RFC 8890: 인터넷은 사용자의 것
최근에 Mark Nottingham 이 자신의 블로그에 RFC8890: The Internet is for End Users 이라는 글을 올렸습니다. 본문과 더불어 RFC8890 도 읽어 보면 좋을것 같습니다.
RFC8890이 나왔는데 인터넷은 엔드유저 (사용하는 사람)을 위한 것이라는 점을 강조하는 내용입니다. IETF는 RFC를 출간하는 조직인데 인터넷 프로토콜 표준을 만드는 것으로 알려져 있지만 사실 표준은 아니고 RFC를 작성할 뿐 실제 구현은 회사나 개발자에 의해 좌우됩니다. 가령 리눅스 커널의 TCP 코드를 보면 RFC에 없는 내용이 많이 포함되어 있지만 인터넷 대부분 트래픽을 차지하는 것이 현실이지요.
그리고 순수하게 기술적이지만도 않은게 은연중에 정치적 결정을 하는 경우도 존재하며 그리고 이는 국가간 또는 세력간에 손익을 발생시키기도 합니다. 한국의 예를 들자면 불법 사이트 차단을 위해 주요 ISP의 DNS에서 블랙리스트를 적용하는 것이나 SNI 정보를 이용하는 것을 들 수 있습니다. DNS over HTTP (DOH)/DNS over TLS (DOT)가 만들어졌을 때 이슈 중 하나는 DNS에 의존하는 사이트 차단 기능을 본질적으로 우회할 수 있다는 것인데, 대형 ISP DNS에서 차단하는 사이트라도 DOH를 쓰고 공개된 리졸버를 쓰게 되면 국가의 DNS 차단을 우회하게 됩니다. 가령 아동성범죄나 마약거래와 같은 불법 사이트 차단을 DNS/SNI 차단에 의존하고 있는 국가는 DOH 나 ECH (Encrypted Clieht Hello)와 같은 기법이 메이저 브라우저에서 기본 적용되는 것을 반기지 않을 것이고 따라서 실제로 파이어폭스 브라우저의 DoH설정이 국가별로 다른 경우가 일어나고 있습니다.
IETF는 검열에 관한 기술을 다루지 않으므로 DNS 관련 RFC에는 차단 방법에 대한 내용은 없지만 각 국가의 법령에 따라 실제 소프트웨어에는 구현되어 있는 경우가 다수 있습니다. 이러한 현실 위에서 검열을 피할 수 있는 DOH/DOT/ECS와 같은 새로운 기술은 기존 법령과 충돌을 일으킬 수 있지만, 또 그걸 뒷받침할 수 있도록 RFC를 작성하지도 않는다는 것입니다. 가령 한국이나 중국 정부에서 IETF에 인력을 파견해서 DOH/DOT나 ECH의 RFC작업을 하지 말라거나 검열이 가능하도록 백도어를 넣게 압력을 넣어 볼 수는 있겠지만 받아들여지지 않을 것이겠지요.
또 다른 예로 최근에 중국에서 TLS 1.3패킷을 검사하여 ESNI가 사용 중이면 연결을 끊는 사례가 보고되어 있는데, 그렇다고 IETF가 ECH개발을 중지하지도 않는다는 의미입니다. 이미 ESNI를 지나서 ECH라는 보다 발전된 기술이 논의되고 있습니다. ECH를 통해서 부가적인 프라이버시를 얻는 사람도 있지만, 이를 통해서 놓치는 범죄자들도 있을 것입니다.
이런 기준은 국가마다 다르고 동일한 잣대로 판단하는 것이 어려운 경우가 많습니다. 하지만 RFC의 내용은 최대한 일반 사용자의 이익이 되는 방향으로 가야 한다는 것입니다.