독일 인터넷 서비스 제공업체가 DNS를 변경해 내 웹사이트를 차단함

 (lina.sh)
1P by GN⁺ 23시간전 | ★ favorite | 댓글 1개
  • 독일의 대형 인터넷 서비스 제공업체(ISP) 가 최근 내부 조직인 CUII를 공개한 직후, DNS 동작 방식을 변경
  • CUII는 웹사이트 차단 목록을 공개하지 않아, 필자는 차단 여부를 확인할 수 있는 사이트를 제작함
  • ISP들이 차단 사실을 숨기기 위해 DNS에서 차단된 사이트를 존재하지 않는 것처럼 표시하기 시작함
  • 최근 Telefonica가 자신의 테스트 도메인을 차단 후, 필자 사이트를 방문해 탐지 여부를 확인함
  • 이에 Telefonica가 차단 신호를 은폐하였고, 결과적으로 투명성과 감시가 약화

독일 ISP, CUII 차단리스트 관련 DNS 조작 배경

독일의 대표적인 ISP 중 하나가, 내부 조직(CUII)의 실체를 공개한 직후 DNS 동작 방식에 변화를 줌
CUII(인터넷 저작권 클리어링센터)는 웹사이트 차단 여부를 결정하며, 법적 심의나 투명성 없이 대형 ISP와 저작권자들이 임의로 리스트를 운영하는 민간 조직임
필자는 CUII가 차단리스트를 비공개로 운영하기 때문에, 누구나 차단된 도메인을 조회할 수 있는 사이트(cuiiliste.de)를 개발함
독일의 최대 4개 ISP(Telekom, Vodafone, 1&1, Telefonica(o2))가 모두 CUII의 일부임

CUII의 반복되는 실수와 DNS 차단 방식 변화

최근 Netzpolitik.org는 CUII가 이미 폐쇄된 도메인까지 차단하는 실수에 대해 필자가 제공한 정보를 바탕으로 보도함
기존에는 ISP DNS에서 차단된 사이트 요청 시 notice.cuii.info로 리다이렉트되어 차단 사실을 쉽게 확인할 수 있었음
하지만, CUII는 차단 리스트를 비밀로 유지하고자 이러한 확인 방법을 중단시키기 시작함
일부 ISP들은 DNS에서 차단된 사이트를 아예 존재하지 않는 것으로 위장
예외적으로 Telefonica(o2)는 여전히 notice.cuii.info 응답 방식을 유지하고 있었음

블로그 사이트에서 도메인 차단 확인 트래픽 발생

cuiiliste.de에서는 누구나 입력한 도메인이 CUII에 의해 차단되는지 ISP별로 조회 가능함
Telefonica가 소유하는 테스트 도메인 blau-sicherheit.info를 차단 후, 자사 네트워크에서 필자 사이트를 방문해 탐지 가능성 테스트를 진행함
필자의 툴은 이 도메인이 CUII에 의해 차단된 것으로 정확히 감지함

  • Telefonica의 DNS는 test 도메인을 차단 상태로 응답
  • Telefonica 네트워크에서 필자 웹사이트 접속
  • 차단 여부 탐지 성공

Telefonica의 차단 방식 전환과 필자 사이트 방해 의혹

이후 약 2시간 만에 Telefonica가 DNS 차단 방식을 notice.cuii.info 리다이렉트에서 입력 도메인 미존재 응답으로 변경함
이로 인해 필자의 시스템은 수백 개 차단 해제를 잘못 탐지하여 긴급 수정 작업이 필요했음
패치 이후에도 차단 감지 난이도가 상승함
이제는 CUII 차단이 아닌 다른 사유로 차단된 사례(예: 테러리즘 관련)와 구분을 위해 비CUII 차단 도메인 목록과 교차검증을 수행 중임

배경 및 투명성 약화 문제

이러한 변화는, CUII가 부정확한 차단으로 비판받는 시점에서, 감시 및 투명성 회피 목적으로 설명될 수 있음
결국, 공공의 알권리와 감시 체계 약화로 이어지며 CUII와 ISP에만 유리한 구조가 형성됨

