홈으로 돌아가기

DPI, TSPU와 차단 우회: 인터넷 검열 기술

심층 패킷 검사 (DPI)와 TSPU — 현대 인터넷 검열의 핵심 메커니즘. 작동 원리, L7 차단 방법 및 테크 전문가를 위한 고급 우회 전략을 공부하세요.

DPI, TSPU와 차단 우회: 인터넷 검열 기술 및 테크 전문가를 위한 전략
Advertisement 728x90

심층 패킷 검사: 기술 전문가를 위한 인터넷 검열 메커니즘 및 우회 전략

오늘날 인터넷 검열은 기술적으로 더욱 발전하며 정교해지고 있습니다. 각국 정부는 원치 않는 리소스를 통제하거나, 속도를 늦추거나, 완전히 차단하기 위해 심층 패킷 검사(DPI) 시스템 및 기타 인프라 솔루션을 적극적으로 구현하고 있습니다. 이 글은 이러한 시스템의 아키텍처, 원시적인 IP 차단에서 지능형 L7 분석으로의 진화 과정, 그리고 사용자와 개발자가 이러한 제한을 우회하기 위해 사용하는 기술적 도구들을 전문가의 관점에서 심층적으로 다룰 것입니다.

국가 인터넷 검열의 진화

역사적으로 인터넷 차단은 비교적 간단한 방법으로 시작되었습니다. 초기 국가 트래픽 통제 시도는 IP 주소 또는 DNS 기록을 통한 차단에 국한되었습니다. 러시아의 인터넷 감시 기관인 로스콤나드조르(RKN)가 IP 주소를 등록부에 추가하면, 인터넷 서비스 제공업체(ISP)는 해당 주소로 향하는 모든 트래픽을 차단할 의무가 있었습니다. L3 네트워크 계층에서 작동하는 이 접근 방식은 저렴하고 빠르게 구현할 수 있었지만, 정확도가 매우 떨어지는 단점이 있었습니다. CIDR 범위와 같은 전체 서브넷을 차단하는 것은 이른바 연쇄 차단(collateral blocking)으로 이어졌습니다. 이는 대상 객체와 동일한 IP 주소 또는 동일한 클라우드 인프라에 호스팅된 수천, 심지어 수백만 개의 합법적인 리소스가 의도치 않게 차단되는 결과를 낳았습니다. 대표적인 예는 2018년 텔레그램을 차단하려다 아마존 AWS가 차단되어 수많은 타사 서비스에 광범위한 장애가 발생했던 사례입니다.

기술이 발전하고 더 정밀한 차단에 대한 요구가 증가함에 따라, 정부 기관은 더 복잡한 도구로 전환했습니다. 핵심 단계는 위협 대응 기술 수단(TMTAC), 즉 심층 패킷 검사(DPI) 모듈을 장착한 특수 장비의 구현이었습니다. 모든 ISP 네트워크에 설치된 이 "하드웨어 박스"는 단순히 주소로 패킷을 차단하는 것을 넘어, 패킷의 내용을 검사하고 분석할 수 있게 합니다. 이전에는 ISP가 "봉투"(IP 주소)만 볼 수 있었지만, DPI는 이제 "편지를 읽을" 수 있게 되었습니다. 즉, 프로토콜, 애플리케이션 시그니처, 심지어 암호화 뒤에 숨겨진 특정 도메인까지 분석할 수 있게 된 것입니다. 이는 RKN에 트래픽에 대한 전례 없는 통제권을 부여하여, ISP의 직접적인 개입 없이도 실시간으로 리소스를 차단하거나 속도를 조절할 수 있게 했습니다.

Google AdInline article slot

심층 패킷 검사(DPI) 기술 및 적용

DPI 시스템은 OSI 네트워크 모델의 7계층인 애플리케이션 계층(L7)에서 작동하며, L3 차단에 비해 그 기능이 크게 확장됩니다. 이들은 IP 주소뿐만 아니라 프로토콜 헤더, 특정 애플리케이션 시그니처, 그리고 트래픽 패턴까지 분석할 수 있습니다. 예를 들어, 암호화된 HTTPS 연결을 설정할 때, 브라우저는 첫 번째 패킷인 TLS ClientHello를 보냅니다. 이 패킷에는 연결하려는 도메인 이름인 서버 이름 표시(SNI)가 포함되어 있습니다. 트래픽 내용 자체는 그 이후 암호화되지만, ClientHello 패킷의 SNI는 평문으로 전송되므로, DPI 시스템은 이를 가로채서 연결을 차단할지 허용할지 결정할 수 있습니다. ESNI(Encrypted SNI) 및 ECH(Encrypted ClientHello)와 같은 기술은 바로 이 표시자를 암호화하여 DPI가 이를 읽을 수 없도록 하기 위해 개발되었습니다.

