- 중국 만리방화벽(GFW)의 내부 문서, 소스 코드, 작업 로그 등 500GB 이상 유출 발생
- 유출 자료는 Geedge Networks와 MESA Lab에서 비롯된 것으로, 중국과 여러 국가의 검열·감시 기술이 포함
- 600GB 이상에 달하는 다양한 파일이 공개되었으며, 접근 및 분석 시 보안 주의 필요
- Geedge와 MESA Lab은 GFW 연구개발 핵심 조직이자, 중국 기관 및 일대일로 국가 대상 기술 수출 담당
- 현재까지 소스 코드 상세 분석은 미진행 상태이며, 추가 분석 결과가 GFW Report 등에서 계속 제공 예정
1. 소개
- 2025년 9월 11일, 중국 만리방화벽(GFW) 역사상 최대 규모의 내부 문서 유출이 발생함
- 이번 유출은 500GB 이상의 소스 코드, 작업 로그, 내부 커뮤니케이션 기록 등 광범위한 데이터를 포함함
- 유출 자료의 출처는 GFW의 핵심 기술 집단인 Geedge Networks(주요 과학자 Fang Binxing)와 MESA Lab(중국과학원 정보공학연구소) 임
- 문서에 따르면, 해당 조직은 신장, 장쑤, 푸젠 등 중국 지역뿐 아니라, 일대일로 등의 틀을 통해 미얀마, 파키스탄, 에티오피아, 카자흐스탄, 기타 국가에 검열 및 감시 기술 수출을 진행함
- 데이터 규모와 파급력이 매우 커서, GFW Report 및 Net4People 등에서 분석과 업데이트가 지속적으로 이루어질 예정임
2. 다운로드 링크
-
Enlace Hacktivista 사이트를 통해 약 600GB의 유출 파일 접근 가능함(토렌트 및 HTTPS 직접 다운로드)
-
mirror/repo.tar아카이브 파일만 500GB를 차지하며, 전체 파일 리스트와 크기 정보 제공됨
-
- 파일 사용 관련 자세한 안내는 David Fifield가 Net4People(GitHub)에서 설명함
3. 보안 주의사항
- 유출 자료가 매우 민감한 성격임을 강조하며, 다운로드·분석 시 운영 보안 환경이 필수
- 파일에 잠재적인 위험 요소(감시·악성코드) 포함 가능성 있으므로, 인터넷 연결 없는 가상 머신 등 격리 환경에서 분석을 권고
4. 배경
- 만리방화벽(GFW) 은 인터넷 검열 시스템 총칭이며, 기관·업체들이 각종 계약에 따라 역할을 분담·협력하는 구조
- 이번 유출의 근원은 GFW의 연구개발(R&D) 핵심 조직인 Geedge Networks와 MESA Lab
- MESA Lab은 중국과학원 정보공학연구소 산하이며, Fang Binxing이 주도하던 NELIST(2008년~)에서 발전함
- MESA Lab 연혁상, 2012년 팀 공식 명명(MESA), 주요 사이버 보안 프로젝트 수행, 인재 프로그램 수상 경력, 대규모 엔지니어링 배포 및 연구진 영입, 다양한 국가 과학기술상 수상 기록 등이 있음
- 2018년 Geedge Networks가 설립되며, 중국과학원 및 주요 대학 출신 인재들이 핵심 멤버로 합류함
5. 소스 코드 외 파일 분석
- 유출된 파일 중 소스 코드 이외의 문서는 여러 전문 팀에서 이미 상세히 분석한 상태
- David Fifield가 관련 보도와 기술 분석 정리 중
- 단, 소스 코드 파일에 대한 분석은 아직 미완료
6. 소스 코드 파일 분석
- 소스 코드 부분은 아직 체계적인 분석이 이루어지지 않은 상태
- 이번 유출은 중요하고 영향력이 크므로, 분석 내용이 현행 페이지와 Net4People 등에서 지속 업데이트될 계획
- 분석·문의·의견·추가 자료 등은 공개/비공개로 GFW Report를 통해 수집 및 안내함
참고
- 본 리포트는 GFW Report에서 최초 게시되었으며, 분석 현황과 자료는 Net4People 등에서 계속 공유됨
에드워드 스노든 사건의 아직도 생생한데 독재자 어쩌고 내가 여기에서도 이런 댓글을 봐야 하는게 설마 2찍? 제발 방구석에서 코딩만 하지 말고 세상여기저기 다녀보시길 ~
어딜봐도 한국 애기는 없는데 갑자기 한국 정치 얘기가 왜 나왔는지 모르겠네요
사이트에서 나가주세요
당신 같은 정치뇌는 이 커뮤니티에 필요 없습니다
말씀하시는 것만 보면 인터넷 세계에서 오래 사시고 현실에서 어떤 소통도 제대로 이루지 못하시는 분으로 보입니다.
