말레이시아, ISP에 DNS 쿼리를 로컬 서버로 리디렉션 의무화
(thesun.my)- 말레이시아 MCMC는 사용자가 Google DNS나 Cloudflare 같은 제3자 DNS를 쓰더라도 DNS 트래픽을 각 ISP의 자체 서버로 되돌리도록 ISP에 지시함
- 핵심 명분은 로컬 ISP DNS의 유해 사이트 차단을 우회하지 못하게 해 악성 사이트가 말레이시아 이용자에게 닿지 않도록 하는 것임
- MCMC는 2018년부터 2024년 8월 1일까지 24,277개 웹사이트를 차단했으며, 온라인 도박 39%와 음란물 31%가 가장 큰 비중을 차지함
- DNS 리디렉션이 “전면 차단”이라는 비판에 대해 MCMC는 저작권 침해·온라인 도박·음란물 같은 악성 콘텐츠가 대상이고 합법 사이트 접근은 유지된다고 반박함
- 합법 웹사이트 접근 문제가 생기면 이용자는 ISP에 신고할 수 있고, 부당하게 영향을 받았다고 보는 웹사이트는 Appeals Tribunal을 통해 이의를 제기할 수 있음
ISP DNS로 되돌리는 리디렉션 지시
- MCMC는 ISP에 제3자 DNS 서버를 사용하는 DNS 트래픽을 각 ISP의 자체 DNS 서버로 리디렉션하라고 지시함
- 대상에는 Google DNS나 Cloudflare 같은 제3자 DNS 서버 사용이 포함됨
- 목적은 사용자가 로컬 ISP DNS 서버가 제공하는 보호를 계속 받게 하고, 악성 사이트가 말레이시아 이용자에게 접근하지 못하게 하는 것임
MCMC가 내세운 보호 논리
- DNS는 웹사이트 주소를 숫자형 IP 주소로 변환해 인터넷에서 웹사이트를 찾게 하는 시스템임
- ISP는 자체 DNS 서버를 운영하며, 이 서버는 콘텐츠 유형에 따라 특정 웹사이트나 도메인 접근을 차단하도록 구성될 수 있음
- MCMC는 DNS 차단이 다음 유형의 사이트로부터 이용자를 보호할 수 있다고 봄
- 멀웨어 배포 사이트
- 피싱 및 기타 악성 활동 사이트
- 성인물과 폭력 웹사이트 같은 부적절한 콘텐츠
차단 규모와 유형
- MCMC는 인터넷 이용자 안전 보호 조치로 2018년부터 2024년 8월 1일까지 총 24,277개 웹사이트를 차단함
- 차단된 웹사이트 분류는 온라인 도박과 음란물·외설 콘텐츠에 집중돼 있음
- 온라인 도박: 39%
- 음란물·외설 콘텐츠: 31%
- 저작권 침해: 14%
- 기타 유해 사이트: 12%
- 성매매: 2%
- 불법 투자·사기: 2%
- 차단 분류 비중:
제3자 DNS와 로컬 DNS의 차이
- 일부 사용자는 Google DNS나 Cloudflare 같은 제3자 DNS 서버를 선택함
- 제3자 DNS는 더 빠른 속도나 향상된 프라이버시 같은 이점을 제공한다고 알려져 있음
- MCMC는 제3자 DNS가 로컬 ISP DNS 서버와 비교해, 특히 현지 맥락의 유해 콘텐츠 보호에서 같은 수준의 보호를 제공하지 않을 수 있다고 봄
전면 차단 비판에 대한 MCMC의 반박
- MCMC는 이번 조치가 “가혹한 조치”라는 비판을 잘못된 주장으로 봄
- 조치 목적은 유해 온라인 콘텐츠로부터 취약 집단을 보호하는 것이라고 재확인함
