지난 몇 년간 익명성을 강화한 브라우저 서비스 토르(Tor)는 최고 수준의 온라인 비공개 상태 유지와 웹 검열 우회 기능을 지원했다. 여러 정부와 법률 집행 기관의 분노를 자극한 부분이기도 한 토르의 사용자 웹 트래픽은 암호화 이후 컴퓨터 체인을 통해 전송돼, 온라인에서의 개인 추적이 더 어렵도록 했다. 독재 정부는 토르의 사용자 추적 방해를 장기 집권의 위협으로 본다. 러시아는 지난 몇 달 사이에 별도의 다툼 없이 토르를 차단한다는 장기간의 야망을 강화했다.
2021년 12월, 러시아 언론 규제 당국인 로스콤나조르(Roskomnadzor)는 정부의 인터넷 서비스 공급사 대상 토르 웹사이트 차단 요청을 허용하는 4년 전 법원 명령을 시행했다. 이로써 러시아 정부는 토르를 내려받을 수 있는 곳에 차단 요청과 서비스 접근 제한 요청을 할 수 있다. 그 후 검열은 토르 기술팀과 토르 네트워크를 고집하고, 엄격한 규제 대상이 될 수 있으나 검열되지 않은 웹에 계속 접속하는 러시아인 사용자와의 전쟁을 이어왔다.
러시아의 토르 차단 시도는 기술적, 정치적 부문에서 시행되었다. 토르는 지금까지 러시아 정부의 기술적, 정치적 차단 시도에서 어느 정도 성공을 거두어왔다. 2022년 7월, 토르는 러시아의 차단 시도를 막을 방법을 찾고, 법적 문제 이후 러시아의 차단된 웹사이트 목록에서 제거되었다. (러시아의 차단 시도 즉시 종료를 의미하는 것은 아니다.)
토르 프로젝트 커뮤니티팀 책임자 구스타보 거스(Gustavo Gus)는 "토르는 러시아 정부 공격을 받고, 웹사이트 차단 대상이 되었다"라고 전했다. 지난 몇 달 동안 러시아 정부는 차단 전략을 변경했으며, 토르 검열 반대 엔지니어 인력은 러시아의 차단 때문에 서비스가 중단되지 않도록 업데이트를 배포하는 데 성공했다. 거스는 "러시아 사용자는 토르에 접속할 수 있다. 그리고 검열을 손쉽게 우회할 수 있다"라고 말했다.
러시아 인터넷 기반 시설은 상대적으로 분산 수준이 높은 편이다. 인터넷 서비스 공급사는 로스콤나조르를 통해 차단 명령을 받을 수 있으나 명령에 따른 조치는 기업의 몫이다. (전 세계에서 토르를 차단한 유일한 국가는 인터넷 통제 중앙화 수준이 더 강력한 중국이다.) 러시아 당국은 심층 패킷 분석을 이용해 온라인 서비스 감시와 차단을 하는 새로운 장비를 설치해왔으나 성공한 사례와 실패한 사례 모두 절반씩 존재한다.
거스는 "러시아 정부의 검열은 꾸준히 단일한 방식으로 이루어지지 않는다"라고 말했다. 거스는 인터넷 서비스 공급사가 다르므로 같은 도시에서 접속해도 일부 사용자만 정상 접속이 가능할 수 있다고 설명했다. 토르 자체 지표와 외부 분석 결과 모두 러시아 검열 효과가 감소한다는 사실을 입증했다.
토르의 자체 데이터 분석 결과, 2021년부터 러시아에서 토르에 직접 접속하는 사용자 수가 대폭 감소한 것으로 나타났다. 그러나 자발적으로 운영하는 브릿지(상세 정보가 공개되지 않아 쉽게 차단할 수 없는 진입점)과 토르의 검열 방지 툴 스노우플레이크(Snowflake) 덕분에 토르에 접속할 수 있다. 인터넷 감시 단체 OONI(Open Observatory of Network Interference)는 스노우플레이크를 사용해 토르에 접속하는 러시아 사용자 수가 급격히 증가한 사실을 입증하는 데이터를 공개했다.