방구석에서 이런 댓글만 쓰시지 말고 세상 여기저기 다니면서 "실제 사람들"과 교류하고 사시길 바랍니다.
- 나는 해당 정당을 지지하지 않습니다.
- 2찍 거리는 태도를 어디서 배워오셨는지 모르겠지만 무례하고 못배워먹은 인간으로 보입니다.
- 타인에 대해 아무 것도 모르면서 인생에 훈수를 두는 것은 비웃음을 살 일입니다. 당신이 나보다 얼마나 잘났나요?
- 해당 사건이 벌어졌다고 해서 현재 독재자들이 이런 일을 벌이는 것이 평범하고 놀랍지 않은 일이 되는 것이 아닙니다.
Hacker News 의견
-
여기 흥미로운 분석과 토론이 있음
-
2018년 설립 이후 Geedge의 첫 고객 중에는 카자흐스탄 정부가 있었고, 회사의 대표 제품인 Tiangou Secure Gateway (TSG)를 판매함
-
이 솔루션은 중국의 Great Firewall과 비슷하게 모든 웹 트래픽을 감시·필터링하며, 우회 시도까지 통제함
-
동일한 도구가 에티오피아와 미얀마에서도 도입되어 VPN 금지를 효과적으로 시행하는 데 활용되었음. Geedge는 현지 통신사(Safaricom, Frontiir, Ooredoo 등)와 협력해 국가 검열 시스템을 구축함
-
내부 자료 유출을 통해, Geedge 직원들이 주요 VPN 도구를 역설계해 차단하는 방법을 찾는 과정이 드러났음. 구체적으로 9개의 상용 VPN이 “해결”되었다고 하며, 이들 트래픽을 탐지·차단할 다양한 기법이 적용됨
-
중국 내에서 상용 VPN 대부분이 접속 불가 상태이며, 주요 반검열 도구들 역시 접근이 매우 어려움
-
유출 문서에는 평문 이메일 캡처 정보까지 포함되어 있음
-
최근 러시아의 VPN 차단 흐름도 이와 같은 기술을 이용할 것이라 추측함
- 러시아 방화벽이 의심스러운 websocket 엔드포인트를 직접 “노크”하거나, 트래픽이 많은 ssh 연결을 끊는 방식을 보면 러시아 정부가 중국의 전체 스택을 구매해 쓴다고 생각됨
-
평문 이메일 캡처에 대한 언급을 보고, 서방 국가들도 유사한 일을 하지 않을 리 없다고 생각함
- 이런 상황이 일상적 현실임을 모두 인지하고 행동해야 한다고 이야기함
-
-
정부가 시민들을 상대로 기술적 통제 장치를 도입할 때, 국민이 갖고 있던 정부 견제력이 사라진다는 점을 강조함
-
대규모 검열, 감시, 사생활 침해는 인간 존엄성과 양립 불가함
-
테러, 아동 보호 등 ‘공익’을 내세운 온라인 검열의 유틸리터리안 논리는 1차적 효과만 보고 그 이상의 영향을 무시함
-
일단 검열의 달콤함을 맛본 정부는 결코 그 술병을 다시 막지 않음
-
결국 위험하거나 불쾌한 콘텐츠만 차단하는 데 그치지 않고, 권력을 지키려는 세력의 이익을 위해 임의로 검열이 확장됨
-
이번 Great Firewall 관련 유출이 연구자와 활동가들이 검열에 저항할 새 방법을 찾는 데 도움이 되길 바람
-
네가 전장을 근본적으로 오해한다는 짧은 지적이 있음
-
네팔 청년층이 이번 달 초, 정부의 대규모 소셜 미디어 차단에 대응해 직접 건물에 불을 지르고 국회의원들을 쫓아낸 사건을 예로 들며, 정말로 그 “술병”이 다시 막힌 적도 있다고 이야기함
-
독일 사례를 상기시키며 GFW 유출이 도움이 될 거란 낙관론을 경계함
-
-
이런 도구를 만드는 데 자기 재능을 쓰기로 한 사람이 과연 어떤 실패한 인간인지 자문하게 됨
- 돈이 된다면 누군가가 반드시 하게 돼 있음. 혹은 억지로 시킬 수 있는 일임
- 안타깝지만 대부분의 사안에서 늘 그렇게 생각하며 움직여야 한다고 강조함
- 돈이 된다면 누군가가 반드시 하게 돼 있음. 혹은 억지로 시킬 수 있는 일임
-
예전 GFW 이용 국가에 살던 경험을 공유함
-
v2ray 등장 전에는 임의 프로토콜을 사용하면 우회에 성공하는 경우가 흔했음
-
SSH 연결을 socks5로 만들고 ROT13이나 임의 ROTn 암호화로 포장하면, 방화벽이 몇 KB 후 점점 속도를 낮추는 증상을 피할 수 있었음
