내 나라 정부가 VPN 접속을 차단했습니다. 무엇을 사용해야 할까요?

 (news.ycombinator.com)
3P by GN⁺ 13시간전 | ★ favorite | 댓글 1개
  • 인도네시아는 현재 혼란에 빠져 있고, 오늘 오전 정부는 트위터와 디스코드 접속을 차단했음
  • 뉴스가 주로 해당 채널을 통해 전파된다는 사실을 알고 있었기 때문
  • 보통은 Cloudflare의 WARP를 사용하면 차단을 피할 수 있지만, 오늘 접속이 차단됨. 어떤 대안을 사용해야 할까?
GN⁺ 13시간전  [-]
Hacker News 의견

  • 저는 2020년대 초반 주요 VPN 제공업체에서 검열 우회 작업을 했던 경험이 있음

    • 첫 단계는 실제 VPN 소프트웨어와 설정파일을 구하는 것임. 검열을 신경쓰는 업체들은 S3 같은 막기 어려운 채널과 난독화된 패키지로 프로그램을 배포하며, 때로는 현지 단체와 협력해 안전하게 배포함
    • 소프트웨어를 구했다면, 난독화 계층을 추가해 사용하는 것을 추천함
    • Obfs4proxy라는 도구가 많이 쓰이고, 사전 공유 키를 사용해 트래픽을 별 것 아닌 것으로 위장하며 VPN 핸드셰이크 또한 감춤. 완벽하게 보안이 되진 않지만 대부분의 DPI(딥 패킷 검사)는 뚫음
    • Shapeshifter(Operator Foundation에서 만듦)나 기타 플러그형 전송 방식도 있으니 시도해 볼 가치가 있음. 다만 제공업체가 이 프로토콜을 지원해야 함
    • 장기적으로 가장 힘든 부분은 VPN 사용 자체를 들키지 않는 것임. 장기적 통계 분석에선 난독화가 있어도 VPN 연결을 감지할 수 있으며, 국가가 이를 감시할 때 비교적 저렴하게 구현 가능함. 인도네시아의 상황은 잘 모르니 구체적인 조언은 못하겠음
    • Mullvad는 신뢰할만하고 기술력 있는 VPN 업체라고 생각함. (저는 Mullvad에 소속된 적 없음, 사실 경쟁사였음. 그쪽 접근을 늘 존중했음)

    • 짧은파 방송 대형 운영사 중 누군가가 VPN 패키지 자체를 공공 서비스처럼 데이터 방송으로 전 세계에 송출해주면 좋겠다는 생각임

    • Obfs4proxy가 트래픽을 별 것 아닌 것처럼 보이게 만든다고 했지만, 실제로는 DPI가 랜덤 바이트 스트림이라 판단해 알 수 없는 프로토콜로 분류하고 막아 버릴 수 있음. 오히려 DPI가 HTTPS라고 믿도록 속임수를 쓰는 쪽이 유리함. 물론 HTTPS마저 막아버리면 소용없음

    • Mullvad의 DAITA처럼 트래픽 분석을 막기 위해 일정한 대역폭 패턴으로 전송하는 시스템에 대해 어떻게 생각하는지 궁금함

    • TLS 분할(fragmented TLS)이나 패킷 순서 뒤집기 같은 트릭도 효과가 있고, 기본 HTTPS 트랜스포트만 써도 대부분의 장소에서 시작점으로 괜찮음. URnetwork라는 오픈소스 분산 시스템은 이런 기능을 모두 제공함. 메이저 스토어나 F-Droid에서도 받을 수 있음

    • Obfs4proxy와 Shapeshifter 설치는 정말 번거롭고 시간이 많이 듬

      • 직접 VPS를 구해서(유럽/미국 $10/년 정도면 2GB RAM, 40GB 디스크, 월 TB 단위 트래픽 가능), 유럽 리전을 추천함
      • 거기에 wireguard+난독화 도구 또는 tailscale+자체 DERP 서버 설치
      • 더 간단하게는 ssh -D 포트를 SOCKS 서버로 사용하는 방법도 있음. 대부분 막히지 않지만 트래픽 특성상 쉽게 눈에 띔

