지난달 11일 정부는 KT를 시작으로 ‘Sever Name Indication(이하 SNI) 필드 차단 방식’을 채택해 특정 웹사이트를 차단하기 시작했다. ‘SNI 필드 차단 방식’은 인터넷 이용자가 사이트에 접속하는 과정에서 주고받는 서버 이름(웹사이트 주소)을 정부가 중간에 확인해 접속을 차단하는 방식이다. 정부가 개인의 인터넷 사용 정보를 확인한다는 점에서 개인에 대한 감청·검열 가능성 논란이 일고 있다.
그들의 팽팽한 대립
지난달 12일 청와대 국민청원 게시판에 https 차단 정책에 반대하는 많은 수의 청원이 올라왔다. 그 중 ‘https 차단 정책에 대한 반대 의견’이라는 제목으로 올라온 청원은 3월 4일 기준으로 26만 명 이상의 동의를 얻었다. 청원인은 “리벤지 포르노 유포 저지, 웹툰 보호 목적 등을 위해서라는 명목은 동의한다”며 “하지만 https를 차단하는 것은 인터넷 검열의 시초가 될 우려가 있다”고 밝혔다. 유해 사이트를 차단하려는 목적으로 시작했지만, 이후에는 불법 사이트가 아님에도 정부의 주관적인 판단 하에 불법 사이트로 지정될 위험성이 있다는 것이다. 뿐만 아니라 청원인은 “인터넷 검열을 피하기 위한 우회 방법이 계속 생겨날 것이다. 현재 https 차단도 VPN프로그램이나 ESNI를 활성화하는 방법을 통해서 우회할 수 있다”고 지적했다.
이에 이효성 방송통신위원장은 지난달 21일 해당 청원에 “정책 결정 과정에서 국민이 공감할 수 있도록 소통하는 노력이 부족했다. 여러가지로 송구하다”고 답했다. 이 위원장은 https 차단 정책의 정당성, 검열의 위험성 그리고 사회적 논의의 필요성에 대해서 언급했다. 하지만 “꼭 필요한 조치만 취할 것이며, 더 나은 방법에 대해 의견을 주시면 경청하고 논의하겠다”라며 현 방식을 유지하겠다는 입장을 고수했다. 이에 논란은 사그라들지 않고 2차 청원이 들어간 상태다. ‘HTTPS 차단에 대한 정확한 답변을 부탁드립니다.’라는 제목의 청원은 4일 기준으로 약 3만 7천명의 동의를 얻었다.
숫자로 된 IP주소는 편리성이 떨어지기 때문에 인터넷 이용자들은 대개 영문주소로 된 도메인을 이용한다. 도메인 이름을 IP주소로 변환하는 역할을 하는 것이 바로 Domain Name System(DNS)다. 기존에는 Internet Service Provider(이하 ISP)에 해당하는 SK, KT, LGU+ 등의 통신업체가 DNS에서 이용자의 일반페이지 접속(http) 패킷을 들여다보고 분석해 차단해왔다. 사이트 주소가 블랙리스트와 일치하면 접속차단사이트(warning.or.kr)로 접속 유도한다.
반면 보안접속(https)은 인터넷 보안 표준인 Transport Layer Security(이하 TLS) 통신 기술이기에 http에서 차단했던 방식이 불가능하다. TLS란 SSL의 뒤를 잇는 표준으로, 월드 와이드 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 프로토콜이다. 인증 암호화 기능이 있어 데이터가 인터넷 상에서 도청되는 위험성을 줄일 수 있다. 그래서 기존의 차단 방식으로는 보안접속(https)을 활용하는 해외 불법사이트에 대해 불법정보 삭제 및 접속차단이 불가능했다.
SNI 필드란 이용자가 보안 접속(https)을 통해 해외불법사이트에 접속할 때 서버 이름이 암호화되지 않는 영역이다. 이번에 도입된 ‘SNI 필드 차단 방식’은 이를 활용해 불법 사이트 차단 목록과 SNI 필드의 서버 이름이 일치하면 통신사업자인 ISP가 이용자의 접속을 차단하는 방식이다. 다시 말해 둘 이상의 장치가 서로 보조를 맞추어서 처리를 하는 ‘핸드셰이크(handshake)’ 과정을 이용하는 방법으로, 서버가 이용자에게 SSL 인증서를 요청할 때 노출되는 서버 이름을 잡아낸다. SNI 필드에는 암호화되지 않은 평문으로 전송되기 때문에 ISP가 이를 인지할 수 있다.
