심층 패킷 검사(DPI)는 네트워크를 통과하는 데이터 패킷을 검사하여 트래픽 유형을 식별하는 방법입니다. 이 정보를 바탕으로 원치 않는 트래픽을 차단할 수 있습니다.

이 기술은 방화벽, 침입 탐지 시스템 및 기타 네트워크 보안 시스템에서 흔히 사용됩니다.

불행히도 개인 네트워크를 보호하는 데 사용되는 것과 동일한 분석 기술이 정부 및 기타 조직에서 인터넷 트래픽을 모니터링하고 온라인 반대 의견을 검열하는 데 사용될 수도 있습니다.

조직은 DPI를 사용하여 네트워크를 통과하는 패킷의 목적을 파악하기 위해 검사할 수 있습니다. 이를 통해 특정 웹사이트, 어플리케이션 및 서비스에 대한 접근을 차단하거나 제한할 수 있습니다.

VPN을 사용하면 패킷이 암호화되므로 이러한 종류의 분석을 방지할 수 있습니다. 그러나 VPN 프로토콜 자체는 종종 DPI에 의해 식별될 수 있습니다. 이로 인해 억압적인 정부(및 사무실이나 캠퍼스와 같은 기타 조직)는 VPN 사용 사실을 숨기기(난독화) 위해 시도하더라도 VPN 서비스에 대한 접근을 효과적으로 차단할 수 있습니다.

이 글에서는 심층 패킷 검사가 어떻게 작동하는지 살펴보고, 억압적인 정부가 이를 사용하여 어떻게 검열 제한을 가하는지에 초점을 맞춰 알아봅니다. 또한 이러한 제한을 극복하도록 설계된 Proton VPN과 같은 가상 개인 네트워크(VPN)에 DPI가 어떤 영향을 미치는지도 살펴봅니다.

데이터 패킷이란 무엇인가요?

데이터가 네트워크(예: 인터넷)를 통해 전송될 때, 이는 작은 부분으로 나뉩니다. 이러한 작은 부분을 데이터 패킷(또는 그냥 패킷)이라고 부릅니다.

인터넷 프로토콜(Internet Protocol)(새 창)은 웹을 통해 전송되는 정보가 올바른 목적지에 도달하도록 데이터 패킷을 사용합니다. 데이터 세트(예: 이미지 또는 이메일 내용)를 구성하는 모든 패킷이 목적지에 도달하면 다시 재조립됩니다.

패킷에 포함된 실제 데이터를 “페이로드(payload)”라고 합니다. 또한 각 패킷에는 패킷이 어디로 가고 어디서 왔는지 설명하는 메타데이터가 포함된 헤더가 있습니다.

IP 패킷 구조

인터넷을 통해 전송되는 모든 데이터는 패킷 형태로 전송됩니다.

패킷 분석 작동 원리

어떤 형태로든 패킷 분석을 수행하는 조직은 먼저 분석할 패킷을 획득해야 합니다. 이는 다양한 방법으로 수행할 수 있지만 포트 미러링(새 창), 물리적 네트워크 탭(새 창), WiFi 스니핑(새 창)이 흔히 사용되는 전술입니다. 일단 조직이 패킷에 접근할 수 있게 되면, 다양한 방식으로 패킷을 분석할 수 있습니다.

간단한 패킷 분석

조직이 네트워크 트래픽을 차단하는 가장 쉽고 비용이 적게 드는 방법은 패킷 헤더에 포함된 정보를 검사하는 것입니다. 이를 통해 이러한 조직은 사용하는 포트나 대상 IP 주소를 기반으로 패킷을 차단할 수 있습니다.

심층 패킷 검사

인터넷을 검열하려는 조직에게 있어 간단한 패킷 분석의 문제점은 대상 IP 주소나 사용하는 포트 번호를 변경하는 것만으로 쉽게 우회할 수 있다는 것입니다. 이는 간단한 패킷 분석이 데이터(페이로드)를 확인하지 않기 때문입니다. 심층 패킷 검사는 페이로드를 포함한 패킷 전체를 분석합니다.

심층 패킷 검사는 어떻게 작동하나요?

