최신 기사 추천 기사 연재 기사 마빡 리스트

 

 

 

 

 

오랜 SW개발자라 주위엔 나처럼 SW개발자, IT엔지니어가 많은 편이다(한때는 꽤 잘나갔던 개발자 동호회의 20년째 종신운영자라 더 그렇다). SW업계 분들은 SNI 논란에 대해 강력하게 이의를 제기하는 분들이 그닥 많지 않은 것 같다. 재미있게도 업계 바깥 분들이 기술적인 내용을 거론하며 안될 일이라고 강력 반대하는 경우가 더 많다. 일반인들의 SW기술 이해 확산에 도움이 되고 있는 셈이랄까.

 

딴지일보에 오랜 기간 재미있는 개발자 이야기를 연재하던 분이 장문의 글로 SNI 차단을 비판하는 기사(링크)를 올렸다. 개발자가 이 문제에 정면으로 개입해 반발한 글은 그리 흔치 않다.

 

불필요한 비유가 많고 장황하다. 쉬운 비유를 들려고 한 것으로 보이나 안타깝게도 이번 글은 실패라 생각한다. 딴지는 비판의 자유로움이 있는 곳이니 눈에 밟히는 몇몇 궤변적 논리들을 중점적으로 비판해 본다. 

 

880x240.crop.jpg

 

 

1.

SNI 차단을 편지로 비유해 설명한 것은 옳다. 허나 필자의 논리는 이게 문제라는 결론을 만들어내기 위해 지나치게 억지를 갖다붙였다. 감청이라는 논리를 만들기 위해 굳이 SNI 패킷을 '봉투의 안쪽에다가 아주 조그만 하게' 써넣은 주소라고 비유했다. '봉투 안쪽'이라고 우겨버리니 감청이라는 주장이 그럴듯하게 들릴 수도 있는 것이다.

 

그런데 통신 프로토콜에서 어디까지가 봉투 바깥이고 어디까지가 봉투 안인가? SNI 패킷을 '봉투 안'이라고 자의적으로 정의한 건데. 기술적으로 따지자면 봉투의 안팎은 암호화가 안된 평문과 암호화가 된 암호문로 구분하는 것이 지극히 상식적임에도, 평문 SNI 패킷을 암호문 부분과 합쳐 편지의 안쪽이라고 정의해버렸다.

 

아니, 의도적으로 암호의 복호화 없이 그냥 읽을 수 있게 만들어 놓은 부분이 어떻게 '봉투 안에 숨겨진 편지 내용'이라는 건가. 물론 이런 상식에 반하는 전제를 하나 해두면 이후의 논리가 스스로 의도했던 대로 잘 흘러가겠지.

 

다시 말하면, 이 억지스러운 '봉투 안쪽' 주장이 엉터리라는 걸 논파하기만 하면 감청 논리는 모래성처럼 싸그리 다 무너져버리는 것이다. 그러니 아래의 모든 내용은 이미 논리적으로 허물어져 반박의 가치도 없는 걸 구질구질하게 반박하는 쓸데없는 사족에 가까울 수도 있다.

 

스크린샷 2019-02-19 오후 8.55.47.png

 

 

2.

필자는 이게 '검열'이라고 주장하기 위해 위키피디아를 거쳐 IETF를 들고 나왔다. IETF라니! 나도 통신프로토콜 구현하느라 밥먹듯이 뒤져봤던 게 IETF RFC라서 아주아주! 익숙하다. (난 시스템 프로그래머라 직접 통신 프로토콜을 구현해서 개발하거나 개발된 통신프로그램을 개선해 버전업하는 경우가 종종 있다)

 

IETF가 거론되는 게 개인적으로 반갑긴 한데, 필자가 검열의 정의를 차용하기 위해 IETF를 인용한 것은 꽤 부적절하다. IETF는 인터넷상 의무나 자유선언 같은 것을 하는 단체가 아니다. 기술업체 이해관계자들끼리 기술적 사안을 협의해 표준안을 도출해가는 협의체다. 기술 스펙을 정하는 곳이지 뭘 하라 마라 하는 걸 정하는 곳이 아니다. 나도 "인터넷 기술 표준을 확립하고 기술적인 쟁점 등을 해결하기 위한 조직"이라고 설명했는데, 조직이라기보단 실질적 구속력은 없는 협의체이다. 필자는 그걸 무슨 거룩한 헌법 조문이라도 되는 양 인용하고 있다.

