로그인

  • 목록
  • 아래로
  • 위로
  • 쓰기
  • 검색

정보&강의 KT 인터넷 단말기 제한을 기술적으로 해결하기 위한 제안

첨부 10

  1. 4391ee94187ab4.png (File Size: 2.1KB/Download: 5)
  2. 4391d543786195.png (File Size: 10.0KB/Download: 0)
  3. dns-spoofing.png (File Size: 42.5KB/Download: 0)
  4. ion-toronto-deploying-dnssec-a-ca-case-study-12-638.jpg (File Size: 85.3KB/Download: 0)
  5. 13IJ5rPalqhkrW4SbbqLmYQ.png (File Size: 54.6KB/Download: 0)
  6. dbe57aca28b02ca93ae7f446999840bd.png (File Size: 130.6KB/Download: 0)
  7. Pasted-image-at-2018_04_03-02_04-PM.png (File Size: 163.8KB/Download: 0)
  8. doh-cap.jpg (File Size: 134.0KB/Download: 0)
  9. 62e51175ad847d.jpg (File Size: 28.9KB/Download: 0)
  10. 62e73cd7249f24.jpg (File Size: 17.1KB/Download: 0)

인터넷 단말기 해제를 위해서 여러 고민을 하는 글들이 인터넷에 많이 있습니다.

근래에 찾아본 자료에 의하면, 아래 링크의 글이 기술적으로 가장 잘 요약한 것이 아닐까 합니다.

 

클리앙 유저의 기술적 분석

https://www.clien.net/service/board/lecture/11698537

 

 

요약하자면,

원래는 이런 구조로 사용되어야 하는데,

 

 

이런식으로 감시 서버가 존재한다는 것입니다.

사용자의 인터넷 접속 정보를 중간에서 가로채고 감시하는 것이죠.

KT나 ISP 업체가 그럴 일은 없지만, 이런 기술은 원래 해킹을 할 때 사용하는 것이기도 합니다.

 

관련 이미지

 

만일 KT가 해킹을 당한다면? 수많은 사용자들의 접속정보와 개인정보가 그대로 노출될 수 있죠.

이런 상황은 단말기를 제한 하는 것을 훨씬 뛰어넘는 심각한 문제가 될 수 있습니다.

 

 

이 문제를 해결하기 위해서 해당 감시서버의 아이피를 차단하는 방식을 수년전에 공개하기도 하였습니다.

 

하지만, 감시서버를 직접 차단하는 방법은 몇가지 문제를 가지고 있습니다.

1. 해당서버의 아이피를 찾기 어렵다.

2. 감시서버와의 통신이 차단되어 일부 사이트 이용시 딜레이가 일어날 수 있다.

는 점입니다.

 

1번 문제는 차단페이지가 뜨면 해당 주소의 아이피를 확인하면 되는데, 2번은 일반적인 가정용 공유기로는 해결이 불가능하고, 성능이 좋은 공유기로 해결을 봐야 합니다. 비용이 들죠.

 

지금 말씀드리는 건, 이런 모든 수고가 필요없는 근본적인 해결책입니다.

DNS를 조회하는 과정을 암호화 하는 것입니다. 통신사나 정부에서 어떤 도메인과 사이트를 조회하는지 알 수 없게 만들어 버리는 거죠. 그럼 감시를 하더라도 무의미한 정보만 보게 될 것이고 그들의 감시는 무용지물이 될 것입니다.

 

dns sec에 대한 이미지 검색결과

 

 

이 기술은 원래 DNS 변조를 막는 기술입니다.

인터넷뱅킹 사이트를 변조하여 피싱사이트로 연결하는 금융 범죄가 많이 일어나면서 DNS 변조에 대한 우려가 많아지고, 이를 해결하기 위해서 암호화로 DNS 정보를 중간에서 해킹하지 못하도록 한 것입니다.

 

그런데, KT가 오히려 사용자 정보를 중간에서 가로채고 악용하고 있다고 했죠?

정부에서 차단한 각종 워닝 사이트도 이런 패킷을 감시하고 주소를 바꾸는 기술을 사용합니다. 이것도 일종의 해킹이죠.

 

 

워닝에 대한 이미지 검색결과

 

 

자, 이제 기분이 나쁘니까, DNS 암호화 기술로 우회를 해보겠습니다.

정확히는 DNS over HTTPS 기술과 DNS over TLS 기술입니다.

 

dnssec cloudflare 1.1.1.1에 대한 이미지 검색결과

 

 

아래 스샷은 TLS로 접속할 경우의 쿼리 내용입니다.

 

최초에 서로 보안키를 확인하고 이후부터는 TLS 통신으로 내용이 암호화 되는 것을 확인할 수 있습니다.

 

#Cloudflare DNS over TLS server

- address_data: 1.1.1.1
  tls_auth_name: "cloudflare-dns.com"
  tls_pubkey_pinset:
  - digest: "sha256"
    value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
- address_data: 1.0.0.1
  tls_auth_name: "cloudflare-dns.com"
  tls_pubkey_pinset:
  - digest: "sha256"
    value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=

 

 

Throwing the switch, from conventional DNS traffic to TLS encrypted.

 

 

또 다른 방식은 DNS over HTTPS 방식입니다. 이를 줄여서 DOH!라고도 합니다.

 

 

위의 스샷을 보면, DNS와의응답 정보가 암호화 되어있는 걸 알 수 있습니다.

 

잘 적용되고 있는지 확인하기 위해서는 https://dnsleaktest.com/ 에서 테스트를 해보시면 됩니다.

자신의 리얼 아이피가 나오면 적용이 안된겁니다.

 

적용전에는 KT에서 할당된 아이피가 그대로 노출이 됩니다.

 

적용후에는 이렇게 구글이나 클라우드 플레어 등의 보안 DNS의 아이피가 다르게 나와야 합니다.

 

 

이게 정확하게 설정이 되면,

 

사용자 도메인 쿼리->127.0.0.1->암호화->통신사->도메인 서버(1.1.1.1)

도메인 서버(1.1.1.1)->암호화->통신사->사용자가 도메인에 대한 ip 주소 얻음

 

이전과 달리 도메인 쿼리를 암호화하기 때문에 중간에 경유하는 서버나 장비에서 사용자가 어떤 도메인에 대해 쿼리 했는지 접속하는지는 알 수 없고 변조할 수 없게 됩니다.

 

단말기를 어떻게 사용하는지나 어떤 주소를 사용하는지에 대한 정보를 알 수 없기 때문에 몇대의 컴퓨터를 사용하는지 제한을 걸 수도 없고, 정부에서 차단하는 워닝 사이트도 회피, 우회할 수 있습니다.

 

무엇보다 누군가 내가 어느 사이트와 어떤 페이지에 갔는지 알고 있다는 꺼림직한 기분이 해소가 되겠죠.

 

이번 글에는 전체적인 개념만 설명을 드렸구요. 다음 게시물에서는 본격적으로 라즈베리 파이로 사설 DNS를 만들어서 공유기 하단에서 전체적으로 적용하는 방법을 알려 드리도록 하겠습니다.

 

교회 전체 공유기나 네트워크에 걸어만 두셔도 효과가 만점일 겁니다.


이런 글도 찾아보세요!

공유

facebooktwitterpinterestbandkakao story
퍼머링크

댓글 1

비밀글입니다. 마그 2020.02.01. 16:24
비밀글입니다. 로그인
권한이 없습니다. 로그인

신고

"님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

"님의 댓글"

이 댓글을 삭제하시겠습니까?