정부, 'https 차단' 도·감청 우려 없다?

[SBS 김성준의 시사전망대]

인터뷰 자료의 저작권은 SBS 라디오에 있습니다. 전문 게재나 인터뷰 인용 보도 시, 아래와 같이 채널명과 정확한 프로그램명을 밝혀주시기 바랍니다.

■ 방송 : 김성준의 시사전망대 (FM 103.5 MHz 14:20 ~ 16:00)
■ 진행 : SBS 김성준 앵커
■ 방송일시 : 2019년 2월 15일 (금)
■ 대담 : 김승주 고려대 정보보호대학원 교수
---

- SNI 차단 방식, 암호화 프로그램 허점 이용한 것
- 이미 인터넷에 우회 방법 나와 있어
- 도·감청 우려 나오는 것 사실
- 정부 SNI 차단 방식 도입 과정, 공론화 없어 아쉬워

▷ 김성준/진행자:

정부가 음란물이나 도박 같은 불법 유해 사이트를 규제하기 위해서 새로운 접속 차단 방식을 도입했습니다. 이른바 SNI 차단 방식이라고 합니다. 그런데 이 방식을 놓고 잡음이 일고 있네요. 이런 방법으로 사이트를 차단하면 도청이나 감청의 우려가 있다는 얘기도 나오고요. 실효성에 의문이라는 목소리까지도 나왔습니다. SNI 방식의 유해 사이트 차단이라는 게 어떻게 운영되는 것이고 또 기존의 방식과는 어떤 점이 다른 것인지. 또 실제로 검열이나 감청의 우려는 없는 것인지 한 번 자세히 알아보겠습니다. 김승주 고려대 정보보호대학원 교수 연결돼 있습니다. 교수님 안녕하십니까.

▶ 김승주 고려대 정보보호대학원 교수:

네. 안녕하십니까.

▷ 김성준/진행자:

아무래도 기술적인 문제여서 좀 어렵습니다. SNI. 영어로 보니까 'Server Name Indication' 차단 방식이라고 하던데요. 최대한 쉽게 설명을 부탁드리겠습니다.

▶ 김승주 고려대 정보보호대학원 교수:

이게 칠판에서 보여드리면서 설명을 드리면 쉬운데. 전화상으로 말씀드리는 것이니까 대략적인 개념만 말씀을 드리겠습니다. 우리가 우편물을 검열한다고 했을 때 방법은 크게 두 가지입니다. 뭐냐 하면 편지 겉봉에 쓰인 받는 사람 주소를 가지고 검열할 수도 있고요. 또는 편지를 뜯어서 내용물을 확인한 다음에 검열할 수도 있지 않습니까. 과거 우리 정부가 보통 하던 것은 편지 겉봉에 쓰인 받는 사람 주소를 가지고 차단할지 말지 결정하는 겁니다. 이러다 보니까 네티즌들이 이것을 우회하는 방식을 찾기 시작했습니다. 어떻게 하는 거냐면 편지 겉봉에 받는 사람 주소를 암호화 시켜서 보이지 않게 하는 겁니다. 우리가 보통 'https'라고 하는 게 암호화 기술을 얘기하는 겁니다. 그래서 받는 사람 주소가 안 보이게끔 하는 거죠.

▷ 김성준/진행자:

이게 쉽게 얘기하면 편지를 집 주소로 안 하고 사서함 번호를 쓰거나 이런 것과 마찬가지죠.

▶ 김승주 고려대 정보보호대학원 교수:

그런 식이죠. 그런데 이 프로그램이 완벽하지 않아서 허점이 좀 있습니다. 뭐냐 하면 완벽하게 감춰지는 게 아니라 잘 들여다보면 희미하게 받는 사람 주소가 드러나는 겁니다. 그래서 그런 허점을 이용해서 받는 사람 주소를 통제하는 것, 그것을 Server Name Indication Field 차단 방식. 이렇게 얘기하는 겁니다.