- DNS 리디렉션이 전면 차단이라는 주장도 부정함
- 차단 대상은 악성 콘텐츠를 호스팅하는 것으로 확인된 웹사이트임
- 예시는 저작권 침해, 온라인 도박, 음란물임
- 합법 웹사이트는 평소처럼 접근 가능함
- DNS 리디렉션은 유해 콘텐츠를 걸러내면서 안전한 사이트 접근은 눈에 띄는 중단 없이 유지하려는 조치임
접근 문제와 이의 제기 절차
- 합법 웹사이트 접근에 어려움이 있으면 사용자는 각자의 ISP에 직접 신고할 수 있음
- MCMC는 그런 신고를 아직 받지 못했다고 밝힘
- 부당하게 표적이 되었거나 영향을 받았다고 보는 웹사이트는 정해진 채널을 통해 이의 제기가 가능함
- MCMC가 설립하고 고등법원 판사가 의장을 맡는 Appeals Tribunal은 독립적으로 운영되며, 각 사건을 공정하고 불편부당하게 검토함
별도 인터넷 안전 규제 프레임워크
- MCMC는 2024년 8월 1일 아동과 가족의 안전한 인터넷 사용을 위한 새 규제 프레임워크를 도입한다고 발표한 바 있음
- 시행 예정일은 2025년 1월 1일임
- 새 프레임워크에 따라 말레이시아 내 등록 사용자가 최소 800만 명인 소셜 미디어와 인터넷 메시징 서비스는 Communications and Multimedia Act 1998, Act 588에 따른 Application Service Provider Class Licence를 신청해야 함
댓글과 토론
Hacker News 의견들
-
MCMC가 “취약 계층을 유해 온라인 콘텐츠에서 보호하기 위한 조치”라고 말하지만, 이런 건 항상 “당신을 위한 것”이라는 핑계로 시작됨
- 누군가 이미 AI 웹브라우저를 만들었는지 궁금함
사용자가 불쾌해할 이미지는 다시 그리고, 광고 문구는 바꾸고, 댓글은 긍정적으로 고쳐 쓰는 브라우저라면 꽤 흥미로울 듯함 - Malaysia는 말하는 돼지가 종교 감정을 해칠 수 있다는 이유로 영화 Babe를 금지한 나라로 유명함
표현의 자유가 그곳에서 높은 우선순위는 아닌 듯함 - 완전히 미친 일임
“우리는 무엇이 해를 끼칠지 예측하는 초인적 능력을 하늘로부터 축복받았으니, 그 축복을 받아들이라. 우리가 이타적으로 당신을 해로부터 보호하겠다”는 식임
“온라인의 말이 해를 끼친다”는 전제는 Monty Python의 이 풍자만큼 터무니없음: https://www.youtube.com/watch?v=Qklvh5Cp_Bs
실제 피해는 단어 때문에 감정적으로 피해를 입었다고 주장하며 피해자 권력으로 학교·커리어·법적 문제를 일으키는 쪽에서 생김
말이 정말 그렇게 위험하다면 즉시 무기화됐을 텐데, 이 주제에 대한 민감성은 극단적인 과장으로 보임
말이 해를 끼친다는 전제가 말이 안 되니, 해악의 정의도 똑같이 공허해짐
권력을 위해 학생회장이나 HOA 회장을 맡은 사람에게, 구성원 뜻과 반대로 혼자 밀어붙이는 정책을 물어보면 그럴듯한 선의 뒤에 이기적 의도가 보임
국가 정치도 같은 게임이고, 손을 휘젓는 권력욕 있는 사람들이 더 능숙하고 경험이 많을 뿐임 - 아이들을 위한 거라잖아. 아이들을 사랑하지 않는 거야?
