▲GN⁺ 8달전 | parent | ★ favorite | on: 중국 만리방화벽(GFW) 사상 최대 규모의 내부 문서 유출: Geedge 및 MESA 관련 분석(gfw.report)Hacker News 의견 여기 흥미로운 분석과 토론이 있음 2018년 설립 이후 Geedge의 첫 고객 중에는 카자흐스탄 정부가 있었고, 회사의 대표 제품인 Tiangou Secure Gateway (TSG)를 판매함 이 솔루션은 중국의 Great Firewall과 비슷하게 모든 웹 트래픽을 감시·필터링하며, 우회 시도까지 통제함 동일한 도구가 에티오피아와 미얀마에서도 도입되어 VPN 금지를 효과적으로 시행하는 데 활용되었음. Geedge는 현지 통신사(Safaricom, Frontiir, Ooredoo 등)와 협력해 국가 검열 시스템을 구축함 내부 자료 유출을 통해, Geedge 직원들이 주요 VPN 도구를 역설계해 차단하는 방법을 찾는 과정이 드러났음. 구체적으로 9개의 상용 VPN이 “해결”되었다고 하며, 이들 트래픽을 탐지·차단할 다양한 기법이 적용됨 중국 내에서 상용 VPN 대부분이 접속 불가 상태이며, 주요 반검열 도구들 역시 접근이 매우 어려움 유출 문서에는 평문 이메일 캡처 정보까지 포함되어 있음 최근 러시아의 VPN 차단 흐름도 이와 같은 기술을 이용할 것이라 추측함 러시아 방화벽이 의심스러운 websocket 엔드포인트를 직접 “노크”하거나, 트래픽이 많은 ssh 연결을 끊는 방식을 보면 러시아 정부가 중국의 전체 스택을 구매해 쓴다고 생각됨 평문 이메일 캡처에 대한 언급을 보고, 서방 국가들도 유사한 일을 하지 않을 리 없다고 생각함 이런 상황이 일상적 현실임을 모두 인지하고 행동해야 한다고 이야기함 정부가 시민들을 상대로 기술적 통제 장치를 도입할 때, 국민이 갖고 있던 정부 견제력이 사라진다는 점을 강조함 대규모 검열, 감시, 사생활 침해는 인간 존엄성과 양립 불가함 테러, 아동 보호 등 ‘공익’을 내세운 온라인 검열의 유틸리터리안 논리는 1차적 효과만 보고 그 이상의 영향을 무시함 일단 검열의 달콤함을 맛본 정부는 결코 그 술병을 다시 막지 않음 결국 위험하거나 불쾌한 콘텐츠만 차단하는 데 그치지 않고, 권력을 지키려는 세력의 이익을 위해 임의로 검열이 확장됨 이번 Great Firewall 관련 유출이 연구자와 활동가들이 검열에 저항할 새 방법을 찾는 데 도움이 되길 바람 네가 전장을 근본적으로 오해한다는 짧은 지적이 있음 네팔 청년층이 이번 달 초, 정부의 대규모 소셜 미디어 차단에 대응해 직접 건물에 불을 지르고 국회의원들을 쫓아낸 사건을 예로 들며, 정말로 그 “술병”이 다시 막힌 적도 있다고 이야기함 독일 사례를 상기시키며 GFW 유출이 도움이 될 거란 낙관론을 경계함 이런 도구를 만드는 데 자기 재능을 쓰기로 한 사람이 과연 어떤 실패한 인간인지 자문하게 됨 돈이 된다면 누군가가 반드시 하게 돼 있음. 