DPI 기술에는 다음이 포함됩니다:

  1. 서명 기반 탐지 — 알려진 악성 또는 원치 않는 트래픽 패턴 데이터베이스와 패킷을 비교합니다
  2. 이상 기반 탐지 — 정상적인 네트워크 트래픽에서 벗어난 패턴이나 동작을 찾습니다
  3. 프로토콜 분석 — 패킷의 구조와 형식을 검사하여 어떤 프로토콜이 사용 중인지 식별합니다
  4. 콘텐츠 검사 — 이메일 텍스트 등 페이로드에 포함된 실제 데이터를 검사하여 특정 키워드나 문구를 식별하고 차단합니다
  5. 행동 분석 — 특정 서버에 대한 연결 빈도 또는 전송된 데이터 양과 같이 시간에 따른 네트워크 트래픽의 동작을 검사하여 비정상적인 활동 패턴을 식별하고 차단합니다

DPI와 정부 검열

전 세계의 억압적인 정부들은 자국 시민들의 독립적인 정보에 대한 접근, 국제 사회와 교류할 수 있는 능력, 그리고 정권에 비판적인 견해를 표현할 수 있는 역량을 제한하기를 원합니다.

이것이 인터넷 차단이 계속해서 더 흔해지고 있는(새 창) 이유 중 일부입니다. 그러나 이러한 차단은 인터넷에 정기적으로 의존하는 모든 국가(즉, 북한을 제외한 거의 모든 국가)에 엄청난 비용을 초래합니다. 2022년의 인터넷 차단은 세계 경제에 약 240억 달러의 비용을 초래했습니다(새 창).

러시아, 중국, 이란, 이집트 같은 곳에서 이 딜레마에 대한 해결책은 인터넷은 이용할 수 있게 하되, 시민들이 접근하는 것을 원치 않는 웹사이트와 앱을 차단하는 것입니다. 기본적으로 이는 아주 쉽게 달성할 수 있습니다. 정부가 해야 할 일은 국내 인터넷 서비스 제공업체(ISP)에 특정 IP 주소로의 연결을 차단하도록 지시하는 것뿐입니다.

이러한 접근 방식의 문제는 가상 개인 네트워크(VPN)와 같은 기술 덕분에 기술에 정통한 시민들이 이러한 차단을 쉽게 우회할 수 있다는 점입니다. 따라서 정부는 VPN 사용을 감지(및 차단)하기 위해 DPI를 배포합니다.


인터넷 검열에 대해 자세히 알아보기

VPN 작동 원리

VPN은 귀하의 기기와 Proton VPN 같은 VPN 서비스에서 운영하는 VPN 서버 사이에 암호화된 연결을 생성합니다. 그런 다음 VPN 앱은 귀하의 기기에서 발생하는 모든 연결을 이 “VPN 터널”을 통해 라우팅합니다. 여기에는 (보통 그렇듯이) 귀하의 ISP 대신 VPN 제공업체가 해결하는 DNS 쿼리가 포함됩니다.

VPN 터널을 통해 전송되는 데이터는 안전하게 암호화되므로, 귀하의 ISP(나아가 귀하의 정부)는 귀하의 데이터 내용이나 귀하가 방문하는 웹사이트를 볼 수 없습니다. ISP가 볼 수 있는 것은 귀하가 연결한 VPN 서버의 IP 주소뿐입니다.

VPN 작동 방식

VPN 작동 방식에 대해 더 알아보기

ISP가 볼 수 없는 것은 차단할 수도 없기 때문에 VPN은 효과적인 검열 방지 도구입니다. 물론 억압적인 정부도 이를 알고 있으므로, 대개 VPN에 대한 접근을 차단하려고 시도하는 방식으로 대응합니다.

간단한 VPN 차단

이를 수행하는 가장 간단한 방법은 VPN 서비스의 웹사이트에 대한 접근을 차단하는 것입니다. 이러한 차단은 대개 쉽게 피할 수 있습니다. 예를 들어, 암호화된 메신저나 소셜 미디어 채널을 통해 Proton VPN의 Android APK 파일과 같은 VPN 소프트웨어를 배포하는 방식입니다.

다음과 같은 방법을 사용하여 패킷 헤더에 대해 간단한 패킷 분석을 수행할 수도 있습니다.

대상 IP 주소 분석

당국은 패킷의 대상 IP 주소를 조사하여 알려진 VPN 서버 IP 주소 목록과 대조할 수 있습니다. 이러한 목록이 있으면 ISP가 모든 VPN 서비스 서버에 대한 접근을 쉽게 차단할 수 있습니다.

대부분의 정부가 가용할 수 있는 자원을 고려하면 이러한 목록을 직접 작성하는 것은 어렵지 않습니다. 하지만 많은 상업용 서비스가 이러한 목록을 작성하고 판매하여 성업 중이므로 굳이 직접 만들 필요는 없습니다.

