GN⁺ 6달전 | parent | ★ favorite | on: DNS 제공업체 Quad9, 불법복제 차단 명령을 “존립 위협”으로 규정(torrentfreak.com)
Hacker News 의견

  • Cisco의 OpenDNS가 프랑스와 포르투갈에서 법원 명령으로 차단되었다가, 이후 포르투갈에서는 다시 복구되었다는 공지를 봄
    Quad9가 검열에 맞서 싸우려는 건 훌륭하지만, 이들도 프랑스 요청을 차단할 수밖에 없을 것 같음
    사용자에게 상황을 설명하고 정부 담당자 연락처를 안내하는 리디렉션 페이지로 보내는 방식이 낫지 않을까 생각함

    • 기사에 따르면 Google과 Cloudflare는 프랑스 내에서만 차단을 적용할 수 있는 지오펜싱 기술이 있지만, Quad9은 그럴 수 없어 전 세계적으로 차단을 적용했다고 함
      공용 DNS 리졸버가 이런 지오펜싱을 구현하는 데 드는 비용과 복잡도가 얼마나 되는지 궁금함
    • 국가 단위로 전체를 차단하는 건 결국 존립 위협으로 이어질 수 있다고 생각함

  • 은행 웹사이트 로그인 문제를 디버깅하다가 Quad9 DNS가 Google이나 Cloudflare와 다르게 A 레코드 일부만 반환한다는 걸 발견함
    dig 명령으로 테스트했을 때 Google과 Cloudflare는 6개의 IP를 주지만 Quad9은 1개만 줌
    이게 단순한 지리적 라우팅 차이인지, 아니면 뭔가 다른 이유가 있는지 의문이 생김

    • 나도 집에서 Quad9을 기본 DNS로 쓰다가 약 11일 전부터 쿼리가 전혀 안 나가서 IP 차단을 의심했음. 지금은 Quad1으로 바꿔 사용 중임
    • 세 DNS 모두 단일 IP만 반환하는 걸 봄. Google은 EDNS0 client subnet을 사용해 클라이언트 IP 기반으로 지오 타깃팅을 함
      dig -t txt o-o.myaddr.l.google.com @8.8.8.8 명령으로 확인 가능함
    • Quad9을 좋아하려 노력했지만, 북동부 지역에서 SERVFAIL 오류가 너무 잦아서 Cloudflare로 돌아감
    • Google은 EDNS와 로드밸런싱을 쓰기 때문에 테스트용으로는 부적절함. 고정 IP 여러 개 가진 도메인으로 다시 테스트해보는 게 좋음
    • 흥미롭게도 나도 세 DNS 모두에서 각각 다른 단일 IP만 받았음

  • 독일의 여러 ISP들이 이제는 싸움을 포기하고 DNS 자체 검열을 시작했음
    관련 정보는 CUII 사이트에서 볼 수 있음

    • 일본에서도 2018년에 총리실이 해적판 사이트 DNS 차단을 검토했지만, 기술 커뮤니티의 반대로 무산되었음
      지금은 온라인 카지노 사이트 차단을 논의 중임
      관련 자료: 정부 회의록, NIC 발표문
    • 이런 상황일수록 Unbound로 개인 리졸버를 직접 운영하는 게 중요하다고 생각함. 중앙화된 DNS에 의존할 필요가 없음
    • 사실 이런 자체 검열은 예전부터 있었음. The Pirate Bay 시절에도 이미 그랬음

  • 스위스가 내년에 EU와 체결하려는 협정에 서명하지 않기를 바람
    8천 쪽이 넘는 협정문에는 저작권 관련 EU 규제 준수 의무가 포함되어 있어서, 현재의 자유로운 다운로드 환경이 사라질 수 있음
    정치 성향과 무관하게 이건 모두에게 나쁜 거래라고 생각함