 

더욱이 필자가 인용한 문서는, 클릭해보니 아직 정식 RFC 번호도 없는 드래프트(초안)다. 살짝 어이 없다. 물론 IETF에서 RFC를 정리하는 절차는 아주 지루하고 길기 십상이고 그 과정에서 드래프트 초안들로 발전시켜 나가기 때문에 드래프트라고 무의미한 것은 전혀 아니지만, 원래 도덕적 당위성이 아닌 기술 스펙을 규정하기 위한 절차인 데다가, 그 기술적 스펙조차도 전혀 확정된 것이 아닌 것이다. RFC로 제정되기까지 얼마든지 뜯어고쳐질 수 있고 조항들이 삭제될 수도 있다. 뭔가 주장의 근거로 삼을 만한 것이 전혀 아니다.

 

심지어, 정식 RFC 발표 단계까지 도착하더라도 그건 표준 권고안이지 강제사항도 아니다. RFC에 규정된 사항들이 유명 소프트웨어에서조차 크게 무시되는 경우도 흔하고, 반대로 RFC에도 없는 것을 업계에서의 주도권을 기반으로 맘대로 정의해서 타업체들을 곤란하게 만드는 경우도 많다. 그래서 그냥 권고안에 불과한 것이다. "웬만하면 우리 이거 지킵시다" 하는. 다른 레퍼런스가 없어 RFC에만 근거해서 개발한 경험이 많아서 이런 뒤통수를 맞은 경우가 종종 있었는데, 표준이라지만 권고안에 불과한 것이 얼마나 무력할 수 있는가를 많이 체감했었다.

 

그리고 드래프트라도 IETF 문서에 그런 도덕적 권고 문구가 포함된 것 자체가 부적절해 보인다. 현실적으로는, 본질적으로 안지켜도 그만인 기술스펙 권고안에다 자의적인 도덕적 권고까지 덧붙여놓은 것이니, 이런 걸 드래프트 문서에 뭐하러 넣었느냐고 항의를 하는 것도 부질없다.

 

 

3.

흔한 논리적 오류를 필자도 똑같이 범하고 있는데, 스스로도 SNI가 향후 안쓰이게 될 전망이라는 서술을 하면서도 그게 SNI를 이용한 차단을 하면 안되는 근거 중 하나라고 보는 모순적 시각이다. SNI를 이용해서 차단하면 안된다면서 그 이유는 SNI가 미래에 안쓰이게 될 것이기 때문이다? 다른 더 좋은 방법으로 차단하라는 의미인 건가?

 

 

CKW2vx5UcAAaOVn.jpg

 

4.

미래의 차단 정보에 대한 수집 우려는 타당하고, 나도 계속 지적하고 있는 문제다. 하지만 이게 자꾸 SNI 차단 문제에 집중해서 관점이 편협해지는 면이 있는데, 실제 미래에 출현할 수 있는 독재정권이 사찰 정보를 수집하려면 이 SNI 방식을 사용할 거라 생각하는 건 너무 판타지스럽다. 독재적으로 작정만 한다면 더 수월하게 더 강력하게 통제할 방법들이 있는데, 당장도 효과가 높지 않고 언제까지 갈지도 모르는 SNI를 뭐하러 활용한단 말인가. 불과 몇년 후면 SNI도 안쓰일 수 있는데.

 

이런 차단 과정에서 개인이 식별되고 그것이 저장되면 명백한 사찰의 전단계가 된다. 이 식별과 저장 여부, 그 미래의 가능성이 이 소모적인 논쟁에서 유일하게 가치있는 논쟁거리다. 이것이 방통심의위가 간과하고 있는 문제의 핵심으로, 당장은 현 문재인정부에선 안하고 있지만 향후 이명박이나 박근혜 같은 독재정권이 다시 들어선다면 현실화될 가능성이 있다.

 

그런데 그런 우려에 대한 솔루션은, '그러니까 차단 무조건 하지마!' 가 아니라 개인을 식별하고 저장하는 것을 금지하는 것이다.

 

도로상의 방범용 카메라는 명백한 전국민에 대한 '감시', '사찰'에 해당한다. 그 방범 카메라를 다 철거하라고 시위나 청와대 청원을 해본 적이 있나? 하지만 그 정보가 권력에 의해 악용될 우려는 상존하고, 그래서 법제도상 규제를 계속 강화해서 악용되지 않도록 해야 하는 것이다.

 

SNI 차단에서 사용되는 감시기술은, 아예 사찰을 염두로 만들어진 것이 아니기 때문에, 방범 카메라들보다도 훨씬 문제가 적다. 애초 목표가 감시, 사찰이 아니기 때문에 그것이 시스템 확장으로 악용되지 않도록 제도화를 요구하는 것도 훨씬 쉽다.