관련 기사 및 참고 링크

GN⁺ 23시간전  [-]
Hacker News 의견
  • 독일에는 Clearingstelle Urheberrecht im Internet(CUII)라는 조직이 있음, 인터넷 저작권 관련 사적 단체로, 웹사이트 차단을 결정함, 법관이나 투명성이 없는 ISP와 주요 저작권자들이 무엇을 볼 수 있는지 결정하는 구조임, 그런데 그들의 공식 페이지(cuii.info/en/about-us/)에 따르면 “법원 차단 절차 시행과 법원 명령 집행을 조정한다”라고 밝히고 있음, 즉 법원 명령만을 따르는 것 같지만, 그 언급만으로는 다른 사이트 차단이 배제되는 건 아님
    • 해당 블로그 글은 페이지가 바뀌기 전 작성된 것임, https://cuii.info/en/about-us/">웹아카이브 버전에서는 CUII가 독일 내 독립적인 기구로, 저작권 침해성이 뚜렷한 사이트 차단이 합법인지 공정하게 검토한다고 설명되어 있음, 신청이 들어오면 심사위원회가 만장일치로 “분명한 저작권 침해”인 경우에만 DNS 차단을 권고하며, 그 권고는 독일 연방 네트워크 기관(BNetzA)에 전달됨, BNetzA 검토 후 문제가 없으면 ISP에게 차단 지시가 내려감, 그리고 동일 저자가 최근 버전을 다룬 새 블로그 글에서는 이제 법원 명령 후 차단만 조정한다고 밝힘, “더 이상 비밀 투표도, 기업 검열도 없음, 새 웹사이트 버전은 법적 차단 명령만 시행한다고 설명”
    • 블로그 글은 2월에 작성됐으며, 그 후 CUII는 법원 명령이 올 때까지 내부 그룹이 임의로 차단하던 방식에서 법원 명령에 포함된 도메인만 엄격히 차단하는 방식으로 전환함, 예전에는 “유사한 이전 사례”라며 법원 명령 없이도 차단했지만, 규제 당국의 지적을 받아 이제는 법원 명령 없는 임의 차단을 중단함
    • 마치 “예전에 정치에 부패가 많았다, 지금도 있지만 예전엔 더 심했다”와 비슷한 이야기임
    • 제목이 오해의 소지가 있음, 실제로 저자 사이트의 DNS를 차단한 게 아니라, CUII 스스로 자기 사이트 DNS를 차단해 저자가 DNS 블랙리스트를 어떻게 감지하는지 실험했고, 이후 전략을 변경함
  • CUII 차단 절차가 이제는 자의적 기업 결정이 아니라 법원 명령 기반으로 바뀌었다는 점을 참고할 필요가 있음 관련 블로그
    • 아쉬운 점은, 예전 차단 도메인들은 그대로 남아있음
    • 방금 링크된 기사에 따르면, 현재도 문제적인(악의적인) 차단 리스트가 유지되며 다만 새로 추가되지는 않는 상황임
    • CUII가 정말 포기했는지, 아니면 단지 감시망을 피해 차단을 은폐하는 방법을 찾은 뒤 포기한 척 하는지를 어떻게 알 수 있는지 궁금함
  • 서양에서는 전통적으로 저작권을 통해 검열을 해왔음, 돈이나 비즈니스를 명분으로 하면 검열이라고 여기지 않음, 그런데 오늘날은 미국은 힘과 배제로 자기검열을 강요하고(예: 공직에서 어긋나면 불이익, 미국 입국 제한 등), 유럽은 또다른 방식을 찾음, 이처럼 보안과 통제를 모두가 원하다보니 이제 모두 기술적 해결책만이 답이라는 생각임, 법·정치적 방식은 통하지 않음, 자유는 ‘헛된 유행’이 되었고, 주장하는 사람들도 결국 자기자신만을 위한 자유만 원함, 우주로 인류를 보내야 한다는 사람이 정작 지구에서 “허가 없이 여행했다”는 이유로 구금된 이들과 포즈를 취하는 아이러니, 그래서 이런 검열 관심 기술자라면 기존 웹사이트 대신 새로운 도구가 필요함, 주류는 결국 지배세력이 원하는 대로 통제될 수밖에 없음