혹은 억지로 시킬 수 있는 일임 안타깝지만 대부분의 사안에서 늘 그렇게 생각하며 움직여야 한다고 강조함 예전 GFW 이용 국가에 살던 경험을 공유함 v2ray 등장 전에는 임의 프로토콜을 사용하면 우회에 성공하는 경우가 흔했음 SSH 연결을 socks5로 만들고 ROT13이나 임의 ROTn 암호화로 포장하면, 방화벽이 몇 KB 후 점점 속도를 낮추는 증상을 피할 수 있었음 OpenSSH는 연결 시 자기 이름·버전을 평문으로 드러내 예측이 쉬웠음 시간이 지나 방화벽도 더 적극적이 되어, 미확인 프로토콜의 속도를 곧장 떨어뜨리기 시작했음 합법적인 HTTP 트래픽(예: favicon.ico 파일을 다운받는 것처럼 속임)을 흉내 내면 내용물 패킷만 안전하게 주고받을 수 있었음 Iodine 프로젝트도 핑 패킷으로 유사한 시도를 했지만 속도가 더 느렸음 오늘날 v2ray는 valid 웹페이지 모습, 인증서 포함 등 최대한 실제 트래픽처럼 우회하라고까지 권장함 돈을 벌기 시작한 뒤에는 다수 IP에 라운드로빈 방식으로 트래픽을 보내는 생각도 했음. 일관된 IP로 지문을 만들기 때문임 더 이상 그 국가에 살지 않아 이 가설을 실험해보진 못했지만, 소스 유출을 보고 흥미로운 주말 프로젝트가 될 수 있다고 생각함 TCP, HTTP, QUIC 등 트래픽 디코더가 명시된 반면 UDP는 없었고, 우회에는 영향 없었음. 아마 동일한 IP 레이트 제한이 하위 레벨에서 UDP에도 작동한 것 같음 내 경험을 더하자면, 동일 IP에 Outline 서버를 3년간 운영했더니 GFW가 항상 3일 정도 후 그 IP를 차단함 Outline은 shadowsocks로 트래픽을 난독화하지만, 3일간의 관측 뒤 차단당한다고 봄 여러 서버를 계속 돌려보는 실험을 다음 방문 시 시도해 볼 예정임 백업용 VPN(openvpn/wireguard 사용)도 비슷한 방식으로 약 3일 후 차단됨 최근 일주일간 두 서버만 번갈아 사용하다보니 차단당하지 않아 흥미로웠음 프로토콜보다는 트래픽 패턴이 더 중요한 차단 요소라고 추정함 SSH 연결을 ROT13나 ROTn으로 포장하면 방화벽 차단을 피할 수 있다는 아이디어에 대해 좀 더 설명을 부탁함 직접 구현해보고 싶어, 스크립트나 도구가 남아있으면 보고 싶다고 말함 최근 몇 년간 exfil 기술을 활용한 warps 소프트 라우터 프로토타입을 계속 구현해왔고, DNS/HTTP 스머글링을 벗어나 다른 네트워크 프로토콜에도 유사 방식 적용에 관심이 있음 내 프로젝트 참고 링크: https://github.com/tholian-network/warps 이번 유출의 배후에 ‘중국의 스노든’이 누군지 궁금해짐 아무도 그 사람을 절대 찾아내지 못하길 바람 QUIC 트래픽은 MITM 기법으로 공격이 불가능하다고 알고 있는데, GFW가 이를 어떻게 다루는지 궁금해짐. 완전 차단하는지, 필터링만 하는지 의문임 QUIC뿐만 아니라 TLS 및 기타 암호화 채널도 마찬가지로 보호 가능함 해당 채널들을 식별해 차단하는 건 어렵지 않음 정상적인 웹사이트 접속과 사용자가 전체 트래픽을 한 연결로 보내는 건 트래픽 패턴이 크게 다름 예를 들어 YouTube 같은 대용량 비디오 사이트는 이미 중국에서 차단돼 있으므로, VPN 트래픽이 매우 쉽게 표적이 됨 QUIC 등 주요 프로토콜에는 각각 맞춤형 대응 기법이 준비됨 프로토콜만으로는 해답이 아니며 실질적으로 GFW와 싸우려면 맞춤형 반검열 프로토콜이 필요함 범용적이고 널리 쓰이는 프로토콜로는 방화벽의 패턴 분석을 피할 수 없음 https://gfw.report/publications/usenixsecurity25/en/#3 리포트에 따르면, 중국 방화벽은 TLS와 유사하게 핸드셰이크에서 SNI 정보를 sniff해서 차단함 QUIC가 왜 HTTP1.1이나 2와 MITM 공격 관점에서 다를 게 있는지 