Loading AI tools
도매인 정보를 난독화하여 인터넷 검열을 우회하는 기법 위키백과, 무료 백과사전
도메인 프론팅은 HTTPS 연결의 도메인 정보를 난독화하여 인터넷 검열을 우회하는 기법이다. 도메인 프론팅은 응용 프로그램 계층에서 작동하며, 이를 이용하면 DNS 차단, IP 차단 또는 심층 패킷 검사에 의해 차단된 서비스에 접속할 수 있다.[1]
Amazon S3 및 Google App Engine과 같은 대규모 호스팅 서비스를 사용할 경우, 공통 및 대상 HTTPS 도메인을 모두 포함하는 공유 SNI 인증서를 사용하는 방법이 있다. 이때, 실제 차단된 엔드포인트의 도메인 네임은 암호화된 HTTPS 연결 성립 후에야 HTTP Host 헤더를 통해 전달되므로 검열에 걸리지 않게 된다. 차단된 사이트와 차단되지 않은 사이트가 서로 같은 대규모 호스팅 서비스에 의해 호스팅되는 경우에 한해 이와 같은 작업을 수행할 수 있다.[2][3][4]
이외에 콘텐츠 전송 네트워크의 공통 HTTPS 인증서 및 인프라를 이용해 대상 서버로 통하는 프록시 서버 역할을 하도록 만드는 방법도 있다.[1]
위와 같은 기법을 사용하면 서로 다른 통신 계층에서 서로 다른 도메인 네임을 쓰게 된다. 우선 연결 생성 과정 초기에는 차단되지 않은 사이트의 도메인 네임을 쓴다. DNS 요청 및 TLS 서버 네임 인디케이션 과정에서 이 도메인 네임이 평문으로 전송되고, 따라서 검열에 노출되는 것도 이 도메인 네임이 된다. 이때 검열을 시도하는 측에서는 방금 읽은 도메인 네임이 우회 트래픽에서 나온 것인지 정상적인 트래픽에서 나온 것인지 거의 구분할 수 없다. 따라서 해당 도메인을 사용하는 트래픽을 모두 허용하든가 아니면 해당 도메인 네임을 원천 차단하든가 두 가지 선택지밖에 없게 되는데, 후자는 부작용이 너무 크므로 실질적으로 시행하기는 어렵다.[5][6]
구글은 2018년 4월에 "구글은 이 기법을 공식적으로 지원한 적이 없다"라며 도메인 프론팅 기법의 사용을 금지했다.[7][8] 아마존 또한 2018년 4월 "이미 이 기법을 AWS 서비스 약관 위반 행위로 간주하고 있다"라며 도메인 프론팅을 금지하기로 결정했다.[9][10][11] 양사의 클라우드 서비스를 이용하는 텔레그램이 도메인 프론팅 기법을 활용하는 것이 불만스러웠던 러시아 정부가 러시아 내 구글과 아마존 접속을 모두 차단하는 등 양사에 압력을 가한 이후 발생한 일이다.[12][13][14]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.