전문가 사이에서도 입장 차이를 보이고 있다. SNI를 통한 접속 로그 확인만으로 사생활 침해라고 보는 입장도 있고, 스팸 메일 차단과 같은 기계적 차단으로 보는 입장도 있다. 이는 URL 접속 정보를 보는 관점에 따라 달라진다. 우리대학 컴퓨터과학부 안상현 교수는 “https는 TLS 기반으로 암호화 과정을 거치는데, 데이터를 전송하기 전에 핸드셰이크 과정을 통해 데이터 암호화를 위한 암호 키 교환 과정이 있다. 이때 URL 정보가 전송되는데 이것을 기반으로 불법 사이트를 차단하는 것이다”라고 설명했다. 덧붙여 “URL 접속 정보까지 개인 정보로 본다면 문제가 되겠지만 그게 아니라면 https 차단은 문제가 되지 않는다”며 “핸드셰이크 과정이 끝나야 데이터 전송이 시작되고, 이 때 핸드셰이크 과정 시 교환된 암호 키를 사용해서 데이터 암호화가 된다. 따라서 (접속 로그 외) 데이터 자체 검열은 있을 수가 없다”고 말했다.
방송통신위원회(이하 방통위)는 세계 각국에서도 접속차단을 시행하고 있는 국가가 많아 문제될 것이 없다는 입장이다. 방통위는 유럽의 영국, 프랑스, 독일 등 32개국과 아시아의 한국, 중국, 인도, 말레이시아 등이 접속차단을 시행하고 있다고 현황을 밝혔다. 그러나 차단 방식은 국가에 따라 차이가 있다. 이들 국가 대부분은 한국이 기존에 쓰던 http 차단 방식을 쓴다. 이번에 도입한 https 접속 차단 방식을 쓰는 국가는 현재까지 중국과 한국 2개 국가 뿐이다.
중국의 경우 황금방패라는 시스템이 존재한다. 황금방패란 중국 공안부가 총 8억 달러를 투입해 2009년부터 가동되기 시작한 인터넷 대규모 검열 첩보 시스템을 말한다. 중국 공안부는 유해한 웹상의 콘텐츠로부터 젊은이들을 보호한다는 명목 아래 포르노 사이트뿐만 아니라 정치적으로 민감한 사이트 등을 차단하고 있다. 이 시스템은 베이징, 상하이 등 주요 대도시에 1만여 개의 감시 서버를 설치해 사용자들의 댓글 및 채팅 내용까지 실시간 감시하며, 특정 사이트에 대해서는 그 사용을 원천적으로 봉쇄한다. 이는 중국은 ‘인터넷 주권’이 국가에 귀속돼 있는 것으로 보기 때문이다.
일본에서도 불법 사이트 차단 문제에 대해 찬반 논란이 있다. 대표적인 것이 지난해 불거진 불법 웹툰 사이트 ‘망가무라’ 차단 사례다. 당시 일본 정부는 ‘망가무라’를 포함해 ‘애니튜브’, ‘미오미오’ 3개의 사이트를 불법 사이트로 명시해 직접 폐쇄 대상으로 상정하는 긴급 대책을 발표했다. 또 ISP에게 불법 사이트 ‘블로킹’을 자체적으로 실시할 것을 촉구했다. 블로킹은 특정 사이트를 통신 사업자 판단에 따라 연결할 수 없도록 강제로 차단하는 방식이다. 이용자 접근을 감시해 차단 대상이면 경고 사이트로 유도한다.
아직 부족한 근거와 기준
방통위는 정보통신망법 제44조 제7항 등 근거 법령에 따라 불법 해외 사이트의 접속을 차단하는 것은 인터넷을 검열하거나 표현의 자유를 침해하는 것은 아니라고 주장한다. 그러나 헌법 제18조에 따르면 ‘모든 국민은 통신의 비밀을 침해받지 아니 한다’고 명시돼 있다. 이에 정보통신망법 제44조 제7항이 헌법에 위배된다는 논란이 제기되고 있다.
이번에 방통위가 심의해 차단 결정이 내려진 해외 불법 사이트는 총 895건이다. 이 중 대부분은 불법도박 사이트다. 다만 문제는 불법물에 대한 방심위의 판단이 불분명하고 폐쇄적이라는 것이다. 한 사이트에는 수만 개 이상의 콘텐츠가 존재할 수 있다. 이 중 불법 콘텐츠 비중이 얼마만큼 큰 사이트를 차단 대상으로 볼지 기준이 모호하다.
박은혜 기자 ogdg01@uos.ac.kr