- 이런 조치를 하는 나라가 아파르트헤이트도 시행해온 곳이라는 점도 있음
- 누군가 이미 AI 웹브라우저를 만들었는지 궁금함
-
네트워크 담당자로서는 내 네트워크에서 DNS를 투명하게 리다이렉트할 수 있는 게 유용한 기능임
하지만 공용 인터넷 사용자 입장에서는 버그처럼 느껴짐
DoH 같은 것이 네트워크 보안과 정책 강제에는 번거롭더라도, 이제는 정부가 DNS를 자기 목적에 이용하지 못할 만큼 보편화될 때가 됐음- 암호화 DNS의 단점은 전통적인 비암호화 DNS나 잘 알려진 IP 목록을 통해 부트스트랩해야 한다는 것임
현재 DoH/DoT를 쓰는 클라이언트 대부분은 Cloudflare, Google, Quad9 같은 소수 제공자 중 하나를 사용함
의지가 있는 정부라면 이 엔드포인트들을 쉽게 차단할 수 있음
물론 암호화 DNS 클라이언트가 차단 시 전통적 DNS로 되돌아가지 않고 그냥 작동을 거부할 수도 있지만, 그러면 해당 국가에서는 클라이언트를 못 쓰게 될 수 있음
Kazakhstan이 국내 모든 TLS 세션을 중간자 공격하고 국민이 루트 인증서를 수동 설치하게 하려 했던 일이 떠오름
Google, Apple, Mozilla는 그 루트 인증서를 완전히 차단해 사용자가 따르더라도 못 쓰게 했음: https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
그 정치적 대치에서는 브라우저 개발자들이 이긴 듯하지만, DoH/DoT가 차단될 때도 같은 싸움을 할지는 모르겠음 - 인프라 보안 담당자로서는 DoH가 오히려 좋음
회사가 운영하는 DoH 서버를 모든 사내 장비에 구성 관리로 강제할 수 있고, 장비가 VPN에 있든 없든 적용됨
어떤 장비가 무엇을 조회하는지 가시성이 좋고, 내부 도메인 처리도 쉽고, 악성코드 도메인을 사내외에서 모두 차단할 수 있음
적어도 내가 일한 회사들은 카페나 WeWork에 있는 노트북이 많고 절반은 VPN도 안 켜져 있었음
내게 DoH는 번거로움보다 훨씬 큰 이득이었음 - DNS가 리다이렉트되더라도, DNS 조회 요청이 다음에 어디로 가는지는 결국 대부분의 인터넷 사용자에게 ISP가 결정함
최근 몇 년 사이 심층 패킷 검사 장비가 많이 보급됐고, 싸고 성능도 높으며 지속 처리량도 큼
UDP 53번 포트의 DNS 질의를 원하는 대상으로 리다이렉트하거나 드롭·블랙홀 처리하는 건 식은 죽 먹기임
VPN 터널만 통과할 수 있지만, 최신 심층 패킷 검사 장비는 VPN과 유사한 트래픽 서명도 찾아 차단할 수 있음
트래픽 변조에 확실히 저항하는 실용적 해법은 트래픽 서명을 난독화하고 동작 포트를 계속 바꾸는 Shadowsocks 터널 안에 VPN 터널을 감싸는 것임 - DoH는 정부에 맞서는 데는 도움이 되지만, 광고업자에게는 도움이 안 됨
Google이나 앱 제작사가 자체 DNS 엔드포인트에 DoH로 접속해서 악성코드와 추적 차단 같은 로컬 조치를 우회하는 걸 막을 방법이 없음
DoH는 양날의 검이고, 대부분에게는 자기 정부보다 광고업자가 더 가까이 있고 더 넓게 퍼진 위협임 - 네트워크 담당자라면 집의 모든 장비에서 DNS 요청을 자신의 DNS 리졸버로 투명하게 리다이렉트하면 됨
그러면 악성코드, 피싱 사이트, 아이들에게 보이고 싶지 않은 포르노 등 무엇을 해석할지 직접 통제할 수 있고, 그 리졸버가 DoH를 쓰게 만들면 됨
하지만 브라우저가 “DoH를 보편화”하도록 요구하는 건 좋지 않음
브라우저가 DoH만 강제하게 될 수 있고, 기업 정책과 충돌해 그런 브라우저는 기업 환경에서 못 쓰게 될 가능성이 큼
- 암호화 DNS의 단점은 전통적인 비암호화 DNS나 잘 알려진 IP 목록을 통해 부트스트랩해야 한다는 것임
-
인터넷의 발칸화는 피할 수 없어 보임
