이번 포스팅에서는 KT에서 차단한 HTTPS 웹사이트들에 대해 우회 접근할 수 있는 방법들을 알려드리도록 하겠습니다. 2월 11일 부터 정부 요청에 따라 KT망 접속자들만 차단이 이뤄지고 있는데 이후 정부 요청에 의해 확대될 것으로 보입니다. 여기에 대해서는 하고 싶은 말은 많지만 시국상 어떤 불이익을 받을지 모르니 우회 방법만 정리해 보고 끝내겠습니다. 우회 방법은 파이어폭스 브라우저를 통한 접속, 러시아 개발자가 만든 프로그램을 통한 접속, 컴퓨터 MTU 값 수정을 통한 방법, 구글 번역 사이트를 통한 접속 방법(가장 쉬움) 순서대로 설명드리도록 하겠습니다.
첫 번째로 간단하게 이용할 수 있는 방법이 파이어폭스 브라우저를 사용하는 것입니다. 국내에서는 사용자가 많진 않지만 개발자들 사이에서는 많이 사용하고 있는 브라우저 입니다. 저 역시 크롬, 사파리 등의 브라우저를 주로 이용중이긴 한데 크롬의 경우 메모리 점유율이 급격하게 높아지는 경우가 많아서 상황에 따라 파이어폭스 브라우저도 이용 중이죠.
왜 파이어폭스 브라우저만이 KT의 접속 차단을 우회할 수 있는지에 대해서는 현재 KT의 차단 방식이 서버 네임 인디케이션(SNI) 차단 방식을 사용하고 있는데 쉽게 말해 암호화된 https와는 다르게 SNI는 암호화되어 있지 않기에 이를 차단하는 방식입니다. 하지만 SNI도 암호화(Encrypted) 시킨다면 이런 차단 방식도 무용지물이 되는데 현재까지는 ESNI를 지원하는 브라우저는 파이어폭스 밖에 없습니다.
Encrypted SNI 방식을 사용하기 위해서는 DNS 단계에서부터 암호화된 통신을 사용하지 않으면 의미가 없기 때문에 DNS도 DNS over HTTPS를 사용하도록 설정 변경을 해야 합니다. DNS over HTTPS 와 ESNI 설정에 관하여 파이어폭스 데스크탑 버전과 모바일 버전 설정 방법에 대하여 알려드리도록 하겠습니다.
파이어폭스 브라우저에서 DNS over HTTPS 설정을 하도록 하겠습니다. 참고로 DNS over HTTPS 기능은 파이어폭스 60.0 버전 부터 지원하고 있으니 가장 최신의 파이어폭스 버전을 설치해 주세요.
최신 버전의 브라우저 설치를 마치신 후 환경설정에 들어가시면 (혹은 검색창에 about:preferences 라고 입력해도 환경설정에 들어가집니다.) 제일 아래쪽에 네트워크 설정이 있습니다. 여기에서 설정 버튼을 눌러주시면,
HTTPS를 통한 DNS를 사용 하도록 설정을 체크해서 사용하도록 해줍니다. 기본값 사용을 하시면 클라우드 플레어의 DNS 서버를 사용하게 됩니다. 사용자 정의를 통해 다른 DNS 서버의 사용도 가능하며 서버 리스트는 DNS over HTTPS 호스트 서버 리스트 에서 확인이 가능합니다.
DNS over HTTPS 설정을 마쳤으면 이후에는 ESNI 사용 가능 설정을 해줘야 합니다. 주소창에 about:config 라고 입력하시면 고급 환경 설정 기능을 활성화 시킬 수 있습니다.
고급 환경 설정 기능에서 위험을 감수하겠습니다! 를 눌러서 환경 설정으로 이동하도록 합니다.
검색란에 esni 라고 입력하시면 network.security.esni.enabled 항목이 있습니다. 여기 값을 true 로 변경해주도록 합니다. 여기까지 마치셔야 DNS over HTTPS 기능과 ESNI 기능이 모두 활성화가 된 것입니다.
그렇다면 잘 동작하고 있는지 확인해 봐야겠죠? Cloudflare의 Browsing Experience Security Check 에서 확인해 볼 수가 있습니다.
첫 째 사진은 파이어폭스 브라우저 테스트 화면입니다. DNS, TLS, ESNI 모두 암호화가 진행되고 있는 것을 확인해 볼 수 있습니다. 둘 째 사진은 크롬의 브라우저 테스트 화면입니다. 파이어폭스와는 다르게 암호화되지 않은 것을 확인해 볼 수 있습니다.
