"접근차단"의 두 판 사이의 차이
73번째 줄: | 73번째 줄: | ||
* 단점 : 상태목록(state table)에 도스(DOS) 나 디도스(DDOS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다. | * 단점 : 상태목록(state table)에 도스(DOS) 나 디도스(DDOS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다. | ||
*어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.<ref> 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03 </ref> | *어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.<ref> 별의수다, 〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》, 2017-08-03 </ref> | ||
+ | |||
+ | ==논란== | ||
+ | 인터넷 접근차단도 방법중에 하나지만 이것에 대한 논란 여지가 있는 것도 있다. [[방송통신위원회]](방통위) : 2019년 2월 새로운 인터넷 접속차단 정책을 발표했는데 보안접속(https)을 활용하는 해외 불법 사이트 차단을 위해 서버네임인디케이션(이하 SNI) 필드 차단 방식을 도입하기로 한 것이다. 기존 [[도메인네임시스템]](DNS)이나 [[인터넷서비스제공자]](ISP)를 통한 서버 차단은 ‘http’만 가능했다. SNI는 https 인증 과정에서 노출되는 사이트 이름을 등록해 불법 사이트 여부를 파악하고 차단하는 방식인데 불법 사이트를 접속할 때 주소 입력창에 ‘http’ 대신 ‘https’를 입력하여 우회접속하는 것을 차단할 수 있는 장점이 있다. 방통위는 기존과 큰 차이가 없는 방식이라 문제될 게 없으며 해외에 주소를 둔 불법 사이트를 차단하기 위해선 불가피하다는 입장이나 인터넷 검열이라는 반대 여론이 거세졌고 결국 청와대 국민청원 게시판에 대해 이효성 방통위장이 직접 해명했다. 당시 이효성 위원장이 해결방안으로 제시한 인터넷 규제 개선 공론화 협의체가 지난 6월 13일 출범했다. 방통위의 인터넷 접속차단 정책이 다시 도마 위에 오른 내용에 대한 평론기사이다. 인터넷 접속차단 정책이 무슨 문제가 있겠는가. 인터넷에서 아동 음란물, 리벤지 포르노와 같은 디지털 성범죄, 마약 범죄, 불법 도박 등 피해가 날로 커지고 있다. 규제로 이들을 단속하고 적발하는 데는 항상 한계와 어려움이 뒤따른다. 피해자들을 생각하면 인터넷 접속차단이 아니라 더 강력한 규제수단이라도 도입하고 싶은 심정이다. 그럼에도 인터넷 접속차단을 비롯해 방통위가 추진하고 있는 일련의 인터넷 규제정책은 다음과 같은 우려할 점이 있다. | ||
+ | #인터넷 접속차단은 단순한 기술정책이 아닌 내용규제 : 방송통신위원회는 내용을 들여다보는 것이 아니며 사전 검열도 아니기 때문에 문제가 없다고 하지만 [[방송통신심의위원회]]가 불법사이트라고 결정하면 이후 주소를 확인하여 차단하는 방식이니 일면 내용에 간섭하지 않는 기술정책이라고 할 수도 있겠다. 그러나 기술적 조치라고 하지만 규제대상은 어디까지나 인터넷 표현물이다. 또 규제기관들이야 방송통신위원회와 방송통신심의위원회의 기능을 법적, 제도적으로 구분하겠지만 국민들 입장 : 다 같은 규제기관이고 결국은 인터넷 표현물을 차단하는 거다. | ||
+ | #내용규제이므로 어떤 내용물을 차단 : 정보통신망법 제44조의7 제1항에서 금지하고 있는 불법 정보는 다음과 같다. | ||
+ | *음란 | ||
+ | *명예훼손 | ||
+ | *공포심·불안감 유발 정보 | ||
+ | *해킹·바이러스 | ||
+ | *청소년유해매체물 | ||
+ | *도박 등 사행행위 금지 | ||
+ | *개인정보 보호 | ||
+ | *국가기밀 누설 | ||
+ | *국가보안법 위반 | ||
+ | *범죄 교사·방조까지 상당히 광범위한 영역이다. | ||