더 많은 사람이 인터넷에 들어올수록 신념, 가치, 정치가 충돌하게 됨
EU나 India 같은 큰 시장은 기업들을 맞춰 세울 수 있지만, 작은 나라들은 글로벌 플랫폼을 선택적으로 차단하고 로컬·준법 대안을 두는 편이 더 쉬움
China는 그게 가능하고 수익성도 있음을 보여줬음- 진정한 전 지구적 데이터 네트워크가 존재했던 예외적인 시기를 살아본 건 큰 행운이었음
결국 관료와 자잘한 영지들이 이 시스템의 존재를 알아차리고 자기 몫을 요구하는 건 엔트로피처럼 필연적으로 느껴짐 - 인터넷 검열은 이미 돌이킬 수 없는 단계에 들어선 듯함
- 미국에 ISP가 IP나 DNS 호스트명을 차단하도록 강제하는 법적 틀이 아직 없다는 게 솔직히 놀라움
10년 넘게 생길 거라고 예상했는데 아직 일어나지 않았음
- 진정한 전 지구적 데이터 네트워크가 존재했던 예외적인 시기를 살아본 건 큰 행운이었음
-
포르노·음란 콘텐츠가 31%, 저작권 침해가 14%라면서 “취약 계층을 유해 온라인 콘텐츠에서 보호”한다고 하는데, 포르노나 더 우스운 저작권 침해로 누가 해를 입는다는 건지 모르겠음
너무 빈약한 핑계처럼 느껴짐
내 나라 Russia의 인터넷 검열도 “아이들을 자살과 마약에서 보호한다”는 식으로 시작했지만, 어른이 되어도 그 “보호”를 거부할 수 없었음
예상대로 시간이 지나며 동의 없이 사람들을 “보호”해야 한다는 대상이 점점 늘어났음
결국 로컬 서비스, 러시아어 콘텐츠, 정부 소유 미디어만 쓰는 게 아니라면 VPN, 패킷 분할기, 기타 반검열 해법 없이는 인터넷이 완전히 망가져 있음
인기 있는 VPN 프로토콜도 차단되기 시작했음. 물론 전부 당신의 안전을 위해서임- 끼리끼리 어울린다는 느낌임
https://www.bloomberg.com/news/articles/2024-09-05/malaysia-...
https://archive.is/lPbtj - 수백만 명, 특히 젊은 남성들이 포르노 때문에 성적으로, 정신적으로, 영적으로 해를 입었다고 봄
- Malaysia는 무슬림 국가임
포르노는 불법이고, 동성애도 불법임
- 끼리끼리 어울린다는 느낌임
-
“저작권 침해, 온라인 도박, 포르노 같은 악성 콘텐츠를 호스팅하는 것으로 확인된 웹사이트만 차단한다”고 하니, Malaysia에서는 포르노가 불법인 듯함
Malaysia 사용자가 DoH로 갈아타기 좋은 시점 같음
수정: Wikipedia에 따르면 포르노 자료를 소유하거나 공유하면 최대 RM10,000 벌금으로 불법임- 나는 Malaysian인데, Google과 Cloudflare 같은 인기 DNS 제공자의 DoH도 이미 망가뜨렸음
1.1.1.1을 자기들 DNS로 라우팅하는 것 같고, DoH에 접속하려 하면 SSL_ERR_BAD_CERT_DOMAIN이 뜸
선택지는 VPN을 쓰거나, 아직 리라우팅되지 않은 DNS를 찾는 고양이와 쥐 게임뿐인 듯함 - 내 나라 South Korea도 포르노 서비스 이용이 금지되어 있음
TLS HELLO를 이용해 TLS를 끊기도 함
그래서 DoH는 지금은 잘 작동해야겠지만, 정부가 곧 HTTPS나 TLS 연결도 끊으려 할 것 같음 - 나라들이 늘 가장 중요한 전투에 매달리는군
- 나는 Malaysian인데, Google과 Cloudflare 같은 인기 DNS 제공자의 DoH도 이미 망가뜨렸음
-
이 경우 정부가 승인한 DNS 제공자가 차단하는 “악성 사이트”에는 거의 확실히 생명을 구할 수 있는 LGBT 자료가 포함될 것임
거기서 멈추지 않고 반정부적인 것도 차단될 것으로 봐야 함
Malaysia의 민주주의 기록은 좋지 않음
물론 우회 방법은 아직 있고, Proton 같은 좋은 VPN을 쓰면 됨