포트 분석

DPI는 패킷의 목적지 포트 번호를 검사하여 알려진 VPN 포트 번호 목록과 대조할 수 있습니다

예를 들어, 기본적으로 OpenVPN은 UDP 포트 1194를 사용하는 반면 WireGuard®는 UDP 포트 51820을 사용합니다.

SSL/TLS 인증서 분석

당국은 패킷의 SSL/TLS 인증서(새 창)를 검사하여 알려진 VPN SSL/TLS 인증서 목록과 대조하고 사용자가 VPN을 사용 중인지 탐지할 수 있습니다.

Proton VPN 받기!

간단한 VPN 검열 우회 전술

간단한 패킷 분석은 쉽고 비용이 적게 들기 때문에 흔히 사용되는 검열 전술입니다. 또한 VPN 서비스가 다음과 같은 방법을 사용하여 이를 우회하는 것도 상당히 쉽습니다.

TCP 기반 VPN

HTTPS(새 창)는 웹을 보호하는 암호화 표준으로, 우리가 인터넷에서 당연하게 여기는 많은 활동을 가능하게 합니다. 여기에는 온라인 구매 및 귀하의 은행 계정을 온라인으로 관리하는 것과 같은 모든 온라인 금융 거래를 안전하게 보호하는 것이 포함됩니다.

HTTPS는 TCP 포트 443을 사용하므로, VPN 서비스도 종종 TCP 포트 443을 통해 VPN 프로토콜을 실행합니다. 이로 인해 인터넷 전체를 차단하지 않고서는 이 포트를 단순히 차단하기가 어려워집니다.

OpenVPN은 TCP 지원을 내장하고 있어 이 전술을 사용하는 VPN 서비스 사이에서 인기 있는 선택입니다. WireGuard는 대개 UDP를 통해 실행되지만, Proton VPN은 TCP를 통해 WireGuard를 실행하는 방법도 개발했습니다.

UDP와 TCP의 차이점에 대해 더 알아보기

TCP 기반 VPN은 간단한 프로토콜 분석을 효과적으로 회피할 수 있지만, 더 고도화된 DPI 기술은 HTTPS와 VPN 패킷의 차이를 쉽게 감지할 수 있습니다.

포트 번호 변경

VPN 프로토콜은 기본적으로 예상되는 포트를 사용하지만, 대부분의 경우 거의 모든 포트(특정 기능을 위해 예약된 포트 제외)를 통해 실행할 수 있습니다. 따라서 단순하지만 흔히 효과적인 검열 우회 기술은 표준이 아닌 포트를 통해 VPN 프로토콜을 실행하는 것입니다.

Proton VPN의 Smart Protocol 기능은 연결이 차단된 것을 감지하고, VPN 프로토콜과 포트 번호 간을 자동으로 전환하여 차단되지 않은 조합을 찾아냅니다.

대체 라우팅

Proton VPN이 사용하는 독특한 검열 우회 전술로는 대체 라우팅(새 창)이 있습니다. (Proton VPN 웹사이트를 포함하여) Proton 서비스에 대한 접근이 차단된 경우, 당사는 AWS와 같이 차단될 가능성이 낮은 타사 서버 네트워크를 통해 연결을 라우팅하려고 시도합니다.

VPN 브릿지

목적지 IP 주소 분석은 극복하기 어려운 공격 벡터이지만, 일부 VPN 서비스는 VPN 브릿지를 사용하여 이 문제를 완화합니다. 브릿지는 대중에 공개되지 않거나 검열관에 의해 차단되지 않은 VPN 네트워크로의 대체 진입점을 제공하여 검열을 회피할 수 있게 해줍니다.

VPN 서비스는 “브릿지 릴레이” 또는 “브릿지 모드”라고 불리는 기술을 사용하여 이를 달성할 수 있습니다. 이는 VPN 제공업체가 대중에 공개하지 않고 검열을 극복해야 하는 사람들에게만 제공하는 소수의 “브릿지 릴레이”를 실행하는 방식입니다. 이러한 브릿지 릴레이는 VPN 네트워크의 비밀 진입점 역할을 하며 VPN 트래픽 차단을 우회하는 데 사용할 수 있습니다.

VPN이 브릿지를 사용하는 또 다른 방법은 사용자가 “브릿지 VPN”을 통해 VPN 네트워크에 연결할 수 있도록 하는 것입니다. 즉, 귀하의 기기와 검열관이 차단하지 않은 VPN 서버 사이에 VPN 연결이 설정됩니다. 이후 귀하는 이 브릿지 VPN을 사용하여 기본 VPN 네트워크에 연결하고 차단된 콘텐츠에 접근할 수 있습니다.

