중국 만리방화벽(GFW) 사상 최대 규모의 내부 문서 유출: Geedge 및 MESA 관련 분석

 (gfw.report)
16P by GN⁺ 11시간전 | ★ favorite | 댓글 3개
  • 중국 만리방화벽(GFW)의 내부 문서, 소스 코드, 작업 로그 등 500GB 이상 유출 발생
  • 유출 자료는 Geedge NetworksMESA Lab에서 비롯된 것으로, 중국과 여러 국가의 검열·감시 기술이 포함
  • 600GB 이상에 달하는 다양한 파일이 공개되었으며, 접근 및 분석 시 보안 주의 필요
  • Geedge와 MESA Lab은 GFW 연구개발 핵심 조직이자, 중국 기관 및 일대일로 국가 대상 기술 수출 담당
  • 현재까지 소스 코드 상세 분석은 미진행 상태이며, 추가 분석 결과가 GFW Report 등에서 계속 제공 예정

1. 소개

  • 2025년 9월 11일, 중국 만리방화벽(GFW) 역사상 최대 규모의 내부 문서 유출이 발생함
  • 이번 유출은 500GB 이상의 소스 코드, 작업 로그, 내부 커뮤니케이션 기록 등 광범위한 데이터를 포함함
  • 유출 자료의 출처는 GFW의 핵심 기술 집단인 Geedge Networks(주요 과학자 Fang Binxing)와 MESA Lab(중국과학원 정보공학연구소)
  • 문서에 따르면, 해당 조직은 신장, 장쑤, 푸젠 등 중국 지역뿐 아니라, 일대일로 등의 틀을 통해 미얀마, 파키스탄, 에티오피아, 카자흐스탄, 기타 국가검열 및 감시 기술 수출을 진행함
  • 데이터 규모와 파급력이 매우 커서, GFW Report 및 Net4People 등에서 분석과 업데이트가 지속적으로 이루어질 예정임

2. 다운로드 링크

  • Enlace Hacktivista 사이트를 통해 약 600GB의 유출 파일 접근 가능함(토렌트 및 HTTPS 직접 다운로드)
    • mirror/repo.tar 아카이브 파일만 500GB를 차지하며, 전체 파일 리스트와 크기 정보 제공됨
  • 파일 사용 관련 자세한 안내는 David Fifield가 Net4People(GitHub)에서 설명함

3. 보안 주의사항

  • 유출 자료가 매우 민감한 성격임을 강조하며, 다운로드·분석 시 운영 보안 환경이 필수
  • 파일에 잠재적인 위험 요소(감시·악성코드) 포함 가능성 있으므로, 인터넷 연결 없는 가상 머신 등 격리 환경에서 분석을 권고

4. 배경

  • 만리방화벽(GFW) 은 인터넷 검열 시스템 총칭이며, 기관·업체들이 각종 계약에 따라 역할을 분담·협력하는 구조
  • 이번 유출의 근원은 GFW의 연구개발(R&D) 핵심 조직인 Geedge Networks와 MESA Lab
  • MESA Lab은 중국과학원 정보공학연구소 산하이며, Fang Binxing이 주도하던 NELIST(2008년~)에서 발전함
  • MESA Lab 연혁상, 2012년 팀 공식 명명(MESA), 주요 사이버 보안 프로젝트 수행, 인재 프로그램 수상 경력, 대규모 엔지니어링 배포 및 연구진 영입, 다양한 국가 과학기술상 수상 기록 등이 있음
  • 2018년 Geedge Networks가 설립되며, 중국과학원 및 주요 대학 출신 인재들이 핵심 멤버로 합류함

5. 소스 코드 외 파일 분석

  • 유출된 파일 중 소스 코드 이외의 문서는 여러 전문 팀에서 이미 상세히 분석한 상태
  • David Fifield가 관련 보도와 기술 분석 정리 중
  • 단, 소스 코드 파일에 대한 분석은 아직 미완료

6. 소스 코드 파일 분석

  • 소스 코드 부분은 아직 체계적인 분석이 이루어지지 않은 상태
  • 이번 유출은 중요하고 영향력이 크므로, 분석 내용이 현행 페이지와 Net4People 등에서 지속 업데이트될 계획
  • 분석·문의·의견·추가 자료 등은 공개/비공개로 GFW Report를 통해 수집 및 안내함

참고

  • 본 리포트는 GFW Report에서 최초 게시되었으며, 분석 현황과 자료는 Net4People 등에서 계속 공유됨
ndrgrd 17초전  [-]

거대 독재집단들이 담합하여 수억 명의 사람들을 감시하고... 공포 SF 소설같은 이야기지만 실제 세상에서 벌어지는 일이라는 것이 참

답변달기
cnaa97 7시간전  [-]

빅브라더 소스코드 유출!