+ | 광범위한 내용에 대해 규제기관이 불법사이트라고 결정하면 접속차단이 된다는 것이며 방통위는 불법촬영물 등 디지털 성범죄와 피해자의 권리침해를 이번 인터넷 접속차단 규제의 필요성으로 중요하게 내세워서 일부 여성단체가 접속차단을 지지한 것도 그런 이유 때문일 것이지만 그런데 통계자료에 따르면 이번 SNI 방식으로 차단된 디지털 성범죄는 2019년3월~6월동안 단 한 건에 불과하다. 즉 새로운 접속차단 정책이 주로 어떤 표현물을 규제하겠다는 것인지 모호해진다. | ||
+ | #불법 정보에 대한 판단기준도 문제 : 불법음란물이 대표적이다. 학설과 판례에 따른 형법상 음란물이란 그 내용이 사회 통념상 일반인의 성욕을 자극하여 성적 흥분을 유발하고 정상적인 성적 수치심을 해하여 성적 도의 관념에 반하는 것이로 음란의 개념이란 고정된 것이 아니라 시대적, 사회적 가치관에 따라 바뀐다. 형법적 기준도 판단하기 어려운데 행정적 규제라고 쉽게 적용해서는 아니 되며 자칫 자의적 기준으로 표현의 자유가 무원칙적으로 침해될 소지가 크다는 것이다. 특히 위의 자료에 따르면 SNI 필드 방식으로 차단된 불법음란물 사이트는 지난 2월부터 5월까지 3개월간 3,418건으로 나타났다. 3,418건을 일일이 심의했는지, 사이트의 전체 혹은 일부를 판단했는지, 음란물의 기준을 규제기관이 먼저 기준을 제시해야 할 것이다. 국가보안법 위반 등을 우려하는 목소리가 나오는 이유이다. | ||
+ | #규제 주체의 문제 : 우리가 방송통신융합 환경에 맞춰 규제기구와 제도를 개편하면서 방송통신심의위원회를 분리하여 설치한 데는 다 이유가 있었다. 민주주의에서 표현의 자유가 왜 중요한지는 다시 언급할 필요가 없을 것이다. 방송통신위원회가 아니라 별도의 기구인 방송통신심의위원회를 조직해 심의를 담당하게 한 것은 내용규제가 대단히 중요하기 때문이다. 또 내용규제는 행정규제 다시 말해 인허가(합병심사)나 재원정책(부담금 부과), 광고규제 등과 독립될 필요가 있으며 규제기관이 사업자들의 재원이나 허가 등을 이유로 방송이든 통신이든 내용에 간섭하지 못하도록 한 것이다. 인터넷 정책의 공론화 등을 이유로 방송통신위원회가 주도적으로 인터넷 내용규제를 논의하는 것이 바람직하지 않은 이유이다. 아동 음란물, 리벤지 포르노와 같은 디지털 성범죄, 어린이와 청소년 보호 등 인터넷 내용규제에서 중요하게 다루어야 하는 영역이 있다. 우리 사회에서 훨씬 더 다양하고 진지한 논의와 정책이 수립되어야 할 필요성도 있다. 인터넷 접속차단과 같은 기술적 조치도 하나의 규제수단이지만 알다시피 사업자들의 자발성이 선행되어야 한다라는 기사는 인터넷 접근차단 정책의 여러 논란들을 다뤘다.<ref> 별의수다, 〈[https://journal.kiso.or.kr/?p=9643 인터넷 접속차단 정책의 문제점]〉, 《KISO 저널》, 2019-06-27 </ref> | ||
{{각주}} | {{각주}} | ||
80번째 줄: | 98번째 줄: | ||
* 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《IT동아》 | * 〈[https://it.donga.com/8810/ 네트워크를 지키는 최후의 보루 - 방화벽]〉, 《IT동아》 | ||
*〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》 | *〈[https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=wnrjsxo&logNo=221066364387 침입차단시스템(방화벽, Firewall)의 종류]〉, 《네이버 블로그》 | ||
+ | * 〈[https://journal.kiso.or.kr/?p=9643 인터넷 접속차단 정책의 문제점]〉, 《KISO 저널》 | ||
==같이보기== | ==같이보기== | ||
*[[체크포인트]] | *[[체크포인트]] | ||
*[[OSI]] | *[[OSI]] |
2021년 8월 13일 (금) 17:13 판
접근차단이란 어느 대상에 접근하는 것 을 막는거다.
개요
어떤 대상(시스템, 시설)에 누군가(사람, 바이러스)가 들어오는 오는 것 을 막기 위해 경로등을 막는거다.
