첫 단계는 실제 VPN 소프트웨어와 설정파일을 구하는 것임. 검열을 신경쓰는 업체들은 S3 같은 막기 어려운 채널과 난독화된 패키지로 프로그램을 배포하며, 때로는 현지 단체와 협력해 안전하게 배포함
소프트웨어를 구했다면, 난독화 계층을 추가해 사용하는 것을 추천함
Obfs4proxy라는 도구가 많이 쓰이고, 사전 공유 키를 사용해 트래픽을 별 것 아닌 것으로 위장하며 VPN 핸드셰이크 또한 감춤. 완벽하게 보안이 되진 않지만 대부분의 DPI(딥 패킷 검사)는 뚫음
Shapeshifter(Operator Foundation에서 만듦)나 기타 플러그형 전송 방식도 있으니 시도해 볼 가치가 있음. 다만 제공업체가 이 프로토콜을 지원해야 함
장기적으로 가장 힘든 부분은 VPN 사용 자체를 들키지 않는 것임. 장기적 통계 분석에선 난독화가 있어도 VPN 연결을 감지할 수 있으며, 국가가 이를 감시할 때 비교적 저렴하게 구현 가능함. 인도네시아의 상황은 잘 모르니 구체적인 조언은 못하겠음
Mullvad는 신뢰할만하고 기술력 있는 VPN 업체라고 생각함. (저는 Mullvad에 소속된 적 없음, 사실 경쟁사였음. 그쪽 접근을 늘 존중했음)
짧은파 방송 대형 운영사 중 누군가가 VPN 패키지 자체를 공공 서비스처럼 데이터 방송으로 전 세계에 송출해주면 좋겠다는 생각임
Obfs4proxy가 트래픽을 별 것 아닌 것처럼 보이게 만든다고 했지만, 실제로는 DPI가 랜덤 바이트 스트림이라 판단해 알 수 없는 프로토콜로 분류하고 막아 버릴 수 있음. 오히려 DPI가 HTTPS라고 믿도록 속임수를 쓰는 쪽이 유리함. 물론 HTTPS마저 막아버리면 소용없음
Mullvad의 DAITA처럼 트래픽 분석을 막기 위해 일정한 대역폭 패턴으로 전송하는 시스템에 대해 어떻게 생각하는지 궁금함
TLS 분할(fragmented TLS)이나 패킷 순서 뒤집기 같은 트릭도 효과가 있고, 기본 HTTPS 트랜스포트만 써도 대부분의 장소에서 시작점으로 괜찮음. URnetwork라는 오픈소스 분산 시스템은 이런 기능을 모두 제공함. 메이저 스토어나 F-Droid에서도 받을 수 있음
Obfs4proxy와 Shapeshifter 설치는 정말 번거롭고 시간이 많이 듬
직접 VPS를 구해서(유럽/미국 $10/년 정도면 2GB RAM, 40GB 디스크, 월 TB 단위 트래픽 가능), 유럽 리전을 추천함
거기에 wireguard+난독화 도구 또는 tailscale+자체 DERP 서버 설치
더 간단하게는 ssh -D 포트를 SOCKS 서버로 사용하는 방법도 있음. 대부분 막히지 않지만 트래픽 특성상 쉽게 눈에 띔
중국에서 한동안 살면서 여러 차례 VPN 차단 물결을 겪은 경험 있음. 지금은 대부분 VPN 회사들이 차단국 지원을 포기함. 상업 VPN은 결국 언젠가 반드시 막힘
내가 쓴 방법은 해외 리전의 무료 EC2에 SOCKS5 서버를 올리고 기기에서 접속함. Cloudflare VM도 이 목적으로 잘 맞을 것 같음
개인 트래픽만 오가 너 프로필이 낮고, 해당 리전 내 수많은 서버 중 국가가 쉽게 구분하지 못함
자유롭지 못한 인터넷 환경에서의 생존 팁: GitHub는 차단되지 않으니(중국 기준) 관련 자료와 다운로드를 현지 엔지니어들이 올려두었음
static IP 때문에 신원이 걱정된다면 VM도 그냥 컴퓨터이니 추가 VPN 연결해서 익명성 높일 수 있음
VPS의 퍼블릭 IP 블록은 널리 알려져 있으니 중국에선 이 방식이 효과 없다고 들은 적 있음. 중국 방화벽에선 쓸 만한 해결책이 아니란 이야기를 들음