답변달기
GN⁺ 11시간전  [-]
Hacker News 의견

  • 여기 흥미로운 분석과 토론이 있음

    • 2018년 설립 이후 Geedge의 첫 고객 중에는 카자흐스탄 정부가 있었고, 회사의 대표 제품인 Tiangou Secure Gateway (TSG)를 판매함

    • 이 솔루션은 중국의 Great Firewall과 비슷하게 모든 웹 트래픽을 감시·필터링하며, 우회 시도까지 통제함

    • 동일한 도구가 에티오피아와 미얀마에서도 도입되어 VPN 금지를 효과적으로 시행하는 데 활용되었음. Geedge는 현지 통신사(Safaricom, Frontiir, Ooredoo 등)와 협력해 국가 검열 시스템을 구축함

    • 내부 자료 유출을 통해, Geedge 직원들이 주요 VPN 도구를 역설계해 차단하는 방법을 찾는 과정이 드러났음. 구체적으로 9개의 상용 VPN이 “해결”되었다고 하며, 이들 트래픽을 탐지·차단할 다양한 기법이 적용됨

    • 중국 내에서 상용 VPN 대부분이 접속 불가 상태이며, 주요 반검열 도구들 역시 접근이 매우 어려움

    • 유출 문서에는 평문 이메일 캡처 정보까지 포함되어 있음

    • 최근 러시아의 VPN 차단 흐름도 이와 같은 기술을 이용할 것이라 추측함

      • 러시아 방화벽이 의심스러운 websocket 엔드포인트를 직접 “노크”하거나, 트래픽이 많은 ssh 연결을 끊는 방식을 보면 러시아 정부가 중국의 전체 스택을 구매해 쓴다고 생각됨

    • 평문 이메일 캡처에 대한 언급을 보고, 서방 국가들도 유사한 일을 하지 않을 리 없다고 생각함

      • 이런 상황이 일상적 현실임을 모두 인지하고 행동해야 한다고 이야기함

  • 정부가 시민들을 상대로 기술적 통제 장치를 도입할 때, 국민이 갖고 있던 정부 견제력이 사라진다는 점을 강조함

    • 대규모 검열, 감시, 사생활 침해는 인간 존엄성과 양립 불가함

    • 테러, 아동 보호 등 ‘공익’을 내세운 온라인 검열의 유틸리터리안 논리는 1차적 효과만 보고 그 이상의 영향을 무시함

    • 일단 검열의 달콤함을 맛본 정부는 결코 그 술병을 다시 막지 않음

    • 결국 위험하거나 불쾌한 콘텐츠만 차단하는 데 그치지 않고, 권력을 지키려는 세력의 이익을 위해 임의로 검열이 확장됨

    • 이번 Great Firewall 관련 유출이 연구자와 활동가들이 검열에 저항할 새 방법을 찾는 데 도움이 되길 바람

    • 네가 전장을 근본적으로 오해한다는 짧은 지적이 있음

    • 네팔 청년층이 이번 달 초, 정부의 대규모 소셜 미디어 차단에 대응해 직접 건물에 불을 지르고 국회의원들을 쫓아낸 사건을 예로 들며, 정말로 그 “술병”이 다시 막힌 적도 있다고 이야기함

    • 독일 사례를 상기시키며 GFW 유출이 도움이 될 거란 낙관론을 경계함

  • 이런 도구를 만드는 데 자기 재능을 쓰기로 한 사람이 과연 어떤 실패한 인간인지 자문하게 됨

    • 돈이 된다면 누군가가 반드시 하게 돼 있음. 혹은 억지로 시킬 수 있는 일임
      • 안타깝지만 대부분의 사안에서 늘 그렇게 생각하며 움직여야 한다고 강조함

  • 예전 GFW 이용 국가에 살던 경험을 공유함

    • v2ray 등장 전에는 임의 프로토콜을 사용하면 우회에 성공하는 경우가 흔했음

    • SSH 연결을 socks5로 만들고 ROT13이나 임의 ROTn 암호화로 포장하면, 방화벽이 몇 KB 후 점점 속도를 낮추는 증상을 피할 수 있었음