종류
접근차단하는 종류는 여러가지가 있지만 인터넷, SNS, 네트워크에서 쓰는 침입차단시스템(방화벽)이 대표이다.
침입차단시스템
방화벽(Firewall)으로도 불리는 침입차단시스템(侵入遮斷 - , 영어: Intrusion Prevention Systems (IPS), Intrusion Detection and Prevention Systems (IDPS))은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다.[1]
역사
방화벽은 인터넷이 태동되기 시작한 1980년대부터 본격적으로 도입됐으며, 초기에는 네트워크 장비 중 하나인 라우터(router)가 방화벽 역할을 전담했으며 그 후 외부 공격 형태가 다양하고 치밀해 짐에 따라 방화벽 기술도 그에 맞춰 진화했으며 80년대 말경에 등장한 1세대 방화벽은 외부로부터 들어오는 패킷(packet, 네트워크 내 데이터 이동 최소 단위)의 형태를 분석하여, 사전에 설정해 둔 보안 정책(rule)에 허용되는 패킷 만을 통과시키는 역할을 하지만 이러한 패킷분석형 방화벽은 네트워크 내 모든 패킷을 대상으로 검사 작업을 수행해야 하니 처리 속도가 느린 단점을 비롯해 여러 가지 문제점이 있어서 이에 따라 네트워크 연결 상태를 분석함으로써 보다 정교하고 효과적인 보안 정책을 적용할 수 있는 상태 분석형(stateful inspection) 방화벽이 등장했다. 이를 2세대 방화벽으로 보는 것이 보편적이며 2000년대 초까지 활발하게 사용됐다. 이후 인터넷 시대가 대중화되면서 웹 브라우저를 통한 다양한 네트워크 서비스가 제공됨에 따라 외부로부터의 침입 또는 공격방법도 다양해졌다. 이에 패킷 내용뿐 아니라 특정 애플리케이션(웹 브라우저, FTP 클라이언트 프로그램 등)을 통한 네트워크 접근을 제어하기 위한 애플리케이션(application layer) 방화벽이 2세대 방화벽을 이어 각광을 받기 시작했다.[2]
원리
네트워크 방화벽은 기본적으로 네트워크를 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(ACL, Access Control List, 접근 제어 목록)에 따라 허용 또는 차단하는 기능을 수행하며 일반적으로 내부 네트워크와 외부 네트워크(인터넷) 중간에 위치하여 이러한 패킷 제어 기능을 수행하고 필요에 따라 여러 개를 배치하여 보안성을 강화할 수 있고 인터넷(외부 네트워크)으로부터 방화벽으로 들어오는 모든 접근 시도는 방화벽 내부에 사전 설정된 보안 규칙인 접근 제어 목록에 따라 내부 통과 여부가 결정된다. 기본적으로 방화벽은 모든 접근을 거부(deny)한 후 허용할 접근만 단계적으로 허용(allow/permit)하는 방식을 따른다. 예를 들어, 네트워크를 통해 데이터가 이동하는 통로를 포트(port)라 하는데, 방화벽은 기본적으로 약 65,000여 개의 통신 포트 모두를 차단한 후 접근을 허용하는 특정 포트만을 열어 둔다 즉 홈페이지 운영을 위한 웹 서비스(http)를 제공한다면 80 포트를, FTP 서비스(ftp)를 제공한다면 20/21 포트 등을 접근 허용해야 하며 통신 포트뿐 아니라 외부로부터 접근하는 IP 주소나 특정 프로그램에 따라 접근/거부 여부를 결정할 수 있다. 이러한 보안 규칙 설정이 모두 접근 제어 목록에 포함되어 일괄 적용되며 방화벽의 접근 제어 목록은 대개 관리자가 구성, 설정하기 편하도록 직관적인 형태로 출력되며, 보안 규칙 적용 즉시 결과를 확인할 수 있도록 제공한다만 접근 제어 목록 및 방화벽 설정에는 보안과 관련된 상당한 지식과 경험이 필요하므로 보안 전문가를 통해 정확하고 체계적으로 이루어져야 한다.[2]
종류
- 패킷 필터링(Packet Filtering) 방식 : 가장 초기적인 방화벽 방식으로 네트워크 계층과 전송계층에서 동작하는 방식이다. 패킷 필터링 방식은 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정하게 되며 다른 방식에 비해 속도가 빠른 장점이 있으며, 낮은 레이어에서 동작하기 때문에 기존 애플리케이션과 연동이 용이하다. 하드웨어에 의존적이지 않으나 강력한 로깅 기능 및 사용자 인증을 기대하기 어렵다. 1세대 방화벽에 속한다.