-
OpenSSH는 연결 시 자기 이름·버전을 평문으로 드러내 예측이 쉬웠음
-
시간이 지나 방화벽도 더 적극적이 되어, 미확인 프로토콜의 속도를 곧장 떨어뜨리기 시작했음
-
합법적인 HTTP 트래픽(예: favicon.ico 파일을 다운받는 것처럼 속임)을 흉내 내면 내용물 패킷만 안전하게 주고받을 수 있었음
-
Iodine 프로젝트도 핑 패킷으로 유사한 시도를 했지만 속도가 더 느렸음
-
오늘날 v2ray는 valid 웹페이지 모습, 인증서 포함 등 최대한 실제 트래픽처럼 우회하라고까지 권장함
-
돈을 벌기 시작한 뒤에는 다수 IP에 라운드로빈 방식으로 트래픽을 보내는 생각도 했음. 일관된 IP로 지문을 만들기 때문임
-
더 이상 그 국가에 살지 않아 이 가설을 실험해보진 못했지만, 소스 유출을 보고 흥미로운 주말 프로젝트가 될 수 있다고 생각함
-
TCP, HTTP, QUIC 등 트래픽 디코더가 명시된 반면 UDP는 없었고, 우회에는 영향 없었음. 아마 동일한 IP 레이트 제한이 하위 레벨에서 UDP에도 작동한 것 같음
-
내 경험을 더하자면, 동일 IP에 Outline 서버를 3년간 운영했더니 GFW가 항상 3일 정도 후 그 IP를 차단함
- Outline은 shadowsocks로 트래픽을 난독화하지만, 3일간의 관측 뒤 차단당한다고 봄
- 여러 서버를 계속 돌려보는 실험을 다음 방문 시 시도해 볼 예정임
- 백업용 VPN(openvpn/wireguard 사용)도 비슷한 방식으로 약 3일 후 차단됨
- 최근 일주일간 두 서버만 번갈아 사용하다보니 차단당하지 않아 흥미로웠음
- 프로토콜보다는 트래픽 패턴이 더 중요한 차단 요소라고 추정함
-
SSH 연결을 ROT13나 ROTn으로 포장하면 방화벽 차단을 피할 수 있다는 아이디어에 대해 좀 더 설명을 부탁함
- 직접 구현해보고 싶어, 스크립트나 도구가 남아있으면 보고 싶다고 말함
- 최근 몇 년간 exfil 기술을 활용한 warps 소프트 라우터 프로토타입을 계속 구현해왔고, DNS/HTTP 스머글링을 벗어나 다른 네트워크 프로토콜에도 유사 방식 적용에 관심이 있음
- 내 프로젝트 참고 링크: https://github.com/tholian-network/warps
-
-
이번 유출의 배후에 ‘중국의 스노든’이 누군지 궁금해짐
- 아무도 그 사람을 절대 찾아내지 못하길 바람
-
QUIC 트래픽은 MITM 기법으로 공격이 불가능하다고 알고 있는데, GFW가 이를 어떻게 다루는지 궁금해짐. 완전 차단하는지, 필터링만 하는지 의문임
-
QUIC뿐만 아니라 TLS 및 기타 암호화 채널도 마찬가지로 보호 가능함
- 해당 채널들을 식별해 차단하는 건 어렵지 않음
- 정상적인 웹사이트 접속과 사용자가 전체 트래픽을 한 연결로 보내는 건 트래픽 패턴이 크게 다름
- 예를 들어 YouTube 같은 대용량 비디오 사이트는 이미 중국에서 차단돼 있으므로, VPN 트래픽이 매우 쉽게 표적이 됨
- QUIC 등 주요 프로토콜에는 각각 맞춤형 대응 기법이 준비됨
- 프로토콜만으로는 해답이 아니며 실질적으로 GFW와 싸우려면 맞춤형 반검열 프로토콜이 필요함
- 범용적이고 널리 쓰이는 프로토콜로는 방화벽의 패턴 분석을 피할 수 없음
-
https://gfw.report/publications/usenixsecurity25/en/#3 리포트에 따르면, 중국 방화벽은 TLS와 유사하게 핸드셰이크에서 SNI 정보를 sniff해서 차단함
-
QUIC가 왜 HTTP1.1이나 2와 MITM 공격 관점에서 다를 게 있는지 의문임
- MITM을 방지하는 건 결국 인증서임
- 당국이 루트 인증서를 강제로 신뢰하게 만들면, QUIC도 별 차이 없음
-
QUIC 암호화 트래픽이 MITM을 막아주는 건 사실이 아님
-
보통은 접속 IP 등 메타데이터나, 다운그레이드 공격에 의존함