2022년 2월, 러시아 전쟁 발발 후 러시아 정부는 인터넷을 통제할 의도로 새로운 법을 도입하고 시민 사회 단체 단속에 나섰다. 비정부 단체 액세스 나우(Access Now) 소속 법률 고문인 나탈리아 크라피바(Natalia Krapiva)는 러시아의 토르 차단 시도는 러시아 정부의 VPN 단속과 같은 시민의 정부 접근성을 통제하려는 대대적인 시도의 일부분이라고 전했다. 크라피바는 "러시아는 전쟁과 러시아 내부 상황 등 진실을 담은 대안 정보의 출처가 될 만한 부분을 모두 제거하려 한다"라고 말했다. 정보 제거 시도는 러시아인의 행동이나 자기 검열 태도 변화를 보이게 된 낙심 효과(chilling effect)를 키우는 요인이 되었다. 이에, 크라피바는 "직접 차단이나 검열을 하지 않았어도 특정 조치는 보복이나 추후 이어질 보복에 대한 우려를 자극했다"라고 진단했다.
[사진=Tor Blog]
거스는 토르의 스노우플레이크와 관련된 두 가지 문제를 언급했다. 첫 번째 문제는 2021년 12월, 발견 후 10일 만에 수정이 완료되었다. 그리고 이듬해 5월에 발견된 두 번째 문제도 발견 직후 패치 작업을 완료했다. 거스는 "러시아 정부는 다른 방식으로 스노우플레이크를 차단했다"라고 언급했다. 스노우플레이크 차단 대부분 브라우저와 인터넷 연결과 관련된 미세한 상세 정보를 통해 특정 사용자가 사용한 기술을 확인하는 지문 기록이 동원된다. 예를 들어, 토르 브라우저의 외부 소스 접속 횟수는 다른 브라우저와 두드러지게 구분할 수 있는 요소이다. 스노우플레이크를 확인할 수 있다면, 상대적으로 더 쉽게 차단할 수 있다.
거스는 일부 검열 시도가 직접 시행된 것이라고 주장했다. 그는 "러시아 정부가 수동 검열을 펼친다는 증거를 일부 발견했다"라고 전했다. 거스는 러시아 정부 관료 중 일부는 토르를 내려받고 브릿지를 확보해, 차단 접근 단계에 개입했다고 설명했다. 이어서 "러시아 정부 관료가 토르 사용자인 것처럼 시뮬레이션 과정을 거쳐 브릿지 주소에 접근하고 차단했다"라고 덧붙였다. 로스콤나조르는 이 기사가 송출될 시점까지 와이어드의 문의에 답변하지 않았다.
7월 중순 배포된 토르 브라우저 최신 버전인 11.5 버전은 사용자의 접속 위치를 기준으로 검열을 자동 우회하는 기능을 새로 추가했다. 토르의 현재 차단 방식 업데이트 버전 배포에 추가로 러시아 사용자에게서 직접 정보를 수집해왔다. 거스는 토르 브라우저 접속 차단 시 보고할 수 있는 러시아 사용자 지원 수준을 강화할 기능을 도입했다고 안내했다. 러시아 사용자가 토르에 접속하고자 활용할 수 있는 자발적인 브리지 운영도 증가했다.
거스는 텔레그램을 이용해 토르 브릿지 상세 정보를 공유한 것이 러시아 정부의 차단 작전에 맞서 싸우는 데 효과가 있었다고 밝혔다. 그는 “러시아 정부가 차 단한 브릿지는 토르 측이 사용자와 공유하는 브릿지와 달랐다”라며, 추후 시그널과 왓츠앱으로도 브릿지를 공유할 계획이라고 추가로 전했다.
