SNI, 개인별 인터넷 접속기록 특정 가능
사진=연합뉴스

사진=연합뉴스

정부가 음란물 사이트 등 불법 유해 사이트 차단을 명목으로 개개인의 인터넷 접속기록 확인이 가능한 'SNI(Server Name Indication)패킷' 수집에 나서 감청·검열 의혹이 제기되고 있다.

이에 방송통신위원회(이하 방통위)가 지난 12일 "SNI는 암호화된 정보가 아니므로 감청이 아니다"라며 진화에 나섰지만 '칼'을 잡은 정권에 따라 표현의 자유 침해 등 악용 소지가 있는 만큼 논란은 한층 확산하고 있다.

◆ '감청' 아니라는 방통위…전문가들 "문제 있다"

지난 11일 방통위가 불법 음란 사이트 접속 차단을 내걸고 기존 인터넷 주소(URL) 차단 방식보다 한층 더 강력한 차단 기술인 'HTTPS 차단'을 내놓은 게 문제의 발단이 됐다.

새로 적용된 차단 방식은 HTTPS 인증 과정에서 암호화되지 않은 정보인 'SNI 패킷'을 열어 불법 유해 사이트 접속 여부를 파악하고 이를 차단한다. 보안 취약점을 이용하는 방식인 데다 개인 데이터 수집에 해당할 여지가 있어 정부가 개인 통신기록을 엿보는 감청 또는 검열의 첫 발을 뗀 것이란 지적이 나왔다.

그러자 방통위는 "암호화되지 않은 영역인 SNI 필드에서 대상 서버를 확인해 차단하는 방식으로, 통신이나 데이터 패킷 감청과는 무관하다"고 해명했다. 인터넷 주소 외에는 수집되는 정보가 없고 기존 차단 방식을 똑같이 https에 적용했으므로 별다른 문제가 없다는 얘기다.

전문가들 견해는 다르다. SNI 패킷을 수집해 차단하는 방식은 결국 '누가, 언제, 어떤 사이트에 접속하고 있는지' 등의 정보를 계속 파악하는 것을 골자로 한다. 마음만 먹으면 특정 사용자가 어느 사이트에 접속하는지 여부를 확인할 수 있는 가능성이 상존한다는 얘기다.

SNI 패킷 정보 수집은 데이터 내용을 전부 들여다보는 건 아니지만 개인별 사이트 접속 정보가 감지되는 것은 맞다고도 했다. 전문가들은 "정부가 해명하려면 어떠한 프로세스(과정)로 무슨 정보가 수집·저장·분류되는지 투명하게 공개해야 할 것"이라고 꼬집었다.
사진=연합뉴스

사진=연합뉴스

◆ 정부 일방 강행…'악용 가능성' 얼마든지 있어

방통위는 "사이트 접속 기록을 수집해 정부 입맛에 따라 감시하거나 사이트를 차단하려는게 아니냐는 의혹이 나오는데 이는 불법이라 우려할 필요가 없다"는 해명도 내놓았다.

그러나 '불법이라 하지 않겠다'는 논리를 뒤집어 보면 "할 수 있지만 하지 않겠다"는 의중으로 받아들일 수 있다. '선의'에 의존하는 것이므로, SNI 패킷 검열을 통해 수집되는 정보의 악용 가능성을 원천적으로 막을 순 없다는 뜻이다.

실제로 SNI 차단 방식은 인터넷 검열 국가로 악명이 높은 중국의 차단 방식과 유사하다. 개인의 자유 침해 여지도 높다. 어떤 것이 불법 사이트인지를 판단하는 것은 정부의 몫이기 때문이다. 현재 불법 사이트 판단은 방송통신심의위원회(방심위)의 심의로 정하고 있으나, 구체적으로 무슨 사이트가 어떤 이유로 차단됐는지에 대해선 명단 공개조차 이뤄지지 않는다.

특정 사이트의 불법 행위가 정말 문제가 된다면 이번처럼 접속 차단 방식이 아니라 해당 사이트를 폐쇄시키면 되는 것 아니냐는 지적도 나왔다. 굳이 이번 조처처럼 부작용이 수반되는 방법을 동원하지 않아도, 불법 음란 사이트 '소라넷' 사례처럼 명백한 불법일 경우 국제 수사공조 등을 통해 해결할 수 있다.

◆ 청소년들도 손쉽게 우회하는데…'실효성 의문'

HTTPS 차단 정책의 실효성에도 의문이 제기된다. 가상사설망(VPN)을 이용하면 청소년들도 손쉽게 정부의 HTTPS 차단을 무력화시킬 수 있어서다. 해외 서버를 공유하는 VPN 방식의 특성상 국내에서 아무리 막아도 무용지물이 될 수 밖에 없다.

때문에 VPN까지 차단하지 않는 한 어떠한 검열 방법도 우회 방법은 존재한다는 게 전문가들 중론이다. 단 VPN 차단은 통신 등을 검열하는 사회주의 중국에서나 택하고 있는 방법인 데다 이마저도 신생 VPN 업체가 계속 생겨나 100% 차단은 불가능한 게 현실이다.

결국 정보보호에 민감한 젊은 세대를 중심으로 정부·여당에 대한 반감만 높아지고, 정작 원하는 결과는 얻지 못할 가능성이 높다.

전문가들은 "정부가 HTTPS 차단 정책도 무의미하다고 판단할 경우 다음은 얼마나 더 강력한 정책을 내놓을지 걱정된다"면서 사회적 합의를 통한 개선·보완책이 필요하다고 주문했다.

김산하 한경닷컴 기자 sanha@hankyung.com
오세성 한경닷컴 기자 sesung@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지