- 모든 서버가 QUIC를 지원할 때까지는 방화벽이 서버가 QUIC를 지원하지 않는 척할 수 있음
- Cloudflare를 이용한 우회가 안전할 거라 생각할 수 있지만, 실제로 스페인은 축구 경기 중 Cloudflare 전체를 차단하기도 했으니 방심할 수 없음
-
-
이런 검열 시스템이 곳곳에 깔리는 건 통제된 노력이 뒷받침된 결과로 봄
- 갑자기 모든 지도자가 독재 지향적으로 변한 것 같음
- 서방 민주주의 지도자들조차 민주주의를 중요하게 생각하는 척할 뿐, 본질은 똑같음
- 갑자기 모든 지도자가 독재 지향적으로 변한 것 같음
-
광고 차단만 해주는 간단한 방화벽이 필요함
-
처음엔 영국 등 서방 국가들이 이런 시스템을 모방할지 우려했음
-
지금 당장 모두가 적극적으로 따라하려는 목표는 아니라고 생각하지만, 일종의 지나친 걱정만은 아님
-
실상 우리는 이런 시스템 쪽으로 더 가까워지고 있음
-
중국 공산당이 이런 거대한 시스템을 동원해야만 시민의 정보 접근과 반대 의견 표출을 막으려 한다는 건 체제가 충분히 잘못되고 있음을 보여줌
-
우린 비교적 자유로운 사회에 살아 다행임
-
인터넷은 정부 개입과 검열에 점점 밀리는 양상임. 바람직하진 않다고 느껴짐
-
이런 시스템의 목적은 모든 불복종이나 인식을 원천 차단하는 게 아니라, 소문이나 선동 정보가 바이럴하게 퍼지는 속도를 늦추는 데 있음
- 이렇게 하면, 정부가 필요한 대응을 준비할 시간을 벌 수 있음
- 제한 없는 정보 전파가 사회적으로 준비 안 된 지역에선 인도 WhatsApp 린치 사태처럼 부작용이 발생할 수 있음
- 미국이 전 세계 인터넷을 실질적으로 주도하는 상황에서, 통제 장치 없는 국가는 각종 영향력 행사·색깔혁명 등에 취약해짐. (중국은 예외)
- 결국 모든 국가가 자국판 GFW를 만들게 될 것이며, 인터넷 주권 확보를 위해선 대안이 없음
- 미국은 강력한 영향력과 자국 내 인터넷 기업에 적용 가능한 법적 수단 덕분에 가장 마지막에 도입할 뿐임
-
영국 정치 팟캐스트 Not Another One을 들었는데, 영국 포르노 차단 정책이 과도한 콘텐츠 접근 통제로 해외 정치인들에게도 주목받고 있다고 언급함
- 20년 전만 해도 ‘아동이 이런 극단적 콘텐츠에 접근’하는 상황은 상상도 어려웠음
- 영국에서 선정적인 책 출판은 Obscene Publications Acts로 규제받지만, 온라인은 허용돼온 구조임
-
애초에 GFW는 Cisco가 만들었고, 서방도 이미 관련 기술을 다 갖고 있음
- 명분만 있으면 언제든 배포 가능
- 중국은 수출에 의존하기 때문에 모든 걸 막진 않음
- 프록시 서비스들도 많지만 대다수가 정부 배경을 가짐
-
사실 거의 모든 기업도 사내에 이런 시스템(프록시·방화벽·컨텐츠 필터) 일부를 쓰고 있음
- 특히 금융, 은행 등 규제가 강한 업종에서 흔함
- 나도 내 네트워크에 광고 등 원하지 않는 컨텐츠를 임의로 걸러주는 프록시를 돌림
-
중국 공산당이 시민 의견을 막을 정도로 체제가 약하다고 보는 해석에 대해, OpenAI 사례를 빗대 설명함
- AI 모델에선 아키텍처보다 데이터 품질이 중요하듯, 인간에게도 주입되는 정보 질이 더 중요한 것임
- Great Firewall의 주목적은 정치 반대파 검열이지만, 한편으론 중국 시민들이 ‘정크푸드’ 미디어에 빠지지 않게 하려는 요소도 있음
- Douyin(중국 틱톡)은 정치적 검열이 강하지만, 영상 품질이 더 ‘건전’함
- Douyin은 사회적 조화, Tiktok은 광고수익 극대화라는 알고리즘 가치관 차이가 큼
- 중국 정부의 행동은 ‘정치적 반대 억압’만으로는 설명이 부족하고, 유교적 ‘사회 조화’ 실현이라는 더 큰 미션의 일부로 볼 수 있음
- 이는 Douyin과 Tiktok 알고리즘 차이 등 정부의 행동(과잉 규제까지 포함)을 더 잘 설명함. ‘반대 억압’만이 기준이 아님
-
-
이 토론 전체가 악마의 변호인들 투성이로 느껴짐
- 사회가 망가졌음을 표현함