    • OpenSSH는 연결 시 자기 이름·버전을 평문으로 드러내 예측이 쉬웠음

    • 시간이 지나 방화벽도 더 적극적이 되어, 미확인 프로토콜의 속도를 곧장 떨어뜨리기 시작했음

    • 합법적인 HTTP 트래픽(예: favicon.ico 파일을 다운받는 것처럼 속임)을 흉내 내면 내용물 패킷만 안전하게 주고받을 수 있었음

    • Iodine 프로젝트도 핑 패킷으로 유사한 시도를 했지만 속도가 더 느렸음

    • 오늘날 v2ray는 valid 웹페이지 모습, 인증서 포함 등 최대한 실제 트래픽처럼 우회하라고까지 권장함

    • 돈을 벌기 시작한 뒤에는 다수 IP에 라운드로빈 방식으로 트래픽을 보내는 생각도 했음. 일관된 IP로 지문을 만들기 때문임

    • 더 이상 그 국가에 살지 않아 이 가설을 실험해보진 못했지만, 소스 유출을 보고 흥미로운 주말 프로젝트가 될 수 있다고 생각함

    • TCP, HTTP, QUIC 등 트래픽 디코더가 명시된 반면 UDP는 없었고, 우회에는 영향 없었음. 아마 동일한 IP 레이트 제한이 하위 레벨에서 UDP에도 작동한 것 같음

    • 내 경험을 더하자면, 동일 IP에 Outline 서버를 3년간 운영했더니 GFW가 항상 3일 정도 후 그 IP를 차단함

      • Outline은 shadowsocks로 트래픽을 난독화하지만, 3일간의 관측 뒤 차단당한다고 봄
      • 여러 서버를 계속 돌려보는 실험을 다음 방문 시 시도해 볼 예정임
      • 백업용 VPN(openvpn/wireguard 사용)도 비슷한 방식으로 약 3일 후 차단됨
      • 최근 일주일간 두 서버만 번갈아 사용하다보니 차단당하지 않아 흥미로웠음
      • 프로토콜보다는 트래픽 패턴이 더 중요한 차단 요소라고 추정함

    • SSH 연결을 ROT13나 ROTn으로 포장하면 방화벽 차단을 피할 수 있다는 아이디어에 대해 좀 더 설명을 부탁함

      • 직접 구현해보고 싶어, 스크립트나 도구가 남아있으면 보고 싶다고 말함
      • 최근 몇 년간 exfil 기술을 활용한 warps 소프트 라우터 프로토타입을 계속 구현해왔고, DNS/HTTP 스머글링을 벗어나 다른 네트워크 프로토콜에도 유사 방식 적용에 관심이 있음
      • 내 프로젝트 참고 링크: https://github.com/tholian-network/warps

  • 이번 유출의 배후에 ‘중국의 스노든’이 누군지 궁금해짐

    • 아무도 그 사람을 절대 찾아내지 못하길 바람

  • QUIC 트래픽은 MITM 기법으로 공격이 불가능하다고 알고 있는데, GFW가 이를 어떻게 다루는지 궁금해짐. 완전 차단하는지, 필터링만 하는지 의문임

    • QUIC뿐만 아니라 TLS 및 기타 암호화 채널도 마찬가지로 보호 가능함

      • 해당 채널들을 식별해 차단하는 건 어렵지 않음
      • 정상적인 웹사이트 접속과 사용자가 전체 트래픽을 한 연결로 보내는 건 트래픽 패턴이 크게 다름
      • 예를 들어 YouTube 같은 대용량 비디오 사이트는 이미 중국에서 차단돼 있으므로, VPN 트래픽이 매우 쉽게 표적이 됨
      • QUIC 등 주요 프로토콜에는 각각 맞춤형 대응 기법이 준비됨
      • 프로토콜만으로는 해답이 아니며 실질적으로 GFW와 싸우려면 맞춤형 반검열 프로토콜이 필요함
      • 범용적이고 널리 쓰이는 프로토콜로는 방화벽의 패턴 분석을 피할 수 없음

    • https://gfw.report/publications/usenixsecurity25/en/#3 리포트에 따르면, 중국 방화벽은 TLS와 유사하게 핸드셰이크에서 SNI 정보를 sniff해서 차단함

    • QUIC가 왜 HTTP1.1이나 2와 MITM 공격 관점에서 다를 게 있는지 의문임

      • MITM을 방지하는 건 결국 인증서임
      • 당국이 루트 인증서를 강제로 신뢰하게 만들면, QUIC도 별 차이 없음

    • QUIC 암호화 트래픽이 MITM을 막아주는 건 사실이 아님

    • 보통은 접속 IP 등 메타데이터나, 다운그레이드 공격에 의존함

      • 모든 서버가 QUIC를 지원할 때까지는 방화벽이 서버가 QUIC를 지원하지 않는 척할 수 있음
      • Cloudflare를 이용한 우회가 안전할 거라 생각할 수 있지만, 실제로 스페인은 축구 경기 중 Cloudflare 전체를 차단하기도 했으니 방심할 수 없음