DPI를 통해 VPN을 탐지하는 방법

온라인 검열관과 인터넷 사용자는 웹 초기부터 군비 경쟁을 벌여왔습니다. ISP가 포트를 차단하기 시작하자 사람들은 비표준 포트를 사용하기 시작했습니다. 억압적인 정부는 열려 있는 포트에서 트래픽이 무엇을 하고 있는지 판별하기 위해 DPI를 사용하는 방식으로 대응했고, 이는 사람들이 DPI를 무력화하기 위해 VPN을 사용하도록 부추겼습니다. 이에 정부는 더 정교한 DPI 기술을 개발했으며, 이러한 경쟁은 계속 이어지고 있습니다.

DPI는 다양한 방식으로 VPN 트래픽을 식별하기 위해 전체 패킷을 검사하므로 우회하기가 어렵습니다. 이러한 방식에는 다음이 포함됩니다:

프로토콜 분석

이 분석은 패킷의 구조와 형식을 검사하여 어떤 프로토콜이 사용 중인지 식별하고 패킷이 OpenVPN, PPTP, L2TP 또는 IKEv2와 같은 VPN 프로토콜을 사용하고 있는지 감지합니다.

패킷 크기 분석

비정상적인 패킷 크기는 VPN 사용을 나타낼 수 있습니다.

행동 분석

DPI는 시간에 따른 네트워크 트래픽 동작을 검사하여 VPN 사용을 나타낼 수 있는 패턴을 식별할 수 있습니다. 예를 들어, 특정 서버로 가는 트래픽이 비정상적으로 급증하거나 IP 주소의 국가가 갑자기 변경되는 경우, 이는 VPN이 사용되고 있음을 나타낼 수 있습니다.

VPN 난독화

검열 없는 인터넷을 향한 군비 경쟁의 다음 단계로서, 일부 VPN 서비스는 DPI 기술에 내성이 있는 사용자 지정 VPN 프로토콜을 개발했습니다. 예를 들어, 당사는 Proton VPN을 위한 Stealth 프로토콜을 개발했습니다.

이 새로운 프로토콜은 다양한 오픈 소스 기술을 결합하며, 특히 단순히 TCP 포트 443을 통해 VPN을 실행하는 것보다 더 검열 저항적인 방식으로 HTTPS처럼 보이도록 TCP 상에서 난독화된 TLS 터널링을 사용합니다.

Stealth에 대해 더 알아보기

Stealth는 이란 및 러시아 등지에서 수백만 명의 사용자가 VPN 차단을 극복하도록 도왔지만, 고도화된 DPI 기술에 대한 효과를 보장할 수는 없습니다.

맺음말

심층 패킷 분석은 정교할 수 있으며 모두에게 개방된 인터넷을 제공하려는 당사의 노력에 지속적인 과제를 제기합니다. 하지만 당사는 바로 이와 같은 도전에 맞서기 위해 Proton VPN을 설립했으며, 당사의 엔지니어들은 항상 새로운 검열 우회 도구와 기능을 개발하고 있습니다.

당사는 세계에서 가장 억압적인 일부 정부와 군비 경쟁을 벌이고 있으며, 그 위험성은 이보다 더 클 수 없습니다. 억압적인 정부는 자국 시민이 접근할 수 있는 정보, 대화할 수 있는 상대, 동료 시민 및 전 세계에 말할 수 있는 내용을 철저히 통제하는 데 의존합니다.

그러나 당사는 모든 사람이 독립적인 보도에 접근하고, 원하는 누구와도 교류하며, 불의와 권력 남용을 비판할 권리가 있다고 믿습니다. 당사는 모든 사람이 이러한 기본적 인권에 접근할 수 있도록 투쟁하고 있습니다.

Proton VPN은 검열 없는 세상을 위해 싸우는 것을 돕고자 설립되었으며, 이것이 당사가 100% 무료 VPN 서비스를 제공하는 이유입니다. Proton VPN을 사용하면 누구나 자유롭고 개방된 인터넷에 접근할 수 있습니다. 당사는 전 세계의 활동가, 언론인 및 평범한 사람들이 혼란의 시기에 Proton VPN에 의지하는 것에 자부심을 느낍니다.

귀하가 억압적인 국가에 거주하고 계신다면, 당사의 서비스가 도움을 드릴 수 있습니다. 그렇지 않으시다면, Proton VPN Plus 요금제에 가입하기를 통해 모든 사람이 검열 없는 인터넷을 이용할 수 있도록 하는 당사의 사명을 지원하실 수 있습니다.