말레이시아의 DNS 검열 정책, 인터넷 자유에 대한 글로벌 위협
말레이시아 통신 멀티미디어 위원회(MCMC)는 지난주 말레이시아의 인터넷 서비스 제공업체(ISP)에 대체 DNS 제공업체로 전송되는 DNS 쿼리를 다시 자체 서버로 리디렉션하도록 명령해 큰 파장을 일으켰습니다.
당시 MCMC는 “유해한 콘텐츠”, 즉 “온라인 도박, 음란물, 저작권 침해, 사기 및 기타 말레이시아 법률 위반과 관련된 웹사이트”로부터 국민을 보호하기 위한 조치라고 설명했습니다.
더 나아가기 전에 DNS가 무엇이며 웹 인프라에서 DNS의 역할이 무엇인지 다시 한 번 살펴보겠습니다.
DNS는 Domain Name System(도메인 이름 시스템)의 약자로, 기본적으로 인터넷의 사전과 같은 역할을 합니다. 브라우저에 www.example.com 같은 웹 주소를 입력하면 컴퓨터는 해당 주소를 IP 주소로 변환해야 합니다. IP 주소는 인터넷에서 특정 서버를 식별하는 숫자 레이블입니다. 이 변환은 DNS 리졸버가 수행합니다. 이 리졸버는 일반적으로 ISP 또는 기기에서 구성한 타사 DNS 서비스에서 운영합니다.
말레이시아 감시 기관이 ISP에 DNS 쿼리를 리디렉션하라는 명령의 맥락에서 보면, 이는 사용자가 대체 DNS 제공업체(예: Google DNS 또는 Cloudflare DNS 또는 AdGuard DNS)를 사용하려고 하면 해당 쿼리가 가로채서 ISP의 자체 DNS 서버로 리디렉션된다는 의미입니다. 이는 표면적으로는 '유해한' 웹사이트로부터 사용자를 보호하기 위한 목적입니다.
ISP가 트래픽을 가로채고 리디렉션하는 것은 얼마나 쉬운가요?
기술적 관점에서 보면, 이러한 성과는 ISP가 네트워크를 통과하는 DNS 트래픽을 제어할 수 있기 때문에 가능합니다. 하지만 여기서 한 가지 중요한 점을 구분해야 합니다. IPv4 또는 IPv6 프로토콜을 사용하여 IP 주소를 반환하고 암호화되지 않은 텍스트 DNS 서버를 사용하는 경우, 인터넷 제공업체는 사용자가 방문하는 웹사이트를 볼 수 있습니다. 즉, 네트워크 트래픽에 액세스할 수 있는 사람이라면 누구나 사용자의 쿼리와 응답을 읽으면서, 가로채고, 수정할 수 있으며, 무엇보다도 사용자의 ISP가 이를 가장 먼저 확인할 수 있습니다. DNS 트래픽은 암호화되지 않았기 때문에 대부분의 사용자에게 이런 일이 발생할 가능성이 있습니다.
하지만 암호화된 DNS 서버로 전송되는 사용자 요청에 대해 ISP가 동일한 조치를 취하는 것은 훨씬 더 어려울 것입니다. 암호화된 DNS 프로토콜은 아직 주류는 아니지만 암호화되지 않은 DNS에 내재된 개인정보 보호 문제를 해결하면서 주목을 받고 있습니다. 이러한 암호화된 요청을 전송하는 데는 여러 보안 프로토콜이 사용됩니다. 가장 널리 채택된 프로토콜은 DNS-over-HTTPS(DoH)와 DNS-over-TLS(DoT)입니다. 또한 속도와 안정성 측면에서 뛰어난 새로운 첨단 프로토콜인 DNS-over-QUIC(DoQ)도 있습니다. 이 프로토콜은 아직 도입 초기 단계에 있으며, AdGuard DNS는 이를 지원하는 최초의 퍼블릭 리졸버입니다.
암호화된 DNS 서버를 사용하면 ISP가 웹 기록을 읽지 못하도록 보호하지만, 여전히 대체 DNS 서버를 사용하고 있다고 추론할 수 있습니다. 이는 ‘부트스트랩’이라는 프로세스 때문입니다. 기기에서 처음 암호화된 DNS 서버를 사용하려고 하면 먼저 암호화되지 않은 기존 DNS를 통해 해당 서버의 IP 주소를 확인해야 합니다. 이 초기 단계(부트스트랩이라고 함)는 암호화된 DNS 서버의 IP 주소를 얻기 위해 암호화되지 않은 일반 DNS 쿼리를 ISP의 DNS로 전송하는 것입니다. 이 단계를 통해 ISP는 사용자가 ISP에 속하지 않은 DNS 서버를 사용하고 있을 가능성이 높다는 사실을 알 수 있습니다.
그러나 이 프로세스는 명확하지 않으며 오류가 많이 발생할 가능성이 높습니다. 따라서 구현 측면에서 ISP가 단순히 트래픽을 리디렉션하는 것 이상으로 나아갈 수 있을지는 확실하지 않습니다. 명령의 범위와 그에 따른 ISP의 책임에 따라 많은 것이 달라질 것입니다. 언뜻 보기에 ISP가 암호화된 DNS를 사용하는 사용자가 대체 DNS 제공업체를 이용하지 못하도록 하는 방법은 인터넷 연결을 끊는 것 같기도 하며, 극단적으로 들릴 수 있습니다.
결론적으로, 암호화된 DNS를 사용하면 DNS 트래픽의 강제 리라우팅으로부터 기기를 보호할 수 있는 기회가 더 많아집니다.
