688. SNI (Server Name Indication) 개요와 ESNI / ECH 검열 우회 기술

핵심 인사이트: HTTPS는 강력한 자물쇠다. 패킷 안의 데이터가 완벽히 암호화되어 경찰이나 통신사도 내가 어떤 야한 동영상을 보는지 알 수 없다. 그런데 경찰이 불법 사이트 차단(Warning.or.kr)을 어떻게 할까? 치명적 약점. 처음 접속할 때 서버에 던지는 인사말(SNI) 속에 "나 X동영상 사이트 접속할래!"라는 주소 이름만큼은 평문으로 노출되기 때문이다. 이 마지막 평문 구멍마저 암호화로 꽉 틀어막은 기술이 바로 최신 검열 우회 기술 ECH다.

Ⅰ. SNI (Server Name Indication)의 탄생 배경

  • 문제점: 옛날 웹 서버는 IP 주소 1개당 웹사이트 1개만 물려 있었습니다. 접속하면 그냥 그 사이트 인증서를 던져주면 됐습니다. 하지만 클라우드 시대가 오며 IP 1개(서버 1대)에 naver.com, daum.net, tistory.com 등 수백 개의 웹사이트가 욱여넣어졌습니다.
  • SNI의 등장 (확장 기능): 내 폰 브라우저가 서버 IP에 딱 접속했을 때, 서버 입장에서는 "얘가 내 안에 있는 100개 사이트 중 누구 인증서를 보여달라는 거지?" 하고 헷갈립니다. 그래서 브라우저는 최초 접속 인사말(TLS Client Hello) 패킷 안에 **"나 naver.com 사이트에 접속하러 온 거야!"라고 콕 집어 명시하는 확장 필드(SNI)**를 달아서 보내기 시작했습니다.

Ⅱ. SNI의 치명적인 취약점과 국가의 검열 (SNI 차단) 🌟

  • 치명적 한계: TLS 연결 시 진짜 데이터는 암호화되지만, 이 최초의 인사말(Client Hello) 패킷 안에 들어있는 **SNI 주소(naver.com라는 글씨)만큼은 암호화되지 않고 평문(Cleartext)**으로 허공을 날아갑니다.
  • 국가의 불법 사이트 차단 방식: 한국 방통위나 중국 정부는 통신사(ISP) 인터넷 길목에 감시 장비를 달아놓고, 지나가는 패킷 겉면의 SNI 평문을 들여다봅니다. 거기에 illegal-site.com이라는 차단 명단 주소가 보이면, 가차 없이 연결을 끊어버리고 Warning.or.kr (경고창)로 튕겨버립니다. 이것이 유명한 **'SNI 필터링 차단'**입니다.

Ⅲ. ESNI (Encrypted SNI)의 등장과 한계

사용자 프라이버시를 지키는 자유 인터넷 진영이 반격에 나섰습니다.

  • ESNI의 원리: 브라우저가 "인사말 겉면에 적힌 naver.com이라는 글씨마저도, 해당 서버의 공개키로 몰래 암호화해서 보내자!"는 아이디어입니다.
  • 한계점: SNI는 숨겼는데, 해커나 검열 기관이 패킷의 다른 찌꺼기 정보들을 유추해서 사이트를 알아내는 부작용이 있었고, 기술적 불완전성 탓에 정식 표준이 되지 못하고 폐기되었습니다.

Ⅳ. 궁극의 검열 우회 기술: ECH (Encrypted Client Hello) 🌟

ESNI의 실패를 딛고 IETF(국제 표준)에서 작정하고 만든 끝판왕 익명성 보장 기술입니다.

  • 개념: SNI 주소 하나만 쪼잔하게 숨기는 게 아니라, 아예 첫 번째 인사말 패킷(Client Hello) 통째로, 목적지 사이트 이름뿐만 아니라 내가 가진 암호화 정보까지 몽땅 다 암호화(Encrypted)해서 거대한 클라우드플레어(Cloudflare) 같은 방패 서버로 던져버리는 기술입니다.
  • 동작 방식:
    • 통신사가 내 패킷을 들여다봐도 "음, 얘는 그냥 클라우드플레어(거대 방패 서버)에 접속하는 평범한 유저군"이라고밖에 안 보입니다. (실제 불법 사이트 주소는 그 패킷 안쪽 깊숙이 암호화되어 숨어있음)
    • 방패 서버가 패킷을 받아 안쪽의 암호를 풀고, 진짜 목적지인 불법 사이트로 나를 조용히 토스해 줍니다.
  • 결과: 이 기술이 켜지면 국가나 통신사의 SNI 감청 장비는 100% 무력화(바보)되며, 현재 크롬, 파이어폭스 등 최신 브라우저들이 이를 속속 기본 탑재하고 있어 국가 검열망과의 창과 방패 싸움이 치열해지고 있습니다.

📢 섹션 요약 비유: 옛날 HTTPS 통신은 안이 뽁뽁이로 꽉 찬 불투명 택배 상자(암호화 데이터)지만, 겉면 송장에 적힌 '받는 사람: 불법 성인용품점(SNI)' 글씨는 누구나 볼 수 있어서 경찰이 압수(차단)할 수 있었습니다. 최신 ECH 기술은, 이 택배를 커다란 '비밀 배송 대행업체(클라우드플레어)'라고 적힌 가짜 박스 안에 통째로 집어넣어 이중 포장해 버리는 것입니다. 경찰은 겉박스만 보고 정상 택배인 줄 알고 통과시키지만, 배송 업체는 겉박스를 뜯어 안쪽의 진짜 주소를 보고 불법 용품점까지 완벽하게 비밀 배달을 성사시킵니다.