 

 

5.

결론 부분에서 액티브X에 비유한 것은 많이 오버했다. 생뚱맞고 황당하다. 액티브X는 사회 저변에 인프라로서 뿌리를 깊이 내렸는데, 개인 인증이나 네이티브 기능 구현 등의 목적에서 당시 기술 기준으로는 너무나 편리했기 때문이다. 그래서 일부 사용자들이 적극 반발한 것과 달리, 사실은 다수 사용자는 그 편리함에 순응하며 사용한 면이 아주 컸고, 사실 그게 액티브X가 쉽게 걷어내기 힘들었던 근본적인 이유다.

 

사용자들이 생각보다는 별로 반발을 안했으니까. 몇년전까지만 해도 IE 사용자가 압도적으로 많았고, 액티브X에 불평을 늘어놓는 사람은 일반인보다는 많은 프로그램을 깔고 서로 충돌하기 쉬운 환경에 갇힌 파워유저, 전문가급 사용자들이 더 많았다. 사실이 그랬는데, 나도 포함되는 이들 전문가들은 일반 사용자들도 나처럼 다들 불편해할 것이라고 덮어놓고 단정했다. 그런데 비전문가 일반인들을 만나 생각을 들어보면, 그들 다수는 액티브X가 뭔지조차 몰랐다. 무식해서가 아니라, 불편함이 그리 크지 않았기 때문에 그 원인을 식별조차 하지 않았던 거다.

 

어쨌든, 액티브X를 걷어내기 힘들었던 이유는(아직도 꽤 남아있지만) 저변의 문제였고, 사실은 정부나 기업 인프라의 문제보다는 말없는 일반인 사용자들 다수가 액티브X에 순응해서 별다른 이의를 제기하지 않았기 때문이다. 마치, 왕정시대에 소수 민주주의자가 민주정을 외치는데 대다수 일반 백성들은 왕정에 별다른 이의가 없었던 상황과 비슷한 것이다.

 

하지만 SNI 차단 문제는 그런 인프라의 문제와 상관이 없다. 도대체 왜 액티브X를 끌어다붙였는지 그 의도가 짐작조차 안간다. 제목에까지 액티브X를 기억하라는 걸 보면 원래는 뭔가 거창한 의도가 있었을 수도 있을 거 같은데, 말이 장황해지다보니 원래 가장 중요하게 말하고 싶었던 것을 잃어버린 게 아닌가 싶다(나도 이따금씩 그러니까).

 

xjh30p2zzlyr7os3jmxd.jpg

 

 

6.

필자의 주장대로 향후 예상되는 문제들이 있다. 무엇보다 SNI 자체가 폐기될 가능성이 가장 그렇다. 하지만 이 시스템이 정부가 국민, 민간에 사용하라고 강요하는 시스템이 아닌 ISP측에 곁다리로 끼워넣는 시스템에 불과하기 때문에 방통심의위의 결정에 따라 쉽게 폐기하거나 방식을 변경하거나 어떻게도 할 수 있으니, 그런 걱정을 방통심의위를 대신해 해줄 필요는 없다고 본다.

 

펑크난 바퀴를 청테이프로 붙여놓은 꼴이라 비유했는데, 그럴 수도 있지만 이런 임시방편이라도 써야 할 정도로 범죄우려가 크다. 전체 차단을 못하고 회피책이 넘쳐나는데 뭐하러 만들었냐는 조롱성 비난을 받으면서도 고수해야 할 만큼 말이다.

 

나도 강력한 자유주의자이지만 그 원론적인 스탠스로 인터넷 공간에서의 개인의 무제한적 자유를 요구할 수 있는 문제는 아니다. 범죄 피해자들이 속출하고 있고 마땅한 다른 방법이 없어 피해가 계속 확산되는데, 지푸라기라도 잡는 것이다. 그걸 갖고 조롱을 할 수도 있겠지만, 결국 그 조롱의 최종 종착지는 하루하루 고통속에 살아가는 범죄피해자들일 수 있단 걸 생각해보면 등줄기가 서늘해지지 않는가.

 

추신: 이번 글은 서로의 주장에 대해 합리적으로 비판하는 것이니만큼 섭섭해하지 말고 다음에 만나면 밥 먹으면서 같이 썰풀 기회가 있기를 바란다. 고생많은 세상의 모든 개발자들에게 응원을 보낸다.    

 

Profile
딴지일보 공식 계정입니다.