VM 인스턴스를 VPN 터널로 쓰는 건 좋지만, 중국 내외간 진짜 인터넷 대역폭이 워낙 제한적이라 트래픽 처리 한계가 있음. 더 좋은 세팅은 방화벽 양쪽에 VM을 두고, 같은 호스팅 서비스에 내부외부 VM 간 피어링을 쓰는 것임(알리클라우드가 그 예). 내부 VM은 socat이나 netfilter 같은 도구로 간단히 만들 수 있음
난독화 도구도 반드시 쓰는 게 좋음
차단이 오면 외부 VPN IP만 바꿔주고 설정만 업데이트 하면 됨. 내부 VM IP는 거의 변경 필요 없음
나도 예전에 중국에서 일하면서(오래 살진 않았지만 자주 들어갔음) 내가 소유한 서버에 OpenVPN를 443번 포트나 22번 포트에 열어뒀고, 이걸로 대부분 문제없이 접속했음
2년 전 인도네시아에서도 GitHub가 잠시 차단됐었고, 주요 통신사 중 한 곳에서 SSH도 일시적으로 막았던 적 있었음
인도네시아 현지 거주자로서 최근 X(트위터)/Discord가 차단됐다는 뉴스를 본 기억이 없음. 2024년 성인물 문제로 X를 차단할 수 있다고 한 적은 있음
Hacker News 의견
저는 2020년대 초반 주요 VPN 제공업체에서 검열 우회 작업을 했던 경험이 있음
짧은파 방송 대형 운영사 중 누군가가 VPN 패키지 자체를 공공 서비스처럼 데이터 방송으로 전 세계에 송출해주면 좋겠다는 생각임
Obfs4proxy가 트래픽을 별 것 아닌 것처럼 보이게 만든다고 했지만, 실제로는 DPI가 랜덤 바이트 스트림이라 판단해 알 수 없는 프로토콜로 분류하고 막아 버릴 수 있음. 오히려 DPI가 HTTPS라고 믿도록 속임수를 쓰는 쪽이 유리함. 물론 HTTPS마저 막아버리면 소용없음
Mullvad의 DAITA처럼 트래픽 분석을 막기 위해 일정한 대역폭 패턴으로 전송하는 시스템에 대해 어떻게 생각하는지 궁금함
TLS 분할(fragmented TLS)이나 패킷 순서 뒤집기 같은 트릭도 효과가 있고, 기본 HTTPS 트랜스포트만 써도 대부분의 장소에서 시작점으로 괜찮음. URnetwork라는 오픈소스 분산 시스템은 이런 기능을 모두 제공함. 메이저 스토어나 F-Droid에서도 받을 수 있음
Obfs4proxy와 Shapeshifter 설치는 정말 번거롭고 시간이 많이 듬
중국에서 한동안 살면서 여러 차례 VPN 차단 물결을 겪은 경험 있음. 지금은 대부분 VPN 회사들이 차단국 지원을 포기함. 상업 VPN은 결국 언젠가 반드시 막힘
VPS의 퍼블릭 IP 블록은 널리 알려져 있으니 중국에선 이 방식이 효과 없다고 들은 적 있음. 중국 방화벽에선 쓸 만한 해결책이 아니란 이야기를 들음
VM 인스턴스를 VPN 터널로 쓰는 건 좋지만, 중국 내외간 진짜 인터넷 대역폭이 워낙 제한적이라 트래픽 처리 한계가 있음. 더 좋은 세팅은 방화벽 양쪽에 VM을 두고, 같은 호스팅 서비스에 내부외부 VM 간 피어링을 쓰는 것임(알리클라우드가 그 예). 내부 VM은 socat이나 netfilter 같은 도구로 간단히 만들 수 있음
나도 예전에 중국에서 일하면서(오래 살진 않았지만 자주 들어갔음) 내가 소유한 서버에 OpenVPN를 443번 포트나 22번 포트에 열어뒀고, 이걸로 대부분 문제없이 접속했음
2년 전 인도네시아에서도 GitHub가 잠시 차단됐었고, 주요 통신사 중 한 곳에서 SSH도 일시적으로 막았던 적 있었음
인도네시아 현지 거주자로서 최근 X(트위터)/Discord가 차단됐다는 뉴스를 본 기억이 없음. 2024년 성인물 문제로 X를 차단할 수 있다고 한 적은 있음