의문임 MITM을 방지하는 건 결국 인증서임 당국이 루트 인증서를 강제로 신뢰하게 만들면, QUIC도 별 차이 없음 QUIC 암호화 트래픽이 MITM을 막아주는 건 사실이 아님 보통은 접속 IP 등 메타데이터나, 다운그레이드 공격에 의존함 모든 서버가 QUIC를 지원할 때까지는 방화벽이 서버가 QUIC를 지원하지 않는 척할 수 있음 Cloudflare를 이용한 우회가 안전할 거라 생각할 수 있지만, 실제로 스페인은 축구 경기 중 Cloudflare 전체를 차단하기도 했으니 방심할 수 없음 이런 검열 시스템이 곳곳에 깔리는 건 통제된 노력이 뒷받침된 결과로 봄 갑자기 모든 지도자가 독재 지향적으로 변한 것 같음 서방 민주주의 지도자들조차 민주주의를 중요하게 생각하는 척할 뿐, 본질은 똑같음 광고 차단만 해주는 간단한 방화벽이 필요함 처음엔 영국 등 서방 국가들이 이런 시스템을 모방할지 우려했음 지금 당장 모두가 적극적으로 따라하려는 목표는 아니라고 생각하지만, 일종의 지나친 걱정만은 아님 실상 우리는 이런 시스템 쪽으로 더 가까워지고 있음 중국 공산당이 이런 거대한 시스템을 동원해야만 시민의 정보 접근과 반대 의견 표출을 막으려 한다는 건 체제가 충분히 잘못되고 있음을 보여줌 우린 비교적 자유로운 사회에 살아 다행임 인터넷은 정부 개입과 검열에 점점 밀리는 양상임. 바람직하진 않다고 느껴짐 이런 시스템의 목적은 모든 불복종이나 인식을 원천 차단하는 게 아니라, 소문이나 선동 정보가 바이럴하게 퍼지는 속도를 늦추는 데 있음 이렇게 하면, 정부가 필요한 대응을 준비할 시간을 벌 수 있음 제한 없는 정보 전파가 사회적으로 준비 안 된 지역에선 인도 WhatsApp 린치 사태처럼 부작용이 발생할 수 있음 미국이 전 세계 인터넷을 실질적으로 주도하는 상황에서, 통제 장치 없는 국가는 각종 영향력 행사·색깔혁명 등에 취약해짐. (중국은 예외) 결국 모든 국가가 자국판 GFW를 만들게 될 것이며, 인터넷 주권 확보를 위해선 대안이 없음 미국은 강력한 영향력과 자국 내 인터넷 기업에 적용 가능한 법적 수단 덕분에 가장 마지막에 도입할 뿐임 영국 정치 팟캐스트 Not Another One을 들었는데, 영국 포르노 차단 정책이 과도한 콘텐츠 접근 통제로 해외 정치인들에게도 주목받고 있다고 언급함 20년 전만 해도 ‘아동이 이런 극단적 콘텐츠에 접근’하는 상황은 상상도 어려웠음 영국에서 선정적인 책 출판은 Obscene Publications Acts로 규제받지만, 온라인은 허용돼온 구조임 애초에 GFW는 Cisco가 만들었고, 서방도 이미 관련 기술을 다 갖고 있음 명분만 있으면 언제든 배포 가능 중국은 수출에 의존하기 때문에 모든 걸 막진 않음 프록시 서비스들도 많지만 대다수가 정부 배경을 가짐 사실 거의 모든 기업도 사내에 이런 시스템(프록시·방화벽·컨텐츠 필터) 일부를 쓰고 있음 특히 금융, 은행 등 규제가 강한 업종에서 흔함 나도 내 네트워크에 광고 등 원하지 않는 컨텐츠를 임의로 걸러주는 프록시를 돌림 중국 공산당이 시민 의견을 막을 정도로 체제가 약하다고 보는 해석에 대해, OpenAI 사례를 빗대 설명함 AI 모델에선 아키텍처보다 데이터 품질이 중요하듯, 인간에게도 주입되는 정보 질이 더 중요한 것임 Great Firewall의 주목적은 정치 반대파 검열이지만, 한편으론 중국 시민들이 ‘정크푸드’ 미디어에 빠지지 