    • 과거엔 법으로 해결하길 원했지만 이제는 기술적 해법에 공감함, 90-00년대 현실 공간에서 자유가 위축될 때 젊은 세대가 인터넷에서 탈출구를 찾았음, 집을 짓거나 창업은 힘들지만, 사이트 만드는 건 상대적으로 자유로웠던 시절이 있었음, 그러나 지금은 정부와 이해관계자들이 인터넷에도 개입해 예전 같은 자유가 사라짐, AI 콘텐츠와 봇, 검색난, 인간 인증 등으로 인터넷이 점점 답답해짐, 그래서 freenet, yggdrasil, alfis, gemini, reticulum, B.A.T.M.A.N 같은 새로운 네트워크 공간을 만들어야 할 필요성을 느낌, 그리고 그런 곳이 재미있기도 함, 정부가 거기까지 따라오는 데에도 시간이 걸릴 것임
    • 미국에 살면서 지금의 자유 흐름에 공감하지 않음, 나는 미국이 지향했던(적어도 좋은 취지의) 원칙들을 지지함, 경찰-군인 등 개개인은 옹호하지만, 그들이 수행해야 하는 권위주의적 명령은 지지하지 않음, 많은 이들이 법과 질서, 모두의 보호를 위해 입대했지 나쁜 일을 하고 싶어하진 않은데 구조가 강요하는 느낌임, 텍사스 게리맨더링 법(선거구 조작)이 통과됐고 자정작용을 기대만 해선 안 될 것임, 우주 진출은 생명과 타 공간을 해치지 않는 한 도전해볼 가치가 있다고 생각함, 모든 생명은 결국 어떤 이유로라도 이동이 필요함
    • “이 웹사이트 자체도 검열에 대한 것, 관심 있는 사람은 웹사이트 사용하면 안 됨, 새 도구가 필요함, 주류는 결국 지배세력에 의해 통제됨”이라는 주장에, 실제로 어떤 모습일지 상상이 잘 안 됨, 타이밍상 이미 너무 늦었다는 생각도 듦, 단말 인증(Device attestation)이 점점 강제되고 있고, 패스키(passkey) 역시 빠르게 도입됨, 프로토콜 대안을 만들 수 있지만 권력집단의 묵인이 전제됨, Signal, VPN, BitTorrent, Tor도 언젠가 막힐 수 있음, 결국 애플·구글 같은 빅테크가 제어하는 기기를 대다수가 쓴다면 어떤 프로토콜도 소용이 없을 수 있음
    • 상업적 검열은 널리 받아들여지지만 ‘공공의 선’을 위한 검열도 사실 본질적으로 그렇게 다르지 않을 수 있다는 흥미로운 생각임, 결과적으로는 자유가 과도하게 침해될 위험성이 항상 있음
    • “서양에서 검열은 저작권 권리로 이루어졌다, 돈과 비즈니스로 하면 검열로 간주되지 않았다”는 표현에, 두 문장이 상충된다는 생각, 저작권을 통한 검열과 비즈니스 목적의 권리 주장은 결국 동일하게 보임, 전통적으로 하나만 검열로 간주하지 않았다는 건 논리적 모순 같음
  • 검열이 많아질수록, ISP가 손대지 못하는 정말 검열 불가능한 프로토콜을 구축하는 동기가 생김
    • 이런 프로토콜이나 개정안들은 이미 존재함, 예: 사이트별 DNSSEC, 사용자 단의 DoT/DoH, 이로써 ISP의 악의적 응답 조작을 막을 수 있음, 다만 현실적으론 널리 사용되지 않고 있고, ISP가 SNI 검사나 IP 차단 등 더 우회하기 어려운 검열 수단을 도입할 수 있음
    • 결국 모든 것은 물리적 네트워크 계층에 종속됨, 그 계층을 통제하는 자가 언제든 통신 차단 가능함, ISP가 손댈 수 없는 유일한 진짜 프로토콜은 거대한 군대가 필요하고, 그 군대가 스스로 방해하지 않도록 동기를 부여해야 함