검열 우회 관련 질문에 이곳(Hacker News)이 알맞은 곳이 아니라는 생각임
만약 내가 중국·러시아·이란 정보기관이었으면 그런 위험국가 전용 VPN 업체를 위장해서 반체제자 정보를 모으는 허니팟으로 활용할 것임
내 기준에서 기술적으로 자신있는 개인은 해외 클라우드에 소형 인스턴스 서버를 띄우고 ssh 포워딩+프록시로 정보에 접근하는 게 가장 안전한 방법이라 생각함
잘 알려진 방법이나 업체를 추천한다고 해서 검열 우회 경험이 없다고 치부하는 것은 동의할 수 없음
바깥에 신뢰하지 않는다면 그 위에 또 다른 VPN을 중첩해서 사용할 수도 있음
광고하는 VPN은 상업목적이라 대부분 국가 스파이 기관이 관여할 가능성이 높음
호주와 영국도 곧 이러한 길로 갈지도 모른다는 생각임
6개월 전만 해도 이런 말에 비웃었을 것 같은데, 이제는 현실로 와닿아 걱정됨 (영국)
호주에서 그동안 정치적 이유로 이런 일이 벌어질 것이라고 경고했음
사회의 능력을 과소평가할 필요는 없다는 생각임.
미국의 일부 보수주(레드스테이트)에서도 곧 시도할 것 같음. 포르노 사이트 신분증 인증법이 효과가 없으니 다음 단계로 갈 것으로 보임
"시민 저널리즘"의 90%는 실제 저널리즘이 아니고, 백신 연구하는 시민 과학과 비슷한 수준임
Tor: 사용자 친화적이고 설치 쉬움, 익명성 높고 무료임. 하지만 검열 타깃이 잘되고 느리며, exit node가 거의 모든 사이트에서 불신받음
Tailscale은 OP(질문자)가 Mullvad.net에 접속해 회원가입이 불가할 때만 필요함
Wireguard 가능한 VPS는 연 $20~30에도 있으니 20~30달러/월은 오타같음. vpspricetracker.com에서 저렴한 VPS 찾아볼 수 있음
NordVPN이나 ProtonVPN도 Mullvad와 비슷한 위치임. 무료면 네가 상품이고, 유료여도 결국 트래픽이 공개적으로 알려진 VPN 서버로 가므로, 일부 국가에선 그 메타데이터만으로도 위험할 수 있음
VPS IP는 거주지 IP가 아니라서 일부 사이트/서비스에선 VPS에서 접속하면 막히거나 추가 확인 필요함
Tor는 snowflake 등 반검열 기술도 있음. 차단 강도가 심하다면 Tor가 가장 효과적일 수 있음
중국에서 자주 근무하는데, 내 WireGuard VPN(내 집에 설치함)은 아직까지 차단된 적 없음
우즈베키스탄에서 여행 중인데 wireguard 프로토콜 그 자체가 차단된 것에 놀랐음.
wireguard가 막히는 곳에선 wireguard를 wstunnel로 돌려서 우회한 경험이 있음
wireguard 자체는 네트워크 패턴이 눈에 띄고, 난독화를 추구하지도 않음
단순히 두 컴퓨터가 안전하게 터널을 만드는 프로토콜 하나를 정부가 막아버리는 게 신기함
wireguard 프로토콜 차단은 조만간 영국에서도 현실이 될 수 있다고 생각함
XRay/XTLS-Reality/VLESS도 꽤 잘 작동함. 심지어 중국에서도 탐지 어렵다고 알려짐
중국 방화벽 덕분에 검열 우회 기술이 상당히 발전함. XRay 얘기한 사람 반가움!
sing-box라는 프로젝트도 쓸만함(프로젝트 링크).
트래픽이 전부 단일 웹사이트로 몰리면, 오히려 그 자체가 의심받지 않을까 하는 궁금증 있음
Mastodon은 정권에게 완전히 차단당하기 어렵고, 대부분의 인스턴스는 Tor 사용을 막지 않음.
개별 서버(mastodon.social 등)는 개별적으로 블록하기 쉬운 게 아니냐는 우려 있음
프로토콜 수준 차단도 생각보다 쉽게 가능함. VPN을 차단하는 국가들은 단순 IP 블락에서 프로토콜 차단으로 빠르게 발전하는 경향이 있음