- 장점 : 다른 방식에 비해 처리 속도가 빠르고 비용이 적게 든다.
- 하드웨어에 의존하지 않는다.
- 기존 프로그램과 연동이 쉽다. 네트워크 계층에서 동작하기 때문에 클라이언트와 서버에 변화가 없어도 된다.
- 사용자에게 투명성을 제공한다.
- 단점 : TCP/IP 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능하다.
- 패킷 내의 데이터에 대한 공격을 차단하지 못한다. 바이러스에 감염된 파일 전송시 데이터 분석이 불가능하다.
- 패킷 필터링 규칙을 검증하기 어려우며, 접근통제 리스트와 접근 통제 순서에 따라 방화벽에 부하를 줄 수 있다.
- 2, 3 세대 방화벽에 비해 로깅 기능 및 사용자 인증 기능 제공이 미미하다.
- 어플리케이션 게이트웨이(Application Gateway) 방식 : OSI 7계층 모델 중 어플리케이션(Application) 계층까지 동작하며 통과하는 패킷의 헤더(Header)안의 Data 영역까지도 체크하여 통제하며 해당 서비스별로 프락시(Proxy)라는 통신 중계용 데몬이 구동되어 각 서비스 요청에 대하여 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행해서 이와 같은 이유로 어플리케이션 게이트웨이 방화벽을 어플리케이션 프락시 방화벽이라고도 하며 2세대 방화벽에 속한다.
- 장점 : 외부 네트워크와 외부 네트워트가 프록시 서버를 통해만 연결되고, 직접 연결은 허용되지 않기 때문에 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다.
- 패킷 필터링 방화벽 보다 높은 보안 설정이 가능하다.
- 일회용 패스워드를 이용한 강력한 인증 기능을 제공할 수 있다.
- Session 에 대한 정보를 추적할 수 있고, Content Security가 가능하다. (http, nntp, ftp등의 경우 command level -put, get, post등- 까지 제어가 가능하다.)
- 단점 : 응용 계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다.
- 일부 서비스에 대해 투명성을 제공하기 어렵다.
- 하드웨어에 의존적이다.
- 새로운 서비스를 제공하기 위하여 새로운 데몬이 있어야 한다.
- 미리 정의된 Application 만 수용 가능하므로 다양하고 빠르게 발전하는 Internet Application 에 대응하지 못한다.
- 프록시 서버 방화벽 개념 : 프록시(Proxy)는 중개인의 개념으로 네트워크에 진입하는 혹은 나가는 패킷을 응용프로그램 수준까지 검토하여 악의적인 정보가 있는지 검사하고 이상이 없으면 그 패킷을 목적지 시스템까지 전달하는 역할을 하는 방화벽이다.
- 프록시 서버 방화벽 동작원리는 다음과 같다.
- 외부 사용자가 서버에 접근하고자 할 때 사용자의 서비스 요청은 프락시 서버가 대신 접수한다.
- 콘텐츠 서버는 방화벽 안쪽에 위치하고 프록시 서버가 사용자에게는 진짜 서버처럼 인식될 수 있도록 설정한다.
- 사용자가 서비스를 요청하면 그 요청은 프락시 서버에 전달되고 프락시 서버는 사용자의 요청을 방화벽의 특정 경로를 통해 콘텐츠 서버에 전달한다.
- 1콘텐츠 서버에서 수행된 요청 결과는 다시 방화벽의 특정 경로를 통해 프락시 서버에 전달되고 프락시 서버는 사용자에게 전달하게 됨으로써 프락시 서버가 마치 콘텐츠 제공 서버처럼 보이게 된다.
- 만약 콘텐츠 서버가 에러 메시지를 전달하게 되면 프락시 서버는 이를 가로채어 사용자에게 보내기 전에 헤더에 포함되는 URL 을 바꿈으로써 외부 사용자가 콘텐츠 서버의 Redirection URL 획득을 방지할 수 있다.