위와 동일한 설정을 안드로이드폰에서도 사용 가능합니다. 파이어폭스에서 개발자를 위한 Firefox Nightly(미출시) 를 제공하고 있습니다. 미출시라고 표기가 되어 있지만 비공식버전 정도로 해석하면 될 듯 싶습니다. 설치하신 후에 데스크탑 버전과 다르게 일부 직접 설정을 해주셔야만 합니다.
데스크탑 버전과 마찬가지로 검색창에 about:config 를 입력하면 환경 설정을 할 수가 있습니다. 이후 검색창 바로 아래에 돋보기로 표시된 검색 부분에 esni 를 입력하고 검색하시면 network.security.esni.enabled 항목이 나옵니다. 기본값은 false 인데 이를 탭해서 true 로 변경해 줍니다.
이어서 network.trr.mode 를 검색해줍니다. 이는 앞서 파이어폭스 데스크탑 버전에서 DNS over HTTPS 를 직접 설정해 주는 것입니다. 기본값은 0 인데 이를 2 로 변경해줍니다. 참고로 2는 기본설정과 DNS over HTTPS 중에 DNS over HTTPS를 먼저 사용한다는 설정입니다.
network.trr.uri 를 검색하신 후에는 위와 같은 https://mozilla.cloudflare-dns.com/dns-query 가 입력된 것을 확인해 볼 수 있습니다. 다른 DNS 서버를 이용하고 싶으실 경우에는 이 항목을 변경하면 되나 그냥 기본값을 사용해도 되니 변경하지 않고 두도록 하겠습니다.
network.trr.bootstrapAddress 항목은 기본값이 아무것도 없는 블랭크 상태입니다. 아무것도 없어도 동작이 되나 일부 안될 경우에는 이 항목의 값을 1.1.1.1 로 변경해 주세요.(참고로 1.1.1.1 은 클라우드 플레어 DNS 서버 값입니다. 구글 DNS의 경우에는 8.8.8.8 을 입력해야 합니다.)
설정 변경 이후 잘 작동이 되고 있는지 동일하게 Browsing Experience Security Check 를 통해 테스트 해보았습니다.
동일하게 작동하고 있는 것을 확인해 볼 수 있었습니다.
두 번째로 러시아의 개발자가 오픈소스로 공개한 프로그램을 이용하는 방법입니다. GoodbyeDPI-Passive Deep Packet Inspection blocker and Active DPI circumvention utility 로 DPI 검사 차단 및 활성 DPI 우회 유틸리티입니다. 윈도우즈7 이상의 윈도우즈 OS 계열에서만 작동하며 다운로드 후 각 OS에 맞는 프로그램을 실행시키면 됩니다. 개인이 만든 공개 프로그램이란 점에서 자세한 설명은 안하도록 하겠습니다. 관심이 있으신 분들은 위의 깃헙 페이지에 방문하셔서 직접 확인해 보시면 좋을 것 같습니다.
셋 째로 컴퓨터의 MTU를 수정해서 차단을 피하는 방법이 있습니다. 원리는 한 번에 보낼 데이터를 여러개로 쪼개서 보냄으로써 차단 장비를 우회하는 방식으로 이는 간단하게 컴퓨터의 MTU를 수정하는 것으로 가능합니다.(클리앙 게시글 참조) 이에 대한 내용은 클리앙 커뮤니티의 가장 간단하게 사이트 차단 피하는 방법.TIP 게시글을 참고해보세요.
넷 째로 구글 번역 사이트를 통해 우회적 접근이 가능합니다. 구글 번역 사이트에서 좌측에 내가 이동하고자 하는 페이지 주소를 입력하면 우측에 위와 같이 링크가 표시가 됩니다. 이 링크를 입력하면 구글 번역이 된 사이트로 바로 이동하는데 대개 이 경우 차단을 우회해서 접근이 가능합니다. 차단이 된 일부 사이트들을 테스트 해본 결과 대개의 경우 접속이 잘 되는 것을 확인할 수가 있었으나 불안정하게 접속이 되는 경우도 일부 있었습니다. 특별한 프로그램을 설치해야 한다거나 컴퓨터 설정 변경없이 가장 쉽게 접속할 수 있는 방법입니다.
현재로서는 ESNI 적용을 통해 SNI 감청을 통한 접속 차단을 우회할 수 있는 브라우저는 파이어폭스 밖에 없습니다. 한가지 알아야 하는 점은 ESNI 기능을 활성화 시켰다 하여 모든 SNI 접속이 차단된 웹사이트에 접속이 가능하다는 것은 아닙니다. 해당 웹사이트가 클라우드플레어사의 DNS 서버를 이용하고 있을 경우에만 접속이 가능합니다. 마지막으로 크롬 등의 타 브라우저에서도 ESNI 적용이 가능해 진다면 관련된 내용을 추가 포스팅 하도록 하겠습니다.