  • 중국에서 한동안 살면서 여러 차례 VPN 차단 물결을 겪은 경험 있음. 지금은 대부분 VPN 회사들이 차단국 지원을 포기함. 상업 VPN은 결국 언젠가 반드시 막힘

    • 내가 쓴 방법은 해외 리전의 무료 EC2에 SOCKS5 서버를 올리고 기기에서 접속함. Cloudflare VM도 이 목적으로 잘 맞을 것 같음
    • 개인 트래픽만 오가 너 프로필이 낮고, 해당 리전 내 수많은 서버 중 국가가 쉽게 구분하지 못함
    • 자유롭지 못한 인터넷 환경에서의 생존 팁: GitHub는 차단되지 않으니(중국 기준) 관련 자료와 다운로드를 현지 엔지니어들이 올려두었음
    • static IP 때문에 신원이 걱정된다면 VM도 그냥 컴퓨터이니 추가 VPN 연결해서 익명성 높일 수 있음

    • VPS의 퍼블릭 IP 블록은 널리 알려져 있으니 중국에선 이 방식이 효과 없다고 들은 적 있음. 중국 방화벽에선 쓸 만한 해결책이 아니란 이야기를 들음

    • VM 인스턴스를 VPN 터널로 쓰는 건 좋지만, 중국 내외간 진짜 인터넷 대역폭이 워낙 제한적이라 트래픽 처리 한계가 있음. 더 좋은 세팅은 방화벽 양쪽에 VM을 두고, 같은 호스팅 서비스에 내부외부 VM 간 피어링을 쓰는 것임(알리클라우드가 그 예). 내부 VM은 socat이나 netfilter 같은 도구로 간단히 만들 수 있음

      • 난독화 도구도 반드시 쓰는 게 좋음
      • 차단이 오면 외부 VPN IP만 바꿔주고 설정만 업데이트 하면 됨. 내부 VM IP는 거의 변경 필요 없음

    • 나도 예전에 중국에서 일하면서(오래 살진 않았지만 자주 들어갔음) 내가 소유한 서버에 OpenVPN를 443번 포트나 22번 포트에 열어뒀고, 이걸로 대부분 문제없이 접속했음

    • 2년 전 인도네시아에서도 GitHub가 잠시 차단됐었고, 주요 통신사 중 한 곳에서 SSH도 일시적으로 막았던 적 있었음

  • 인도네시아 현지 거주자로서 최근 X(트위터)/Discord가 차단됐다는 뉴스를 본 기억이 없음. 2024년 성인물 문제로 X를 차단할 수 있다고 한 적은 있음

    • 직접 이 사이트에서 실시간 차단 여부 확인 가능함
    • VPN 연결이 안 된다고 했는데, 일부 업체가 예전엔 차단했던 적 있지만 지난 5년간은 이런 일 없었음
    • 그래서 인터넷 업체(통신사)를 바꿔서 시도해보는 것도 한 방법임

  • 검열 우회 관련 질문에 이곳(Hacker News)이 알맞은 곳이 아니라는 생각임

    • Tor, Tailscale, Wireguard 기반 VPN, Mullvad 등 자가 구축만 추천하는 경향이 있는데, 실제 경험이 부족해보임
    • 중국/러시아/이란 대상 VPN만 찾아보면 됨. 개인정보는 Mullvad보단 못해도 반드시 작동함

    • 만약 내가 중국·러시아·이란 정보기관이었으면 그런 위험국가 전용 VPN 업체를 위장해서 반체제자 정보를 모으는 허니팟으로 활용할 것임

    • 내 기준에서 기술적으로 자신있는 개인은 해외 클라우드에 소형 인스턴스 서버를 띄우고 ssh 포워딩+프록시로 정보에 접근하는 게 가장 안전한 방법이라 생각함

      • 예시로 Squid Proxy 설정 가이드 참고
      • 정부가 ssh 트래픽을 막진 않으니 이 방식이 높은 프라이버시와 차단 우회 모두 가능함