- 캐시 기능 : 사용자가 한번 방문한 사이트 정보를 미리 저장하여 원하는 사용자에게 제공
- 방화벽 구성 시 속도나 성능이 저하됨을 막기 위한 기능
- 서킷 게이트웨이(Circult Gateway) 방식 : OSI 7계층 구조에서 5계층(세션계층)에서 7계층(응용계층) 사이에서 접근제어를 실시하는 방화벽을 지칭하며, 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 서비스 프로토콜도 이용할 수 있는 일반적인 대표 프락시를 이용하며 서킷 게이트웨이 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 사용자측 PC에 방화벽에 위치한 대표 프락시와 통신하기 위한 수정된 클라이언트 프로그램이 필요한데 클라이언트 프로그램은 모든 통신에서 방화벽에 있는 프락시와 연결을 맺고 안전한 통신채널인 회로(Circuit)을 구성한 후 이 회로를 통해 내부 시스템과 통신을 한다.
장점 : 내부의 IP 주소를 숨길 수 있다.
- 첫 패킷 검사 후 다음 패킷은 전달만 한다.
- 수정된 클라이언트 프로그램이 설치된 사용자에게 별도의 인증 절차 없이 투명한 서비스를 제공할 수 있다.
- 각 서비스별로 프록시가 존재하지 않고, 모든 서비스가 이용 가능한 일반적인 프록시가 존재한다.
- 단점: 방화벽에 접속을 위해서 서킷 게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하므로 사용자들에게 프로그램을 배포해야 하거나 사용 중인 응용프로그램을 수정해야 하는게 번거롭다.
- 하이브리드(Hybrid) 방식 : 하이브리드 방식은 패킷 필터링 방식과 어플리케이션 방식을 혼합한 것으로 패킷 필터링의 장점과 어플리케이션 방식의 장점을 결합한 방식으로 패킷 레벨의 접근 제어뿐만 아니라 응용 프로그램의 사용자 제어의 장점을 가지고 있으며 애플리케이션 방식의 최대 단점인 다양한 응용 서비스의 수용은 패킷 필터링 방식으로 제공하게 된다.
- 장점 : 내부 보안 정책 및 어플리케이션 등에 맞추어 선택적인 보안 설정이 가능하다.
여러 유형의 방화벽 특징을 보유하기 때문에 새로이 등장하는 인터넷상의 모든 서비스에 가장 유동적으로 대처 가능하다.
- 단점 : 관리가 복잡하다.
- 설치 시 전문적인 네트워크 컨설팅(Network Consulting )이 필요하다.
- 상태추적(State Inspection) 방식: 방화벽의 초기 개념은 크게 두 가지 방식 즉, 패킷 필터링 방화벽과 어플리케이션 게이트웨이 방화벽으로 분류되었다. 하지만 이 두 가지 방식의 방화벽은 완벽한 방화벽 기능을 수행하지 못하거나 속도가 저하되는 등의 여러 가지 단점을 가지고 있었다. 상태추적 방화벽은 이러한 두 가지 방화벽의 단점을 극복하고 장점만을 구현한 새로운 개념의 방화벽이다. 이스라엘의 방화벽 업체인 체크포인트사가 최초로 사용한 용어로 네트워크 계층(3계층)에서 패킷을 처리하면서도 프로토콜의 상태정보 테이블을 유지하여 프로토콜 특성에 따른 변화를 동적으로 대응해 주는 방화벽으로 최근의 거의 모든 방화벽 시스템에서 채용되어 사용되고 있다. 3세대 방화벽에 속한다. 기존 패킷 필터링 기능에 세션(session) 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하여 순서에 위배되는 패킷들은 모두 차단되게 된다. 즉 내부 사용자가 인터넷으로 필(ping) 이 허용된 경우 내부자의 정상적인 핑 요구(ping request) 에 대해 인터넷으로부터 들어오는 핑 대답(ping reply) 는 허용되지만 인터넷으로부터 내부자의 요구(request) 가 존재하지 않은 상태에서 불법적인 핑 대답 패킷들은 차단되게 된다.
상태추적 동작원리
- 클라이언트 A 는 특정 웹(web) 서버(B) 연결을 방화벽에 요구한다.
- 방화벽은 상태목록(state table)에 출발지, 도착지, 포트 서비스 및 되돌아오는 패킷 여부 기록 후 ACL 을 검토한다.
- ACL 목록에서 해당 패킷 통과가 허용되는지 검토한다.