이 방식은 전 세계 권위주의 정권이 분명히 베껴갈 것임- Malaysia의 민주주의 기록이 훌륭하진 않지만 그래도 민주주의 국가임
그리고 민주주의가 아주 잘 작동하는 Malaysia라도 이런 조치에 표를 줄 가능성이 큼
민주주의와 자유주의 가치를 혼동하면 안 됨 - 민주주의라는 단어 자체는 아무 의미도 없음
유럽에도 온라인에 쓴 글 때문에 사람을 감옥에 보내는 게 괜찮은 민주주의 국가들이 있음 - “전 세계 권위주의 정권이 베낄 것”이라지만, 그 배는 이미 떠났다고 봄
Malaysia가 이런 일을 처음 한 나라는 절대 아님 - 무엇이 “생명을 구할” 수 있다는 건지 모르겠음
큰 틀에서 보면 비교적 온건한 이슬람 국가라서, 게이라도 조용히 지내면 아무도 크게 괴롭히지 않는 정도가 최선일 것임 - Malaysia에서 VPN이 합법이라는 게 놀라움
보통 검열과 VPN 차단은 같이 가는 편임
- Malaysia의 민주주의 기록이 훌륭하진 않지만 그래도 민주주의 국가임
-
국경 없는 인터넷과 국가 주권 사이의 긴장은 오늘날 세계에서 벌어지는 가장 중요한 메타 갈등 중 하나임
한쪽에서는 가혹한 권위주의로 비판할 수 있고, 다른 쪽에서는 디지털 주권으로 방어할 수 있음- 권위주의자들은 항상 주권에 호소하니, 인터넷을 망가뜨릴 때라고 다를 이유가 없음
-
거대한 /etc/hosts 파일을 교환하는 풀뿌리 네트워크를 시작할 때일지도 모름
- 거대할 필요는 없음
이상적으로는 지역별로 정치적 이유로 검열되는 항목만 정리해 넣으면 됨 - https://winhelp2002.mvps.org/hosts.htm
- 데스크톱에서 root 권한이 있을 때만 의미가 있음
여기 사람들 대부분은 개인 장비에서 그 권한이 있겠지만, 모두에게 모든 플랫폼에서 작동하는 해법이 필요하고 그건 쉽지 않음
VPN 같은 앱도 China의 Apple App Store에서는 허용되지 않음
다행히 다른 스토어로 전환해 앱을 내려받고 다시 돌아올 수 있고, Android 사용자는 늘 그렇듯 APK를 사이드로드하면 됨
하지만 이것만 봐도 얼마나 복잡한지 알 수 있음
Apple의 폐쇄형 생태계를 정말 싫어하는 또 다른 이유임
- 거대할 필요는 없음
-
여론의 반발 때문에 Malaysia가 입장을 바꿔 DNS 리다이렉션 의무화를 진행하지 않기로 했음: https://www.nst.com.my/news/nation/2024/09/1102836/updated-m...
-
그들이 DoT, DoH, DNSCrypt를 생각해봤는지 궁금함
- 이런 일을 하는 나라 대부분은 Cloudflare나 Google 같은 주요 DoH 제공자도 차단하거나 리다이렉트한다고 봄
물론 다른 서버로 가거나, 최악의 경우 HTTP 프록시를 써서 DoH 트래픽을 숨길 수는 있음
HTTPS 트래픽 전체를 중간자 공격하는 나라들도 있고, 선택지는 정부의 중간자 루트 인증서를 신뢰 저장소에 설치하거나 HTTPS를 쓰지 않는 것뿐임 - 라우터와 휴대폰에 DNS IP를 직접 설정하는 사람들도 있을 수 있음
Google 8.8.8.8 8.8.4.4
Control D 76.76.2.0 76.76.10.0
Quad9 9.9.9.9 149.112.112.112
OpenDNS Home 208.67.222.222 208.67.220.220
Cloudflare 1.1.1.1 1.0.0.1
AdGuard DNS 94.140.14.14 94.140.15.15
CleanBrowsing 185.228.168.9 185.228.169.9
Alternate DNS 76.76.19.19 76.223.122.150
https://github.com/yarrick/iodine =3
- 이런 일을 하는 나라 대부분은 Cloudflare나 Google 같은 주요 DoH 제공자도 차단하거나 리다이렉트한다고 봄