[디지털데일리 이형두기자] 최근 정부가 해외 불법사이트 접속을 막기 위해 도입한 SNI(Server Name Indication) 필드 차단 방식을 두고 반대 여론이 만만치 않다.

관련 정책 도입에 반대하는 청와대 청원은 19일 기준으로 24만명을 넘어섰다. 반대 여론은 오프라인 시위로도 이어져 지난 16일 서울역 광장에서는 50여명이 모였다.

이번 정부 조치의 적절성을 두고 업계 전문가, 학계, 일반인 모두 찬반 의견이 갈린다. 정부는 ‘불법사이트로 인한 아동청소년 음란물, 불법촬영물, 불법도박 피해자의 구제’를 명분으로 내세웠다. 이에 ‘불가피한 조치’라며 동조하는 측과, ‘인터넷 검열 및 표현의 자유 억압’이라는 측이 맞서고 있다. 그러나 각각의 주장은 가치판단의 문제다. 정답은 없다.

◆SNI 필드 차단, 인터넷 검열 혹은 감청? = 방송통신위원회는 정보통신망법 등 근거 법령에 따라 불법 해외 사이트 접속을 차단하는 것은 ‘인터넷 검열이 아니다’고 주장하고 있다.

이는 혼란을 부추기는 표현이다. 검열의 사전적 의미와 국민적 정서와 괴리가 크다. 유해한 정보를 사전에 막는다는 목적에서 ‘불가피한 검열의 확대’라고 하는 게 설득력이 있다.

이번에 도입된 SNI 필드 차단은 근본적인 의미에서 기존 방식과 차이는 없다. 제3자가 서버(홈페이지)와 클라이언트(사용자) 간 통신 내용을 들여다보고 특정 사이트 접속 여부를 확인한다는 점에서 큰 결은 같다.

더욱이 정부는 DNS(Domain Name System) 서버 차단 방식과 더불어 향후 SNI 필드 차단 방식을 도입하겠다고 지난해 5월 예고한 바 있다. 정책 방향성에 있어서는 일관적이다.

기존 차단 방식은 ISP(Internet Service Provider)가 이용자의 일반 페이지(http) 접속 패킷을 들여다보고 분석해 차단한다. 사이트 주소가 블랙리스트와 일치하면 접속차단사이트(warning.or.kr)로 접속을 유도한다.

반면 ‘https’ 로 시작하는 사이트 접속은 인터넷 보안 표준인 TLS(Transport Layer Security) 통신 기술로 이뤄진다. http 차단에 활용되는 ‘패킷 스니핑’이 불가능하다. URL 주소를 포함해 주고받는 데이터를 암호화하기 때문이다. 따라서 정부 차단시스템에서도 차단할 URL 정보를 확인할 수 없었다.

이번에 도입된 SNI 필드 차단 방식은 https 접속 과정에서 필요로 하는 ‘핸드쉐이크’ 과정을 이용하는 방법이다. 서버가 사용자에게 SSL 인증서를 요청할 때 노출되는 서버 네임을 잡아낸다. SNI는 암호화되지 않은 평문으로 전송되기 때문에 ISP가 이를 인지하도록 할 수 있다.

이를 감청이라고 보기는 무리가 있다는 것이 정부 측 입장이다. 통상 편지의 내용물이 아닌 주소 메모만 뜯어 어디로 향하는지만 확인한다거나, 혹은 전화를 걸 때 전화번호는 확인하되 전화 내용은 듣지 않는 것으로 비유된다.

기술 전문가들은 이견이 분분하다. SNI를 통한 접속 로그 확인만으로 사생활 침해라고 보는 입장도 있고, 스팸 메일 차단과 같은 기계적 차단으로 보는 전문가도 있다. 이 역시 정답이 있는 문제는 아니다.

다만 인터넷 이용자들은 이번 조치와 무관하게 이미 ISP에 적지 않은 정보를 제공하고 있다는 것이 보안업계의 정설이다.

고려대학교 정보보호대학원 김승주 교수는 "기존에도 ISP가 들여다 볼 수 있는 정보는 굉장히 많았다. 당연히 고객이 접속할 때 신원을 확인하고, 어느 사이트를 접속하는지 알 수 있다. https 등 암호통신을 해도 마찬가지다"라고 설명했다.