    • 잘 알려진 방법이나 업체를 추천한다고 해서 검열 우회 경험이 없다고 치부하는 것은 동의할 수 없음

      • 익명 업체, 임시적인 방식은 결국 워터링홀 공격에 노출될 수 있음

    • 바깥에 신뢰하지 않는다면 그 위에 또 다른 VPN을 중첩해서 사용할 수도 있음

    • 광고하는 VPN은 상업목적이라 대부분 국가 스파이 기관이 관여할 가능성이 높음

      • 최소한 겉보기에는 작동함(차단된 사이트 접속 가능).
      • 누구 정보기관이 운영하는지에 따라 실제 프라이버시 보장을 받을 수도 있고, 오히려 특정 사용자로 추적해서 트래픽을 저장할 수도 있음
      • 나는 회사가 통제할 수 없는 무료(오픈소스) 소프트웨어가 더 나은 쪽이라고 생각함

  • 호주와 영국도 곧 이러한 길로 갈지도 모른다는 생각임

    • 씁쓸한 점은, 우리(HN 유저)는 우회책을 찾아도 일반 시민들은 예산이나 기술력이 부족해서 정부/대형미디어가 시민 저널리즘을 효과적으로 막게 된다는 현실임

    • 6개월 전만 해도 이런 말에 비웃었을 것 같은데, 이제는 현실로 와닿아 걱정됨 (영국)

    • 호주에서 그동안 정치적 이유로 이런 일이 벌어질 것이라고 경고했음

      • 기술 논쟁이 아닌 정치는 기술을 신경 안 씀
      • 서서히 이런 길로 간다는 점을 모두가 알아야 함
      • 2017년 말콤 턴불 총리 왈: "수학 법칙이 아니라 오직 호주 법만 중요함"

    • 사회의 능력을 과소평가할 필요는 없다는 생각임.

      • 영국의 빈곤지역에서 자라면서 주변엔 늘 컴퓨터/TV 불법구매, 전기 우회선 작업, 복제 CD, 비디오를 구해주는 "그런 아는 형"이 있었음
      • 결국 라즈베리파이 같은 저렴한 하드웨어로 프록시를 설치해주는 "한 집 건너 한 명"이 나올 것
      • 솔직히 말해, 나도 IT 업계에서 실직하면 그런 역할 해볼 생각 있음

    • 미국의 일부 보수주(레드스테이트)에서도 곧 시도할 것 같음. 포르노 사이트 신분증 인증법이 효과가 없으니 다음 단계로 갈 것으로 보임

    • "시민 저널리즘"의 90%는 실제 저널리즘이 아니고, 백신 연구하는 시민 과학과 비슷한 수준임

  • Tor: 사용자 친화적이고 설치 쉬움, 익명성 높고 무료임. 하지만 검열 타깃이 잘되고 느리며, exit node가 거의 모든 사이트에서 불신받음

    • Tailscale+Mullvad exit: 설치, 설정만 하면 되는 수준으로 쉽고 Tor보다 빠름, 활용법 다양함. 단점은 DPI로 Mullvad 트래픽을 판별할 수 있고 비용이 듦
    • 직접 VPS에 Wireguard 혹은 Tailscale: 거의 모든 걸 통제, 속도 선택, 지인과 공유 가능. 단점은 약간의 운영노하우 필요, 월별 20~30달러 이상 호스팅비 예상

    • Tailscale은 OP(질문자)가 Mullvad.net에 접속해 회원가입이 불가할 때만 필요함

      • 인도네시아 정부가 Mullvad 노드를 막으면 아무리 꼼수를 써도 소용없음
      • VPS 시 접근 시도는 외부(웹사이트)에선 IP 고정 때문에 식별이 너무 쉬움
      • 내 추천은 해외 VPS에 Mullvad나 Tor를 설치하고, 트래픽을 그 VPS로 우회시키는 것임. 여러 기기에서 동시에 하려면 VPS를 Tailscale exit node로 쓰는 게 제일 쉬움

    • Wireguard 가능한 VPS는 연 $20~30에도 있으니 20~30달러/월은 오타같음. vpspricetracker.com에서 저렴한 VPS 찾아볼 수 있음

    • NordVPN이나 ProtonVPN도 Mullvad와 비슷한 위치임. 무료면 네가 상품이고, 유료여도 결국 트래픽이 공개적으로 알려진 VPN 서버로 가므로, 일부 국가에선 그 메타데이터만으로도 위험할 수 있음