▷ 김성준/진행자:

이제까지 받는 사람 주소를 가지고 차단하고 규제했던 것을 사람들이 암호 등을 써서 피해 다니니까. 그 암호 속에 살짝 숨어있는 진짜 주소를 찾아내는 기술을 쓰는 것이군요.

▶ 김승주 고려대 정보보호대학원 교수:

그렇죠. 이 프로그램 자체가 약간의 오류가 있어서, 보이지 않아야 하는데 보이도록 설계가 돼 있었던 겁니다.

▷ 김성준/진행자:

어쨌든 이런 방식으로라도 무언가 차단하려 애쓰는 이유는. 워낙 불법·유해 사이트가 성행하니까. 음란물이라든지 도박물이라든지 여러 가지가요. 그래서 그렇다는 취지는 이해하는데. 문제는 불법과 유해 사이트 선별을 어떻게 할지, 누가 어떤 기준으로 하는 것인지 궁금하네요.

▶ 김승주 고려대 정보보호대학원 교수:

기본적으로 저희는 방송통신심의위원회라는 게 있습니다. 이 방송통신심의위원회는 9명의 위원으로 구성됩니다. 이것은 여와 야가 공동으로 추천하게 돼 있고요. 이 9명의 심의위원이 그것을 결정하게 되는 겁니다. 이번에 차단한 해외 인터넷 사이트가 895건 정도 되는데요. 그것도 이 위원회에서 결정한 겁니다.

▷ 김성준/진행자:

이게 해외 인터넷 사이트라고 말씀하셨으니까. 국내에서 아무리 규제를 해봐야 해외에 서버를 두고 운영하면 그 동안 막기 힘들다, 과거에 소라넷 사건도 그랬고요. 이게 참 어쨌든 해외 사이트 자체를, 서버 자체를 통제할 방법은 없으니까 해외 서버를 통해서 우리나라로 흘러 들어오는 경로를 차단하자는 것 아닙니까.

▶ 김승주 고려대 정보보호대학원 교수:

네.

▷ 김성준/진행자:

그런데 이제껏 사용하지 않던 SNI 차단 방식을 선택한 특별한 이유가 있나요?

▶ 김승주 고려대 정보보호대학원 교수:

기본적으로 우회하는 방식들이 워낙에 보편화가 됐습니다. 그러다 보니까 사실 이 SNI 필드 차단 방식이 아주 새로운 것도 아닙니다. 예전부터 어느 정도 알려졌던 것이고요. 그런데 기존의 방법들을 너무나 많이 피해가니까, 정부도 고심하다가 이 방법을 찾아낸 것 같습니다.

▷ 김성준/진행자:

그러면 이 방식을 쓰면 완벽한 차단이 가능한가요? 벌써 논란이 있던데요.

▶ 김승주 고려대 정보보호대학원 교수:

그건 그렇지 않습니다. 아까 제가 SNI 필드 차단 방식이 암호화 프로그램의 허점을 이용한 것이라고 말씀드리지 않았습니까. 이 암호화 프로그램의 허점은 상당히 알려져 있었습니다. 그러니까 당연히 세계 전문가들은 이것들을 패치해서 고치려고 노력을 많이 했겠죠. 그래서 이것을 어떻게 고쳐야 하는지도 방법이 나와 있습니다. 그런데 보편화 돼서 널리 퍼지려면 시간이 걸리지 않습니까. 그래서 당분간은 이게 효과를 발휘할 것 같고요. 그런데 보안 업데이트가 널리 퍼지면 그 때는 또 이 방식이 무력화 될 수 있습니다.

▷ 김성준/진행자:

그야말로 창과 방패의 싸움에서 계속 무기가 새롭게 업데이트되어 가는데, 그 중에 지금으로서는 가장 새로운 방패인 거네요.