- 해당 패킷 통과가 허용된다면 외부 web 서버 B 에 연결한다.
- 웹 서버 B 의 응답 패킷이 방화벽에 진입한다.
- 방화벽은 해당 응답 패킷을 ACL 에서 검토한다.
- 허용된 패킷일 경우 상태 목록에서 기존 패킷에 대한 응답 패킷인지를 확인한다.
- 정상적인 응답 패킷인 경우 클라이언트 A 에게 연결한다.
- 장점 : 모든 통신채널에 대해 추적 가능하다.
- 한 차원 높은 패킷 필터링 기능을 제공한다.
- 응용프로그램 방화벽과 같은 성능 감소가 발생하지 않는다.
- UDP 와 RPC 패킷 추적이 가능하다.
- 패킷 내의 데이터 상태와 정황(context)이 저장되고 지속적으로 갱신된다.
- 단점 : 상태목록(state table)에 도스(DOS) 나 디도스(DDOS) 공격으로 인해 거짓 정보가 가득 차게 되면 장비가 일시적으로 정지하거나 재가동해야 한다.
- 어떠한 이유로 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃어버리게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.[3]
논란
인터넷 접근차단도 방법중에 하나지만 이것에 대한 논란 여지가 있는 것도 있다. 방송통신위원회(방통위) : 2019년 2월 새로운 인터넷 접속차단 정책을 발표했는데 보안접속(https)을 활용하는 해외 불법 사이트 차단을 위해 서버네임인디케이션(이하 SNI) 필드 차단 방식을 도입하기로 한 것이다. 기존 도메인네임시스템(DNS)이나 인터넷서비스제공자(ISP)를 통한 서버 차단은 ‘http’만 가능했다. SNI는 https 인증 과정에서 노출되는 사이트 이름을 등록해 불법 사이트 여부를 파악하고 차단하는 방식인데 불법 사이트를 접속할 때 주소 입력창에 ‘http’ 대신 ‘https’를 입력하여 우회접속하는 것을 차단할 수 있는 장점이 있다. 방통위는 기존과 큰 차이가 없는 방식이라 문제될 게 없으며 해외에 주소를 둔 불법 사이트를 차단하기 위해선 불가피하다는 입장이나 인터넷 검열이라는 반대 여론이 거세졌고 결국 청와대 국민청원 게시판에 대해 이효성 방통위장이 직접 해명했다. 당시 이효성 위원장이 해결방안으로 제시한 인터넷 규제 개선 공론화 협의체가 지난 6월 13일 출범했다. 방통위의 인터넷 접속차단 정책이 다시 도마 위에 오른 내용에 대한 평론기사이다. 인터넷 접속차단 정책이 무슨 문제가 있겠는가. 인터넷에서 아동 음란물, 리벤지 포르노와 같은 디지털 성범죄, 마약 범죄, 불법 도박 등 피해가 날로 커지고 있다. 규제로 이들을 단속하고 적발하는 데는 항상 한계와 어려움이 뒤따른다. 피해자들을 생각하면 인터넷 접속차단이 아니라 더 강력한 규제수단이라도 도입하고 싶은 심정이다. 그럼에도 인터넷 접속차단을 비롯해 방통위가 추진하고 있는 일련의 인터넷 규제정책은 다음과 같은 우려할 점이 있다.
- 인터넷 접속차단은 단순한 기술정책이 아닌 내용규제 : 방송통신위원회는 내용을 들여다보는 것이 아니며 사전 검열도 아니기 때문에 문제가 없다고 하지만 방송통신심의위원회가 불법사이트라고 결정하면 이후 주소를 확인하여 차단하는 방식이니 일면 내용에 간섭하지 않는 기술정책이라고 할 수도 있겠다. 그러나 기술적 조치라고 하지만 규제대상은 어디까지나 인터넷 표현물이다. 또 규제기관들이야 방송통신위원회와 방송통신심의위원회의 기능을 법적, 제도적으로 구분하겠지만 국민들 입장 : 다 같은 규제기관이고 결국은 인터넷 표현물을 차단하는 거다.
- 내용규제이므로 어떤 내용물을 차단 : 정보통신망법 제44조의7 제1항에서 금지하고 있는 불법 정보는 다음과 같다.
- 음란
- 명예훼손
- 공포심·불안감 유발 정보
- 해킹·바이러스
- 청소년유해매체물
- 도박 등 사행행위 금지
- 개인정보 보호
- 국가기밀 누설
- 국가보안법 위반
- 범죄 교사·방조까지 상당히 광범위한 영역이다.
