러시아 정부가 인터넷 통신을 암호화하는 기술을 일부 금지하는 개정 법안 제정을 위한 움직임을 보이고 있다. 이에 따라 러시아 정부는 영토 내에서 웹페이지나 사이트명이라는 걸 알 수 있는 식별자를 은닉 통신할 수 없게 될 가능성이 있다.
보도에 따르면 2020년 9월 22일(현지시간) 러시아 디지털 개발 통신부가 만든 정보 기술과 정보 보호에 관한 러시아 연방법 개정 법안이 입수됐다며 공개했다. 개정 법안은 TLS 1.3, DoH, DoT, ESNI 같은 통신 기술을 대상으로 한 것이다. 개정법에선 이런 통신 기술 사용이 전면 금지되는 게 아니라 암호화를 통해 웹페이지 식별자를 은닉하는 게 금지된다는 것이다.
최근 보통 사용되는 HTTPS를 이용하면 트래픽이 암호화됐기 때문에 통신 내용 자체가 도청될 가능성은 낮다고 한다. 하지만 암호화되지 않은 DNS 쿼리를 분석하는 등 사용자가 액세스하려는 웹사이트를 식별하는 방법이 존재한다.
이런 도청 위험을 방지하기 위해 DNS 쿼리를 암호화해 안전성을 높인 통신 기술이 DoH와 DoT다. 또 TLS 1.3과 ESNI도 마찬가지. 통신 프로토콜인 TLS에 따르면 악수를 암호화하고 사용자가 방문하는 웹사이트를 식별할 수 없도록 할 수 있다.
입수 문서에서 러시아 정부는 이런 암호화 기술 사용은 트래픽을 모니터링하는 기존 필터링 시스템 효율성을 저하시킨다며 그 결과 러시아에서 배포를 제한 또는 금지 정보를 포함한 인터넷상 정보 자원 식별이 상당히 어려워지고 있다고 지적해 암호화 기술 사용 금지 필요성을 주장했다.
한 전문가는 개정 법안이 통과되면 러시아에선 DoH과 DoT 등 암호화 기술을 사용하는 모든 사이트가 불법으로 차단될 수 있다며 또 사이트만 차단하는 건 불가능하기 때문에 암호화 기술을 사용하는 것만으로 호스팅 제공 업체 전체 서브넷이 차단될 수 있다고 밝혔다. 이에 따라 러시아 정부는 AWS나 클라우드플레어(Cloudflare), 디지털오션(Digital Ocean) 같은 IP 주소 범위 전체를 차단하고 이를 통해 사용자는 고통을 받을 것이라고 지적했다.
러시아 정부 개정안은 2020년 10월 5일까지 공개 의견을 접수한 뒤 재논의된다. 법안이 통과될 가능성은 법 개정에 따른 전략적, 정치적 이익을 고려하면 법안이 의회를 통과할 건 거의 확실할 전망이라는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.