      • 반드시 주의하며 사용해야 함

    • VPS IP는 거주지 IP가 아니라서 일부 사이트/서비스에선 VPS에서 접속하면 막히거나 추가 확인 필요함

      • 더 나은 해결책은 없지만 참고할 점임

    • Tor는 snowflake 등 반검열 기술도 있음. 차단 강도가 심하다면 Tor가 가장 효과적일 수 있음

  • 중국에서 자주 근무하는데, 내 WireGuard VPN(내 집에 설치함)은 아직까지 차단된 적 없음

    • VPN 서버 도메인은 HTTPS 서비스도 함께 호스팅돼서 도움이 될 수 있음
    • 예전엔 DO droplet에 shadowsocks(오픈소스 프록시)와 obfs(난독화) 쓰다가, 요즘은 v2ray+vmess/vless+reality가 대세임
    • 이쪽은 VPN이 아니라 프록시라 본질 위장이 쉬워서 우회효과 좋음
    • 퍼블릭 VPS에서 호스팅하면 AWS, DO까지 막긴 부담스러우니 잠복성이 있으나, 오히려 명백한 VPN endpoint라 트래픽 패턴상 눈에 띌 수도 있음
    • reddit r/dumbclub에 현재 정보가 조금 남아있으니 참고
    • 이런 세팅 자체는 만들기 어려운 점 염두해야 함. 나도 WireGuard가 계속 되는 게 기적이라고 생각함
    • 특별한 옵션으로 로밍SIM이 있음. 로밍은 원래 내 통신사업자 본사로 트래픽이 터널링되므로 중국에서도 막히지 않음. 서버 접속이나 프록시 세팅 등 비상시에 유용함

  • 우즈베키스탄에서 여행 중인데 wireguard 프로토콜 그 자체가 차단된 것에 놀랐음.

    • 내 서버에 wireguard로 접속하는 게 보통 문제없었는데, 이번엔 프로토콜 전체를 차단하는 경험이 처음임
    • 무엇이, 어떻게 차단됐는지 미리 확인하고 VPN 제공업체를 선택하는 게 중요함

    • wireguard가 막히는 곳에선 wireguard를 wstunnel로 돌려서 우회한 경험이 있음

    • wireguard 자체는 네트워크 패턴이 눈에 띄고, 난독화를 추구하지도 않음

      • 몇몇 도구는 443/TCP로 트래픽을 위장시킴

    • 단순히 두 컴퓨터가 안전하게 터널을 만드는 프로토콜 하나를 정부가 막아버리는 게 신기함

    • wireguard 프로토콜 차단은 조만간 영국에서도 현실이 될 수 있다고 생각함

      • 해커들의 역할이 앞으로 훨씬 중요해질 것임

  • XRay/XTLS-Reality/VLESS도 꽤 잘 작동함. 심지어 중국에서도 탐지 어렵다고 알려짐

    • 중국 방화벽 덕분에 검열 우회 기술이 상당히 발전함. XRay 얘기한 사람 반가움!

    • sing-box라는 프로젝트도 쓸만함(프로젝트 링크).

      • 내 활용법은 앱/서비스별로 라우팅을 달리해서, 예를 들어 은행앱은 5G 모뎀, 미국 내 은행은 US residential proxy, 그 외에는 VPN을 거치게 함(안드로이드 루팅 필요없음)
      • 이런 고급 기능이 중국 방화벽 덕분에 등장했음

    • 트래픽이 전부 단일 웹사이트로 몰리면, 오히려 그 자체가 의심받지 않을까 하는 궁금증 있음

  • Mastodon은 정권에게 완전히 차단당하기 어렵고, 대부분의 인스턴스는 Tor 사용을 막지 않음.

    • 실제로 브라질에서 X가 차단됐을 때 Mastodon 대규모 유입이 있었음
    • joinmastodon.org에서 더 많은 정보 볼 수 있음

    • 개별 서버(mastodon.social 등)는 개별적으로 블록하기 쉬운 게 아니냐는 우려 있음

    • 프로토콜 수준 차단도 생각보다 쉽게 가능함. VPN을 차단하는 국가들은 단순 IP 블락에서 프로토콜 차단으로 빠르게 발전하는 경향이 있음

답변달기