터넷 세계에서 진행되고 있다. SNI 필드를 평문 노출하는 기존 HTTPS 규격은 TLS 1.2 표준을 구현한 것이다. 이를 보완한 TLS 1.3 표준이 나와 있다. SNI 필드값도 암호화하는 'Encrypted SNI'가 보급되면 현재 차단기법은 실효성을 잃게 된다.

지난 13일 방통위 측은 SNI 암호화 기술이 나와 통용되면 현재 차단 기술이 결국 무력화되지 않느냐는 물음에 "알고 있다"면서도 여전히 SNI 필드 차단 방식을 지속할 뜻을 밝혔다. SNI를 암호화한 기술이 보급되면 또 다른 차단 기술을 확보해 대응할 것으로 보인다.

다만 익명을 요구한 보안업계 전문가 A씨는 "이제까지는 차단기법이 대상의 변화를 줬을뿐 본질적으로 큰 변화가 없었는데 아마 Encrypted SNI가 도입되면 이번 SNI 필드 차단 방식을 찾아낸 것처럼 간단한 방법으로 다시 차단에 성공할 수 없을 것"이라고 전망했다.

나중이 아니라 당장 SNI 차단을 우회할 방법도 여러가지다. 이전부터 어떤 차단 방식을 쓰든 가상사설망(VPN) 서비스를 통해 해외 네트워크를 경유함으로써 우회가 가능했다. 또 이미 ISP가 구현한 HTTPS SNI 차단 방식의 허점을 파악하고 직접 차단을 깬 기법도 등장했다.

출처 : https://news.naver.com/main/read.nhn?oid=092&sid1=105&aid=0002156241&mid=shm&mode=LSD&nh=20190214103043