▶ 김승주 고려대 정보보호대학원 교수:

가장 그래도 효과적인 것, 지금 당장 어떻게 할 수 있는 것을 정부가 선택한 것 같습니다.

▷ 김성준/진행자:

어차피 영원히 갈 수는 없는 것이고. 그런데 그럼에도 불구하고 이미 뚫린다. 이런 얘기들도 있는데. 그 정도가 어느 정도 문제인 건가요?

▶ 김승주 고려대 정보보호대학원 교수:

보안에 대해서 개념이 있어야 합니다. 통신 프로그램 등에 대해서 알고 계신 분들은 이미 방법은 나와 있으니 그런 것들을 가져다 쓰시는 겁니다. 이런 기능이 탑재된 웹 브라우저라든가, 아니면 PC의 프로그램 설정을 바꿔서 하는 것이고요. 바로 그런 이유 때문에 나오는 비판 중 하나가. 이렇게 하면 결국은 컴퓨터를 잘 하는 사람들은 기존대로 계속 보고. 컴퓨터 잘 모르는 사람만 차단되는 것이니까. 이게 좀 불공정한 것 아니냐. 이런 지적도 있기는 합니다.

▷ 김성준/진행자:

참 문제네요. 그야말로 뛰는 정부 위에 나는 네티즌, 이런 얘기도 있던데. 항상 규제를 뚫으려는 쪽의 기술이 늘 앞서가는 것 같다는 생각도 들고요.

▶ 김승주 고려대 정보보호대학원 교수:

아무래도 좀 그렇죠.

▷ 김성준/진행자:

그런데 이 방식에 대해서 또 다른 문제 제기를 하는 것을 보니까. 사실 인터넷이라는 것의 취지 자체가 누구나 돈 들이지 않고 정보를 사용할 수 있게 하자는 면이 있는 것 아닙니까? 그런데 무언가를 자꾸 차단하면 아무리 그게 유해하고 불법적인 것이라 하더라도 본래 취지에 어긋나는 것 아니냐는 본질적인 문제 제기도 있고요.

▶ 김승주 고려대 정보보호대학원 교수:

맞습니다. 보통 의견이 나오는 것은 두 쪽입니다. 언론 상에서는 한 쪽 의견만 나왔는데. 인터넷이라는 공간이 기본적으로 자유로운 공간인데 왜 여기를 정부가 통제하느냐. 이런 의견이거든요. 그 다음에 이런 SNI 방식이 결국은 도·감청으로 이어지는 것 아니냐. 이런 얘기도 사실은 있기는 합니다. 그런데 일단 첫 번째, 이런 것이 과연 인터넷이 자유로운 공간인데 정부가 개입하는 게 맞느냐는 문제와 관련해서는요. 사실은 또 다른 한 쪽의 얘기를 들어보면, 특히나 어린 자녀를 둔 부모님 얘기를 들어보면. 우리나라는 인터넷 보급도 많이 돼 있고, 굉장히 어려서부터 스마트폰을 쓰는데. 음란물에 이렇게 쉽게 접근할 수 있도록 놔두면 되겠느냐. 이런 생각을 하시는 분도 계세요.

▷ 김성준/진행자:

당연히 일리가 있죠.

▶ 김승주 고려대 정보보호대학원 교수:

한 달 전만 하더라도 이렇게 유해 사이트가 넘쳐난다고 언론에서 굉장히 정부를 공격했거든요. 너무 손 놓고 있다. 이런 얘기도 했단 말이죠. 그래서 저는 어떤 게 맞는지 정답은 없다고 생각합니다. 우리가 지금 안전벨트 착용을 의무화 하지 않았습니까. 그런데 찬성 의견도 있고 반대 의견도 있습니다.

▷ 김성준/진행자:

그것도 너무 심한 규제라는 얘기도 있죠.