  • 나는 Mullvad DNS를 사용 중이며 꽤 만족스러움
    Mullvad DNS 사양

    • Mullvad DNS가 공개되어 있는 줄 몰랐음. 덕분에 알게 됨
      요즘은 DNS4EU도 테스트 중임
    • 나도 백업용으로 쓰지만 속도가 매우 느림
      참고로 Wikimedia DNS도 공개 서비스로 운영 중임: Wikimedia DNS
    • 내 경우 평균 350ms 지연이 나옴. 속도 측정 스크린샷
    • Mullvad DNS는 자주 다운타임이 발생했음. 거의 매일 장애가 있었지만 VPN 자체는 훌륭함

  • DNS 리졸버를 공격하는 건 쉬운 승리처럼 보임
    정말 불법적인 사이트라면 ICANN을 통해 도메인 압류를 시도해야 함. 하지만 그건 입증이 어렵기 때문에 DNS 리졸버를 압박하는 것 같음

    • ICANN을 통한 도메인 압류는 전 세계적으로 적용되어야 해서, 국가별 법률 차이를 반영하기 어려움
      각국이 서로 다른 차단 리스트를 유지할 수 있는 구조가 필요함
    • 하지만 ICANN은 도메인을 직접 압류할 권한이나 메커니즘이 없음
      오직 레지스트라 계약 위반 시 인증 취소만 가능함

  • 아이러니하게도 지금의 탈중앙화 인터넷 흐름은 이상적인 이유가 아니라, 권위주의적 검열에 대한 반작용으로 일어나고 있음

    • 아이러니하지만, 탈중앙화의 본래 미덕 중 하나가 바로 검열 저항성
    • 나는 검열 저항성이 탈중앙화의 핵심 가치라고 생각함
    • 이성, 자유, 검열 저항이야말로 우리가 지켜야 할 덕목임

  • Quad9이 DNSSEC은 유지하면서 악성코드 차단은 없는 리졸버를 운영하는지 궁금함
    합법적인 도메인이 일시적으로 차단되는 경우가 여러 번 있었음

    • 아쉽게도 그런 조합은 없음. 9.9.9.10은 DNSSEC도, 악성코드 차단도 없는 버전임

  • 루트 DNS 서버가 법원 명령으로 검열되거나 수정될 가능성이 있는지 궁금함
    루트 서버는 신성불가침이라 생각했는데, 현실적으로는 어떨지 의문임

    • 미국이 직접 검열을 시도하지 않는 한, 그런 명령에는 강하게 반발할 것 같음
      대신 DNS-over-TorDNS-over-DHT 같은 대안을 개발하고, Tor onion 서비스를 일반화하는 게 좋을 듯함
    • 루트 서버는 완전히 안전하지는 않지만, DNSSEC 검증이 실패하면 SERVFAIL로 처리되어 다른 루트 서버로 재시도함
      따라서 모든 루트 서버가 동시에 수정되지 않는 한 효과가 없음
      참고: DNSSEC 통계
    • 루트 서버는 실제 도메인 레코드를 저장하지 않고 레지스트리 위치만 안내
      따라서 검열이 일어나려면 레지스트리 수준에서 차단이 이루어져야 함
    • 스웨덴의 사례처럼, 레지스트리가 법원 명령을 받으면 도메인을 경찰에 양도하는 식으로 처리함
      하지만 ‘도메인을 영구히 파괴’하는 개념이 없어 차단의 정의가 모호함

  • 나는 자체 네임서버를 운영함
    루트 서버까지 장악되지 않는 이상 DNS 차단은 문제되지 않음
    상위 5000개 도메인을 미리 캐싱해두면 응답 속도도 빠름

    • 현실적으로는 루트 서버보다 TLD/2LD 레지스트리가 차단의 핵심임
      개인 루트 콘텐츠 DNS 서버를 운영하면 이런 공격에 거의 면역이 됨
    • 물론 일부 가정용 네트워크에서는 53번 포트 차단으로 이런 시도가 막힐 수도 있음