토르는 브릿지 악용이 될 수 있는 사례 퇴치 작업도 진행 중이다. 2016년, 토르 연구팀은 차단이나 악용 의도를 지닌 브릿지 상세 정보 접근 시도를 모두 제거할 목표로 Salmon이라는 시스템을 제안했다. 거스는 토르 프로젝트팀이 Salmon 시스템 활용을 지원하기 위한 작업을 실제로 진행했으며, 기본적으로 브릿지 사용을 기준으로 ‘안정성’ 점수를 책정한다고 전했다. 누군가가 브릿지 작업 요청을 보냈으나 차단된다면, 신뢰성이 낮다고 판단할 수 있을 것이다. 거스는 “다른 브릿지를 전달한 뒤에도 차단된다면, 또 다시 낮은 점수를 부여할 것이다”라고 설명했다.
러시아 정부는 자국 영토 이외의 타국에서도 토르 브라우저 차단 시도를 펼친다. 헤르손 지역을 포함해 러시아군이 점령한 우크라이나 일부 지역의 인터넷 연결 경로가 러시아 네트워크로 변경돼, 브리지 검열과 감시가 마찬가지로 펼쳐진다. 거스는 러시아가 우크라이나 인터넷까지 장악하려 펼치는 행보가 이미 펼쳐져, 우크라이나 토르 사용자도 접속 오류와 웹사이트 로딩 문제를 보고했다고 밝혔다. (러시아의 우크라이나 인터넷 장악은 우크라이나 장기 점령과 러시아화 시도를 시사하기도 한다.) 또한, 거스는 “러시아 다른 지역에서 토르 접속 문제를 보고하는 사용자도 러시아군의 우크라이나 점령 지역과 똑같은 검열 피해를 보았다”라고 덧붙여 말했다.
러시아 사용자와 러시아군이 점령한 우크라이나 지역 사용자 모두 토르에 접속할 수 있다면, 러시아 정부가 통제하지 않는 뉴스와 정보를 접할 수 있을 것이다. 러시아 디지털 권리 단체 로스콤보보다(Roskomsvoboda) 법률 관행 책임자 사르키스 다르비냔(Sarkis Darbinyan)은 러시아가 우크라이나를 침략한 뒤 러시아에서 차단된 웹사이트 수는 총 5,500개 이상이라고 전했다. 다르비냔은 “러시아 사용자가 사실을 접하려면, VPN과 토르와 같은 툴이 결정적인 역할을 한다. 모두 사용자가 재빨리 효과적으로 침해된 권리를 되찾도록 하는 수단이다”라고 설명했다.
로스콤보보다는 지금까지 무료로 러시아 당국을 상대로 한 법률 사건 대변인으로 나섰다. 지금까지는 2021년 12월 자로 로스콤나조르가 발표한 토르 브라우저 차단 결정 번복에 성공했다. 그 부분적인 이유는 절차상 문제 때문이다. 토르 차단과 관련된 다른 법률 사건은 지금도 진행 중이지만, 다르비냔은 로스콤보보다가 러시아 당국의 토르 차단을 전면 취소할 방안을 모색할 것이라고 밝혔다.
크라피바는 토르 프로젝트의 법정 다툼을 러시아 디지털 권리, 인권 측면에서 ‘매우 드문 승소’라고 설명했다. 다만, 일시적인 승소로 끝나고, 러시아 당국이 합법적으로 토르 차단에 다시 나설 수 있다고 경고했다. 그러나 러시아 사용자의 토르 사용 중단을 의미하는 것은 아니다. 크라피바는 “여전히 러시아 정부가 특정 웹사이트를 매우 효과적으로 차단하는 데 동원할 기술을 찾고 있다. 그러나 100% 효과적인 수단은 없다”라며, “실질적으로 토르 전면 차단이 가능할지 의문스럽다. 개인적으로 러시아 정부가 다른 방법으로 토르를 차단하려 하고, 결과적으로 성공할 것이라고 본다”라는 견해를 전했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Tor Blog]](/news/photo/202208/4111_5452_5512.jpg)
뉴스레터 신청