광범위한 내용에 대해 규제기관이 불법사이트라고 결정하면 접속차단이 된다는 것이며 방통위는 불법촬영물 등 디지털 성범죄와 피해자의 권리침해를 이번 인터넷 접속차단 규제의 필요성으로 중요하게 내세워서 일부 여성단체가 접속차단을 지지한 것도 그런 이유 때문일 것이지만 그런데 통계자료에 따르면 이번 SNI 방식으로 차단된 디지털 성범죄는 2019년3월~6월동안 단 한 건에 불과하다. 즉 새로운 접속차단 정책이 주로 어떤 표현물을 규제하겠다는 것인지 모호해진다.
- 불법 정보에 대한 판단기준도 문제 : 불법음란물이 대표적이다. 학설과 판례에 따른 형법상 음란물이란 그 내용이 사회 통념상 일반인의 성욕을 자극하여 성적 흥분을 유발하고 정상적인 성적 수치심을 해하여 성적 도의 관념에 반하는 것이로 음란의 개념이란 고정된 것이 아니라 시대적, 사회적 가치관에 따라 바뀐다. 형법적 기준도 판단하기 어려운데 행정적 규제라고 쉽게 적용해서는 아니 되며 자칫 자의적 기준으로 표현의 자유가 무원칙적으로 침해될 소지가 크다는 것이다. 특히 위의 자료에 따르면 SNI 필드 방식으로 차단된 불법음란물 사이트는 지난 2월부터 5월까지 3개월간 3,418건으로 나타났다. 3,418건을 일일이 심의했는지, 사이트의 전체 혹은 일부를 판단했는지, 음란물의 기준을 규제기관이 먼저 기준을 제시해야 할 것이다. 국가보안법 위반 등을 우려하는 목소리가 나오는 이유이다.
- 규제 주체의 문제 : 우리가 방송통신융합 환경에 맞춰 규제기구와 제도를 개편하면서 방송통신심의위원회를 분리하여 설치한 데는 다 이유가 있었다. 민주주의에서 표현의 자유가 왜 중요한지는 다시 언급할 필요가 없을 것이다. 방송통신위원회가 아니라 별도의 기구인 방송통신심의위원회를 조직해 심의를 담당하게 한 것은 내용규제가 대단히 중요하기 때문이다. 또 내용규제는 행정규제 다시 말해 인허가(합병심사)나 재원정책(부담금 부과), 광고규제 등과 독립될 필요가 있으며 규제기관이 사업자들의 재원이나 허가 등을 이유로 방송이든 통신이든 내용에 간섭하지 못하도록 한 것이다. 인터넷 정책의 공론화 등을 이유로 방송통신위원회가 주도적으로 인터넷 내용규제를 논의하는 것이 바람직하지 않은 이유이다. 아동 음란물, 리벤지 포르노와 같은 디지털 성범죄, 어린이와 청소년 보호 등 인터넷 내용규제에서 중요하게 다루어야 하는 영역이 있다. 우리 사회에서 훨씬 더 다양하고 진지한 논의와 정책이 수립되어야 할 필요성도 있다. 인터넷 접속차단과 같은 기술적 조치도 하나의 규제수단이지만 알다시피 사업자들의 자발성이 선행되어야 한다라는 기사는 인터넷 접근차단 정책의 여러 논란들을 다뤘다.[4]
각주
- ↑ 〈침입 차단 시스템〉, 《위키백과》
- ↑ 2.0 2.1 이문규, 〈네트워크를 지키는 최후의 보루 - 방화벽〉, 《IT동아》, 2012-04-13
- ↑ 별의수다, 〈침입차단시스템(방화벽, Firewall)의 종류〉, 《네이버 블로그》, 2017-08-03
- ↑ 별의수다, 〈인터넷 접속차단 정책의 문제점〉, 《KISO 저널》, 2019-06-27
참고자료
- 〈침입 차단 시스템〉, 《위키백과》
- 〈네트워크를 지키는 최후의 보루 - 방화벽〉, 《IT동아》
- 〈침입차단시스템(방화벽, Firewall)의 종류〉, 《네이버 블로그》
- 〈인터넷 접속차단 정책의 문제점〉, 《KISO 저널》