지시 집행이 지연되는 경우: 잠재적 문제
MCMC는 이 명령을 발표한 지 며칠 후, 시행을 보류했습니다. 테오 니에 칭 말레이시아 통신부 차관은 9월 9일에 당국이 명령을 진행하기 전에 업계 리더들과 먼저 협의했어야 한다고 발표했습니다. 그녀는 이제 구체적인 일정을 정하지 않고 이 협의 과정을 진행할 것이라고 언급했습니다. “저희는 MCMC가 적절하고 포괄적인 참여를 수행하기를 원합니다. 한 달이 필요하다면 그렇게 하죠. 3개월이 필요하다면 그렇게해도 됩니다."라고 그녀는 말했습니다.
말레이시아 정부가 이 문제에 대해 입장을 번복한 것은 ISP에 입찰을 강요한 후 MCMC가 받은 반발에 따른 것입니다. Google과 Cloudflare에서 운영하는 공개 DNS 리졸버를 사용하는 사람들이 인터넷에 전혀 접속할 수 없다는 보고가 있었습니다. 또한 합법적인 콘텐츠를 호스팅한다고 주장하는 웹사이트가 이 조치에 걸려 접속할 수 없게 되었다는 불만도 제기되었습니다. MCMC는 해당 웹사이트의 소유자에게 ISP에 연락하고, 그래도 해결되지 않으면 MCMC가 직접 나서라고 권고했지만, 현재 명령의 시행이 무기한 중단된 상태이므로 이것만으로는 충분하지 않은 것으로 보입니다.
무엇이 잘못되었을 수 있는지에 대한 몇 가지 시나리오를 살펴볼 수 있습니다. 하지만 먼저 중요한 것을 짚고 넘어가야 합니다. 우선, 저희는 오늘날의 디지털 상호 연결된 세상에서 그러한 명령이 설 자리가 없다고 생각합니다. 그러한 명령의 정신은 무료 웹의 이념과 상충될 뿐만 아니라, 여러분의 필요에 가장 적합한 서비스를 선택할 수 있는 기본적인 권리를 침해한다는 점입니다.
유해한 콘텐츠로부터 사용자를 보호하려는 의도가 있을 수 있지만, 정부에 그 정도의 통제권을 부여하는 것은 위험하며 잠재적인 악용의 가능성을 열어두는 것입니다. AdGuard는 어떤 콘텐츠를 소비하고 어떤 콘텐츠를 차단할지 결정하는 것은 각 사용자의 몫이라고 굳게 믿고 있습니다. 예를 들어, AdGuard DNS와 같은 무료 공용 DNS 서비스는 비필터링, 광고 차단 및 자녀 보호 모드를 제공하여 사용자가 온라인 환경을 관리할 수 있도록 지원합니다. 서비스 제공업체가 아닌 사용자가 직접 관리해야 합니다.
대중의 불만과는 별개로 이 정책 시행에 문제가 있었던 이유 중 하나는 정부가 승인한 DNS 서버가 블랙리스트에 오른 DNS 서버에서 리디렉션된 요청으로 인한 즉각 과부하일 가능성이 있습니다. 합법적으로 보이는 사이트가 열리지 않는 오류로 인해 일부 사이트가 영향을 받았을 수도 있습니다.
다음 단계는 무엇인가요?
말레이시아 당국이 검토를 위해 결정을 보냈을 수도 있지만, 이 아이디어는 여전히 유효하며 시행될 가능성이 높습니다. 다음 주가 아니라면 올해 안에 시행될 가능성이 높습니다.
MCMC는 또한 명령 시행의 일환으로 가상 사설망을 금지하지 않을 것이라고 밝혔습니다. VPN이 제공하는 암호화는 ISP가 사용자의 DNS 쿼리 또는 기타 데이터를 볼 수 없도록 합니다. ISP는 사용자가 VPN에 연결한 시점을 감지하고 VPN 서버의 IP 주소를 식별할 수 있지만 VPN을 통해 이루어진 DNS 쿼리를 포함한 트래픽 콘텐츠에 액세스하거나 변경할 수는 없습니다. 이러한 DNS 쿼리는 VPN의 자체 DNS 서버에서 처리합니다.
언뜻 보기에 VPN 서비스를 차단하지 않기로 한 결정이 이상해 보이는데, VPN을 사용하면 명령의 효력이 약화될 수 있기 때문입니다. 한 가지 가능한 설명은 당국이 많은 사람들의 행동을 예상할때 굳이 VPN을 통해 우회하면서 사용할 것을 예상 못했을 수도 있습니다.
말레이시아 정부는 VPN을 표적으로 삼지 않음으로써 차단된 콘텐츠에 액세스할 수 있는 허점을 만들게 됩니다. 그러나 이 명령은 여전히 사용자 개인정보 보호 및 보안에 대한 우려를 낳고 있습니다. 이 명령은 ISP와 정부가 사용자의 도메인 이름 목록(예: google.com 또는 dailymail.com 또는 pornhub.com) 에 자유롭게 액세스할 수 있도록 허용할 수 있습니다. 또한 암호화된 DNS 사용자의 인터넷 액세스가 차단되면 사용자 경험과 보안이 약화되고 온라인 보안 표준이 전반적으로 후퇴할 것입니다.
이러한 우려 외에도 이러한 정책은 다른 국가, 특히 민주주의의 자유를 거의 존중하지 않는 국가에 귀감이 되어 잠재적으로 위험한 선례가 될 수 있습니다. 커뮤니티는 자유 웹에 대한 이러한 위협에 맞서 단결하여 반대 의사를 분명히 밝혀야 합니다. 지금은 말레이시아지만 다음 타깃은 한국이 될 수도 있습니다.