차단 외에도 DPI는 특정 리소스에 대한 트래픽 속도를 인위적으로 늦추는 스로틀링(throttling)에 사용될 수 있습니다. 이는 유튜브와 같은 대규모 플랫폼에 특히 관련이 있는데, 전면적인 차단은 바람직하지 않지만 콘텐츠 가용성을 제한하려는 경우에 사용됩니다. DPI 시스템은 OpenVPN 및 WireGuard와 같은 인기 있는 VPN 프로토콜의 시그니처를 인식하도록 훈련되어 있어, 탐지 및 차단에 취약합니다. 이는 더욱 복잡하고 난독화된 검열 우회 방법의 개발을 촉진합니다.

DPI가 국가 통제의 유일한 도구가 아니라는 점을 이해하는 것이 중요합니다. 이와 함께, ISP가 네트워크에 설치할 의무가 있는 운영 수사 활동 시스템(SORM)이 있습니다. DPI를 사용하는 TMTAC와 달리, SORM은 트래픽을 차단하지 않고 복사하여 분석을 위해 특수 서비스로 전송합니다. 가장 진보된 세대인 SORM-3는 서비스가 종단 간 암호화(E2E 암호화)를 사용하지 않는 경우, 인스턴트 메신저 및 소셜 네트워크의 메시지를 포함한 모든 트래픽을 심층적으로 분석할 수 있습니다.

Google AdInline article slot

차단 우회 방법 및 그 발전

강화되는 검열과 DPI 시스템의 진화에 대응하여, 사용자와 개발자는 차단을 우회하는 방법을 끊임없이 개선하고 있습니다. 사용자 장치와 원격 서버 사이에 암호화된 터널을 생성하는 전통적인 VPN 서비스는 여전히 가장 일반적인 도구 중 하나입니다. 그러나 앞서 언급했듯이, DPI 시스템은 표준 VPN 프로토콜의 시그니처를 인식하는 방법을 학습하여 차단으로 이어지고 있습니다.

이로 인해 더욱 발전되고 난독화된 프로토콜 및 도구들이 등장하고 대중화되었습니다.

  • Shadowsocks, VLESS, XRay: 이 프로토콜들은 트래픽을 일반 HTTPS 연결처럼 위장하도록 설계되었습니다. 이들은 쉽게 인식할 수 있는 시그니처가 없으며, DPI에게는 암호화된 트래픽이 일반적인 웹 브라우징처럼 보입니다. 예를 들어, XTLS-Reality와 결합된 VLESS는 실제 합법적인 웹사이트에 대한 연결을 너무나 설득력 있게 모방하여, 일반 HTTPS 트래픽과 구별하기가 극히 어렵습니다. 이러한 도구들은 TMTAC가 OpenVPN 및 WireGuard를 효과적으로 차단하기 시작한 후 차단 우회의 주요 수단이 되었습니다.
  • Tor (The Onion Router): Tor 네트워크는 전 세계 여러 중개 노드를 통해 트래픽을 라우팅하여 익명성을 제공합니다. 이로 인해 사용자 추적이 사실상 불가능해집니다. 그러나 Tor를 사용하는 것은 출구 노드 운영자에게 특정 위험을 수반합니다. 그들의 IP 주소에서 발생하는 트래픽이 법적 책임을 초래할 수 있기 때문입니다.
  • 프록시/익명화 도구: 사용자 대신 콘텐츠를 다운로드하는 간단한 중개 서버입니다. VPN이나 Tor보다 보안성이 떨어지지만, 간단히 차단된 웹사이트에 접근하는 데 효과적일 수 있습니다.
  • 도메인 프론팅(Domain Fronting): 2018년 텔레그램이 역사적으로 사용했던 방법입니다. 이 방법은 대상 서비스의 트래픽을 대규모 합법적인 CDN 제공업체(예: Google, Amazon)에 대한 요청처럼 위장합니다. 외부적으로는 트래픽이 허용된 서비스에 대한 정상적인 요청처럼 보이지만, 내부적으로는 차단된 리소스로 리디렉션됩니다. 이 방법의 효과는 주요 CDN 제공업체들이 그 사용에 적극적으로 대응하면서 감소했습니다.
  • goodbyedpi / zapret: 이들은 사용자 장치에서 로컬로 실행되는 오픈 소스 유틸리티입니다. 이들은 트래픽을 암호화하지 않으며 외부 서버를 필요로 하지 않지만, DPI를 속이는 방식으로 TCP 패킷을 조작합니다. 예를 들어, TLS ClientHello를 여러 TCP 세그먼트로 의도적으로 분할하여, DPI가 완전한 시그니처를 조립하고 차단 결정을 내리는 것을 방지할 수 있습니다. 이 도구들은 TMTAC가 유튜브 접속을 스로틀링하기 시작했을 때 엄청난 인기를 얻었습니다.