▶ 김승주 고려대 정보보호대학원 교수:

그렇죠. 그런데 다 들어보면 일리가 있거든요. 그런데 제가 아쉬운 것은 뭐냐면. 이런 것들을 정할 때 사실 이렇게 정답이 없는 문제는 이걸 공론화 시켜서 양쪽 의견을 다 듣고, 또 정부가 하려는 기술을 알기 쉽게 설명한 다음에 설득해나가고 공감대를 형성해나가는 분위기가 필요하거든요.

▷ 김성준/진행자:

우리 그게 참 잘 안 되죠. 어떤 분야에서도.

▶ 김승주 고려대 정보보호대학원 교수:

그렇죠. 특히나 요새 대통령께서 음란물 차단 등에 워낙 관심을 많이 보이시니까. 약간 정부가 서두른 것 같은 느낌은 듭니다. 그래서 그 부분은 좀 아쉽고요. 두 번째가 이 SNI 방식은 도·감청 아니냐, 이렇게 얘기하는 분도 계세요. 그런데 제가 아까 처음에 얘기했듯이 우편물을 검열하는 방식은. 편지 겉봉에 쓰인 주소를 갖고 검열하는 방식이 있고, 또 하나는 편지를 뜯어서 내용물을 보는 방식이 있다고 말씀드리지 않았습니까. 이 SNI 방식은 편지의 내용물을 보는 것은 아닙니다. 겉봉의 주소를 확인하는 방식이거든요. 그래서 기존 방식의 연장선상에 있다고 보시면 될 것 같고요. 이 기술 자체만으로 직접적인 도·감청, 이런 것으로 연결될 소지는 적은 것으로 보입니다.

▷ 김성준/진행자:

알겠습니다. 지금 말씀하신 게 우리 인터넷 시대에, 모바일 시대에 큰 고민거리를 화두로 던진 것이나 마찬가지인데. 통제가 필요하느냐, 마느냐. 결국 우리가 지금으로서는 참고할 수 있는 게 해외에 우리와 비슷한 처지에 있는 나라들은 어떤 정책을 쓰는지 참고하면 조금은 도움이 될 것 같다는 생각이 드는데요. 중국이나 북한 같이 아예 통제에 나서는 나라 말고요. 어떤 추세입니까?

▶ 김승주 고려대 정보보호대학원 교수:

그런데 보통 외국 같은 경우는. 사실은 인터넷 상에서 테러 조직이 어떤 정보를 쓰는 것 외에는. 성적인 부분 등은 웬만해서는 자율입니다. 정부가 거의 규제를 안 합니다. 그 이유는 무엇이냐면 기본적으로 어린이들이 음란물에 노출되는 것은 가정의 책임이라고 보는 겁니다. 그래서 부모가 그것을 컨트롤 하라고 돼 있는 것이거든요. 그런데 사실은 우리나라 같은 경우는 아이들 떠들면 그냥 스마트폰 주거든요. 가정에서 그런 것들을 사실 철저히 통제 안 하죠. 그러니까 한 쪽 의견은 실명 확인도 해 달라, 정부가 나서 달라. 이런 얘기를 하는 측이 있는 겁니다. 우리나라는 외국보다는 의견이 다양하게 올라오고 있다고 보시면 될 것 같습니다.

▷ 김성준/진행자:

이게 약간 CCTV에 대한 요구와 비슷하군요.

▶ 김승주 고려대 정보보호대학원 교수:

맞습니다.

▷ 김성준/진행자:

개인의 자유도 중요하지만 워낙 범죄라든지 유해한 것들이 넘쳐나고, 우리나라는 더군다나 초고속 통신망이 워낙 발달되어 있다 보니까 생기는 문제 같은데. 현명한 답이 필요하겠습니다. 오늘 말씀 잘 들었습니다. 고맙습니다.

▶ 김승주 고려대 정보보호대학원 교수:

네. 감사합니다.

▷ 김성준/진행자:

지금까지 김승주 고려대 정보보호대학원 교수와 말씀 나눠봤습니다.