않게 하려는 요소도 있음 Douyin(중국 틱톡)은 정치적 검열이 강하지만, 영상 품질이 더 ‘건전’함 Douyin은 사회적 조화, Tiktok은 광고수익 극대화라는 알고리즘 가치관 차이가 큼 중국 정부의 행동은 ‘정치적 반대 억압’만으로는 설명이 부족하고, 유교적 ‘사회 조화’ 실현이라는 더 큰 미션의 일부로 볼 수 있음 이는 Douyin과 Tiktok 알고리즘 차이 등 정부의 행동(과잉 규제까지 포함)을 더 잘 설명함. ‘반대 억압’만이 기준이 아님 이 토론 전체가 악마의 변호인들 투성이로 느껴짐 사회가 망가졌음을 표현함
Hacker News 의견
여기 흥미로운 분석과 토론이 있음
2018년 설립 이후 Geedge의 첫 고객 중에는 카자흐스탄 정부가 있었고, 회사의 대표 제품인 Tiangou Secure Gateway (TSG)를 판매함
이 솔루션은 중국의 Great Firewall과 비슷하게 모든 웹 트래픽을 감시·필터링하며, 우회 시도까지 통제함
동일한 도구가 에티오피아와 미얀마에서도 도입되어 VPN 금지를 효과적으로 시행하는 데 활용되었음. Geedge는 현지 통신사(Safaricom, Frontiir, Ooredoo 등)와 협력해 국가 검열 시스템을 구축함
내부 자료 유출을 통해, Geedge 직원들이 주요 VPN 도구를 역설계해 차단하는 방법을 찾는 과정이 드러났음. 구체적으로 9개의 상용 VPN이 “해결”되었다고 하며, 이들 트래픽을 탐지·차단할 다양한 기법이 적용됨
중국 내에서 상용 VPN 대부분이 접속 불가 상태이며, 주요 반검열 도구들 역시 접근이 매우 어려움
유출 문서에는 평문 이메일 캡처 정보까지 포함되어 있음
최근 러시아의 VPN 차단 흐름도 이와 같은 기술을 이용할 것이라 추측함
평문 이메일 캡처에 대한 언급을 보고, 서방 국가들도 유사한 일을 하지 않을 리 없다고 생각함
정부가 시민들을 상대로 기술적 통제 장치를 도입할 때, 국민이 갖고 있던 정부 견제력이 사라진다는 점을 강조함
대규모 검열, 감시, 사생활 침해는 인간 존엄성과 양립 불가함
테러, 아동 보호 등 ‘공익’을 내세운 온라인 검열의 유틸리터리안 논리는 1차적 효과만 보고 그 이상의 영향을 무시함
일단 검열의 달콤함을 맛본 정부는 결코 그 술병을 다시 막지 않음
결국 위험하거나 불쾌한 콘텐츠만 차단하는 데 그치지 않고, 권력을 지키려는 세력의 이익을 위해 임의로 검열이 확장됨
이번 Great Firewall 관련 유출이 연구자와 활동가들이 검열에 저항할 새 방법을 찾는 데 도움이 되길 바람
네가 전장을 근본적으로 오해한다는 짧은 지적이 있음
네팔 청년층이 이번 달 초, 정부의 대규모 소셜 미디어 차단에 대응해 직접 건물에 불을 지르고 국회의원들을 쫓아낸 사건을 예로 들며, 정말로 그 “술병”이 다시 막힌 적도 있다고 이야기함
독일 사례를 상기시키며 GFW 유출이 도움이 될 거란 낙관론을 경계함
이런 도구를 만드는 데 자기 재능을 쓰기로 한 사람이 과연 어떤 실패한 인간인지 자문하게 됨
예전 GFW 이용 국가에 살던 경험을 공유함
v2ray 등장 전에는 임의 프로토콜을 사용하면 우회에 성공하는 경우가 흔했음
SSH 연결을 socks5로 만들고 ROT13이나 임의 ROTn 암호화로 포장하면, 방화벽이 몇 KB 후 점점 속도를 낮추는 증상을 피할 수 있었음
OpenSSH는 연결 시 자기 이름·버전을 평문으로 드러내 예측이 쉬웠음