  • 이런 검열 시스템이 곳곳에 깔리는 건 통제된 노력이 뒷받침된 결과로 봄

    • 갑자기 모든 지도자가 독재 지향적으로 변한 것 같음
      • 서방 민주주의 지도자들조차 민주주의를 중요하게 생각하는 척할 뿐, 본질은 똑같음

  • 광고 차단만 해주는 간단한 방화벽이 필요함

  • 처음엔 영국 등 서방 국가들이 이런 시스템을 모방할지 우려했음

    • 지금 당장 모두가 적극적으로 따라하려는 목표는 아니라고 생각하지만, 일종의 지나친 걱정만은 아님

    • 실상 우리는 이런 시스템 쪽으로 더 가까워지고 있음

    • 중국 공산당이 이런 거대한 시스템을 동원해야만 시민의 정보 접근과 반대 의견 표출을 막으려 한다는 건 체제가 충분히 잘못되고 있음을 보여줌

    • 우린 비교적 자유로운 사회에 살아 다행임

    • 인터넷은 정부 개입과 검열에 점점 밀리는 양상임. 바람직하진 않다고 느껴짐

    • 이런 시스템의 목적은 모든 불복종이나 인식을 원천 차단하는 게 아니라, 소문이나 선동 정보가 바이럴하게 퍼지는 속도를 늦추는 데 있음

      • 이렇게 하면, 정부가 필요한 대응을 준비할 시간을 벌 수 있음
      • 제한 없는 정보 전파가 사회적으로 준비 안 된 지역에선 인도 WhatsApp 린치 사태처럼 부작용이 발생할 수 있음
      • 미국이 전 세계 인터넷을 실질적으로 주도하는 상황에서, 통제 장치 없는 국가는 각종 영향력 행사·색깔혁명 등에 취약해짐. (중국은 예외)
      • 결국 모든 국가가 자국판 GFW를 만들게 될 것이며, 인터넷 주권 확보를 위해선 대안이 없음
      • 미국은 강력한 영향력과 자국 내 인터넷 기업에 적용 가능한 법적 수단 덕분에 가장 마지막에 도입할 뿐임

    • 영국 정치 팟캐스트 Not Another One을 들었는데, 영국 포르노 차단 정책이 과도한 콘텐츠 접근 통제로 해외 정치인들에게도 주목받고 있다고 언급함

      • 20년 전만 해도 ‘아동이 이런 극단적 콘텐츠에 접근’하는 상황은 상상도 어려웠음
      • 영국에서 선정적인 책 출판은 Obscene Publications Acts로 규제받지만, 온라인은 허용돼온 구조임

    • 애초에 GFW는 Cisco가 만들었고, 서방도 이미 관련 기술을 다 갖고 있음

      • 명분만 있으면 언제든 배포 가능
      • 중국은 수출에 의존하기 때문에 모든 걸 막진 않음
      • 프록시 서비스들도 많지만 대다수가 정부 배경을 가짐

    • 사실 거의 모든 기업도 사내에 이런 시스템(프록시·방화벽·컨텐츠 필터) 일부를 쓰고 있음

      • 특히 금융, 은행 등 규제가 강한 업종에서 흔함
      • 나도 내 네트워크에 광고 등 원하지 않는 컨텐츠를 임의로 걸러주는 프록시를 돌림

    • 중국 공산당이 시민 의견을 막을 정도로 체제가 약하다고 보는 해석에 대해, OpenAI 사례를 빗대 설명함

      • AI 모델에선 아키텍처보다 데이터 품질이 중요하듯, 인간에게도 주입되는 정보 질이 더 중요한 것임
      • Great Firewall의 주목적은 정치 반대파 검열이지만, 한편으론 중국 시민들이 ‘정크푸드’ 미디어에 빠지지 않게 하려는 요소도 있음
      • Douyin(중국 틱톡)은 정치적 검열이 강하지만, 영상 품질이 더 ‘건전’함
      • Douyin은 사회적 조화, Tiktok은 광고수익 극대화라는 알고리즘 가치관 차이가 큼
      • 중국 정부의 행동은 ‘정치적 반대 억압’만으로는 설명이 부족하고, 유교적 ‘사회 조화’ 실현이라는 더 큰 미션의 일부로 볼 수 있음
      • 이는 Douyin과 Tiktok 알고리즘 차이 등 정부의 행동(과잉 규제까지 포함)을 더 잘 설명함. ‘반대 억압’만이 기준이 아님

  • 이 토론 전체가 악마의 변호인들 투성이로 느껴짐

    • 사회가 망가졌음을 표현함
답변달기