검열자와 우회 개발자 간의 이러한 군비 경쟁은 양측의 지속적인 기술 발전을 보여줍니다.

Google AdInline article slot

통제의 법적 및 인프라적 측면

순전히 기술적인 수단을 넘어, 러시아의 인터넷 통제 시스템은 복잡한 법적 및 인프라적 프레임워크에 의존합니다. 이른바 "야로바야 법"(연방법 374-FZ 및 375-FZ)은 통신 사업자에게 방대한 양의 사용자 데이터를 저장하고 특수 서비스에 암호화 키를 제공하도록 의무화했으며, 이는 2018년 텔레그램 차단의 공식적인 구실이 되었습니다. "루고보이 법"(연방법 398-FZ)은 검찰총장에게 사법적 절차 없이 웹사이트를 차단할 권한을 부여했습니다.

인프라 측면에서, 2019년 법률에 명시된 "주권 인터넷" 개념은 전 세계 DNS의 러시아판인 국가 도메인 이름 시스템(NDNS)의 생성을 규정합니다. 이는 국가가 국제 루트 서버에 의존하지 않고도 러시아 가시성 영역 내에서 도메인 이름을 자율적으로 통제할 수 있도록 합니다. TMTAC와 결합된 NDNS는 러시아 사용자를 위한 인터넷 세그먼트 또는 개별 리소스의 효과적인 "연결 해제"를 가능하게 합니다. 통제의 효율성은 ISP에 설치된 하드웨어-소프트웨어 복합체인 "레비조르(Revisor)"와 같은 자동화된 모니터링 시스템에 의해서도 향상됩니다. 이 프로브는 사용자 행동을 지속적으로 시뮬레이션하여 차단된 리소스의 가용성을 확인하고 위반 사항을 자동으로 기록함으로써, 인적 요소를 제거하고 차단 규율을 개선합니다.

완전한 통제 조건 하에서, 국가는 또한 "화이트리스트"를 형성합니다. 이는 전 세계적인 서비스 중단이나 강화된 차단 상황에서도 작동이 보장되는 웹사이트 및 서비스 목록입니다. 이러한 목록에 포함되려면 일반적으로 서버가 러시아에 위치해야 하며 현지 법규를 완전히 준수해야 하는데, 이는 사실상 국가 규제 및 데이터 접근에 동의하는 것을 의미합니다.

주요 요점

  • 인터넷 검열은 단순한 IP 차단에서 L7에서 작동하는 정교한 심층 패킷 검사(DPI) 시스템으로 진화했습니다.
  • TMTAC와 같은 DPI 시스템은 TLS ClientHello의 SNI를 포함한 프로토콜 헤더 및 애플리케이션 시그니처를 분석하여 표적 차단을 수행합니다.
  • 일반 HTTPS처럼 트래픽을 위장하거나(Shadowsocks, VLESS, XRay) 패킷을 조작하는(goodbyedpi) 고급 기술이 현대 검열을 우회하는 데 사용됩니다.
  • 차단과 함께 모니터링 시스템(SORM)과 "주권 인터넷"(NDNS) 인프라가 발전하며 국가 통제를 강화하고 있습니다.
  • 검열자와 우회 도구 개발자 간의 군비 경쟁은 끊임없이 지속되며, 양측의 지속적인 기술 발전을 요구합니다.

— Editorial Team

Advertisement 728x90

다음 읽기