이어 "ISP는 인터넷을 쓰는 길목이기 때문에 누구랑 암호통신을 하는지, 어떤 방식으로 암호통신을 하는지 알리는 과정에서 굉장히 많은 정보가 유출된다. 구글 등에서는 ISP업체들이 정보를 가져가지 못하게 하기 위해 다양한 기술적 조치를 도입하고 있다"고 보탰다. https를 쓰건, SNI 필터링을 하건 ISP가 볼 수 있는 사용자 정보는 이미 충분히 많다는 의미다.

◆불법사이트 차단, 외국에서는? = 방송통신위원회는 세계 각국에서도 접속차단을 시행하고 있는 국가가 많다는 입장이다. 유럽 영국, 프랑스, 독일 등 32개국, 아시아에서 한국, 중국, 인도 말레이시아 등이 유사한 조치를 운영하고 있다고 현황을 밝혔다.

차단 방식은 국가에 따라 차이가 있다. 이들 국가 대부분은 한국이 기존에 쓰던 http 차단 방식을 쓴다. https 접속까지 차단하는 국가는 현재까지 중국과 한국 2개 국가 뿐으로 알려져 있다. 중국의 경우 최근 사설인터넷망(VPN) 접속까지 규제하는 등 차단 기술이 가장 정교하다.

다만 차단 기술을 고도화한 것과 검열 수준이 높은 것은 별개의 문제다. 예컨대 북한은 국경없는기자회가 선정한 ‘인터넷의 적’에 해당될 정도로 검열이 심하지만, https 접속을 차단하는 것은 아니다. 일반 국민들의 자유로운 인터넷 접속 자체가 불가능하므로 고도화된 차단 기술이 필요 없어서다.

중국이 검열 국가로 악명 높은 것은 차단 대상이 광범위하기 때문이다. 구글, 유튜브, 인스타그램, 네이버 블로그와 카페 등 유해사이트로 보기 어려운 곳까지 모두 차단한다. 이는 중국이 인터넷 주권이 국가에게 있는 것으로 보고, 무역전쟁 전략의 한 요소로 활용하기 때문이다.

일본에서도 불법사이트 차단 문제에 대해서 찬반 논란이 있다. 대표적인 것이 지난해 불거진 불법웹툰사이트 ‘망가무라’ 차단 사례다.

당시 일본 정부는 ‘망가무라’를 포함해 ‘애니튜브’, ‘미오미오’ 3개 사이트 불법사이트로 명시해 직접 폐쇄 대상으로 상정하는 긴급 대책을 발표했다. 또 ISP에게 불법 사이트 ‘블로킹’을 자체적으로 실시할 것으로 촉구했다.

블로킹은 특정 사이트를 통신 사업자 판단에 따라 연결할 수 없도록 강제로 차단하는 방식이다. 이용자 접근을 감시해 차단 대상이면 경고 사이트로 유도한다. 이 경우 역시 통신 사업자가 모든 이용자의 사이트 접근 여부를 파악해야 한다는 것이 전제가 된다.

결론적으로 ‘어떻게 차단하느냐’ 보다는 ‘무엇을 차단하느냐’가 일반 인터넷 이용자 입장에서 더 와닿는 문제다.

대부분 국가에서 이같은 조치를 취할 때 ‘통신의 비밀’ ‘알 권리’ 침해 가능성이 있더라도 ‘긴급피난’을 통한 구제 가치를 더 높게 본다. 아동 포르노 사이트가 대표적인 사례다.

이번에 방송통신심의위원회가 심의해 차단 결정이 내려진 해외 불법사이트는 총 895건이다. 이 중 대부분은 불법도박 사이트다. 다만 문제는 불법물에 대한 방심위의 판단이 자의적이고 폐쇄적이라는 것이다. 한 사이트에는 수만개 이상의 콘텐츠가 존재할 수 있다. 이 중 불법 요소가 어느 정도를 차지해야 차단 대상으로 볼지 기준이 모호하다. 문제에 대한 공론화가 이뤄진 적도 없다.

실제로 방심위는 이해하기 어려운 판단을 내린 적이 많다. 지난 2015년 합법 웹툰사이트 ‘레진코믹스’를 음란 정보를 유통했다는 이유로 차단했다가 하루 만에 차단을 번복했으며, ▲저작권 침해 정보가 일부 유통되고 있다는 이유로 차단된 ‘포쉐어드’ 사이트 ▲외국인 기자가 운영하며 북한의 정보통신기술 현황을 전달해 차단된 ‘노스코리아테크’ ▲ ‘2mb18noma'라는 계정명을 썼다가 ’과도한 욕설‘로 차단당한 트위터 계정 사례도 있다.

<이형두 기자>dudu@ddaily.co.kr