    • 이미 존재하는 프로토콜 예시로, I2P 라우터로 다크넷 구축, Yggdrasil로 차세대 분산 프라이빗 인터넷 구축, 아니면 단순하게 암호화 DNS(Njalla DNS, Mullvad DNS) 사용, 또는 좋은 VPN(Mullvad 등) 쓰기를 추천함, 동시에 프라이버시를 지키는 정치에 투표하고 의원들에게 편지를 보내는 활동도 병행해야 함
    • 대체 프로토콜이 실전에서 널리 보급되기 힘든 문제도 있음, 평시엔 이런 도구를 쓰다간 ‘타깃’이 될 수 있음, 보통 재난·대재앙 이후에야 대중적으로 채택된다는 한계가 있음
    • 더 많은 검열은 ‘우회책’ 찾기보다 더 나은 정부를 뽑도록 해야 한다는 이유임, 독재 수용하며 우회 방법만 찾는 건 문제임
  • 이 페이지의 우회책들은 주로 대형 공용 resolver 사용을 권장함, (만약 저자가 HN을 본다면) 9.9.9.9, 1.1.1.1, 그리고 특히 DNS4EU 서비스가 어느 도메인을 차단하는지 알 수 있으면 좋겠음
    • DNS4EU에 대해 처음 들어봤다는 반응, joindns4.eu/about 링크 공유
    • DNS 공급자(dns4eu, nextdns 등)는 어떤 DNS 서버 소프트웨어(nsD, bind 등)를 사용하는지, 혹은 자체 개발했는지 궁금함
  • 요즘 발달된 저작권 단속이나 토렌트 사냥 등의 강화 기조 때문에 Proton이 스위스 제도 때문에 독일로 이전 결정한 부분이 궁금함, 개인정보 보호 때문에 운영이 어려워지는 것은 이해하지만, 왜 독일을 선택했는지 궁금함, 스위스 새 법안이 정확히 뭔지 자세히 본 것은 아니나, 독일보다 더 심각한 규제라면 어느 부분인지 의문도 있음, (참고로 Mullvad는 스웨덴 기반)
    • 스위스인으로서, 자세히 보진 않았지만 새 법안은 사용자 데이터 6개월 보관 의무가 생길 예정으로 알고 있음, 물론 반갑지는 않지만, EU는 지속적으로 암호화에 백도어를 요구하고 있어 더 심각함, 결국 Proton의 결정은 비용 절감 탓이 크고, 스위스 법은 핑계라는 해석임
  • 도메인이 ‘몰수’되면, 새 “소유자”가 등록 갱신료를 내는지 궁금함, 만약 낸다면: 블록된 도메인 복사 사이트를 고가 갱신료의 Vanity TLD에 등록하고, 주목받게 만들어서, 수익을 낼 수 있지 않을까 하는 발상임
    • 여기선 도메인을 몰수하는 게 아니라 차단만 하는 구조임, ISP의 기본 DNS 서버에서 네임서버 응답만 조작하는 것임, 설령 도메인을 경찰이 몰수해도 렌트카 몰수처럼, 사용료를 대신 내줄 리는 없음
    • 도메인 몰수가 절차상 더 많은 비용이 들어갈 수 있고, 보통 사이트 차단은 ICANN과 무관하며, 사이트 운영자가 도메인 소유를 유지함, ISP가 DNS 질의 결과를 조작하는 방식이라 우회가 쉬움
    • 정부가 도메인을 몰수한다고 해도 실제로 돈을 내는 경우는 없다고 생각함
    • 제1단계(TLD 만들기) 이후가 다소 “나머지는 부엉이 그리기” 같은 느낌의 발상임
  • 독일은 이런 문제에서 참 후진적임, 실력 있는 엔지니어들이 자유로운 국가로 이주해야 함
    • 자유로운 국가가 어디인지 정의해달라는 반응
    • 이미 그런 현상이 벌어지고 있음
    • 트럼프 시대의 미국도 자유로운 세계는 아니지 않냐는 의견임
  • 이런 검열 방식을 8.8.8.8과 같은 퍼블릭 DNS 사용만으로 쉽게 우회가 가능한지 질문임
    • ‘unbound’와 같이 직접 DNS 리졸버를 운영하는 것도 하나의 대안임
답변달기