시간이 지나 방화벽도 더 적극적이 되어, 미확인 프로토콜의 속도를 곧장 떨어뜨리기 시작했음
합법적인 HTTP 트래픽(예: favicon.ico 파일을 다운받는 것처럼 속임)을 흉내 내면 내용물 패킷만 안전하게 주고받을 수 있었음
Iodine 프로젝트도 핑 패킷으로 유사한 시도를 했지만 속도가 더 느렸음
오늘날 v2ray는 valid 웹페이지 모습, 인증서 포함 등 최대한 실제 트래픽처럼 우회하라고까지 권장함
돈을 벌기 시작한 뒤에는 다수 IP에 라운드로빈 방식으로 트래픽을 보내는 생각도 했음. 일관된 IP로 지문을 만들기 때문임
더 이상 그 국가에 살지 않아 이 가설을 실험해보진 못했지만, 소스 유출을 보고 흥미로운 주말 프로젝트가 될 수 있다고 생각함
TCP, HTTP, QUIC 등 트래픽 디코더가 명시된 반면 UDP는 없었고, 우회에는 영향 없었음. 아마 동일한 IP 레이트 제한이 하위 레벨에서 UDP에도 작동한 것 같음
내 경험을 더하자면, 동일 IP에 Outline 서버를 3년간 운영했더니 GFW가 항상 3일 정도 후 그 IP를 차단함
SSH 연결을 ROT13나 ROTn으로 포장하면 방화벽 차단을 피할 수 있다는 아이디어에 대해 좀 더 설명을 부탁함
이번 유출의 배후에 ‘중국의 스노든’이 누군지 궁금해짐
QUIC 트래픽은 MITM 기법으로 공격이 불가능하다고 알고 있는데, GFW가 이를 어떻게 다루는지 궁금해짐. 완전 차단하는지, 필터링만 하는지 의문임
QUIC뿐만 아니라 TLS 및 기타 암호화 채널도 마찬가지로 보호 가능함
https://gfw.report/publications/usenixsecurity25/en/#3 리포트에 따르면, 중국 방화벽은 TLS와 유사하게 핸드셰이크에서 SNI 정보를 sniff해서 차단함
QUIC가 왜 HTTP1.1이나 2와 MITM 공격 관점에서 다를 게 있는지 의문임
QUIC 암호화 트래픽이 MITM을 막아주는 건 사실이 아님
보통은 접속 IP 등 메타데이터나, 다운그레이드 공격에 의존함
이런 검열 시스템이 곳곳에 깔리는 건 통제된 노력이 뒷받침된 결과로 봄
광고 차단만 해주는 간단한 방화벽이 필요함
처음엔 영국 등 서방 국가들이 이런 시스템을 모방할지 우려했음
지금 당장 모두가 적극적으로 따라하려는 목표는 아니라고 생각하지만, 일종의 지나친 걱정만은 아님
실상 우리는 이런 시스템 쪽으로 더 가까워지고 있음
중국 공산당이 이런 거대한 시스템을 동원해야만 시민의 정보 접근과 반대 의견 표출을 막으려 한다는 건 체제가 충분히 잘못되고 있음을 보여줌
우린 비교적 자유로운 사회에 살아 다행임
인터넷은 정부 개입과 검열에 점점 밀리는 양상임. 바람직하진 않다고 느껴짐
이런 시스템의 목적은 모든 불복종이나 인식을 원천 차단하는 게 아니라, 소문이나 선동 정보가 바이럴하게 퍼지는 속도를 늦추는 데 있음
영국 정치 팟캐스트 Not Another One을 들었는데, 영국 포르노 차단 정책이 과도한 콘텐츠 접근 통제로 해외 정치인들에게도 주목받고 있다고 언급함
애초에 GFW는 Cisco가 만들었고, 서방도 이미 관련 기술을 다 갖고 있음
사실 거의 모든 기업도 사내에 이런 시스템(프록시·방화벽·컨텐츠 필터) 일부를 쓰고 있음
중국 공산당이 시민 의견을 막을 정도로 체제가 약하다고 보는 해석에 대해, OpenAI 사례를 빗대 설명함
이 토론 전체가 악마의 변호인들 투성이로 느껴짐