사고 원인은 고의적이거나 우발적일 수 있습니다.
2024년 8월 20일, 중국 정부가 국내 인터넷 접근을 통제하는 데 사용하는 중국의 만리방화벽(Great Firewall of China, GFW)에 이상 징후가 포착되었습니다.
중국 인터넷 검열 시스템을 모니터링하는 웹사이트인 GFW Report에 따르면, 만리방화벽이 약 74분 동안 "TCP 포트 443의 모든 연결을 방해하기 위해 무조건적으로 위조된 TCP RST+ACK 패킷을 주입하는 이상 행동"을 보인 후, 평소의 프로세스를 재개했습니다.
(부가 설명: TCP 포트 443은 일반적으로 HTTPS(Hypertext Transfer Protocol의 보안 강화 버전으로, 장치 간의 연결을 도청하거나 변조하기 어렵게 만듭니다)에 사용되지만, 포트와 프로토콜이 반드시 일대일로 연결되는 것은 아닙니다. 시스템은 다양한 포트를 통해 HTTPS를 관리하도록 설정될 수 있습니다.)
이와 별개로, 지속성 악성코드 웜인 CanisterWorm은 명확한 이유 없이 시간대를 이용해 이란의 장치를 식별하고 삭제하는 행태를 보입니다.
GFW Report가 보고한 이번 행동은 중국이 이전에 암호화 통신을 검열하기 위해 시도했던 노력들과 차이점이 있습니다. 이번 사건은 포트 443을 특정 목표로 삼았기 때문입니다. 보고서에 따르면, "무조건적인 RST+ACK 주입은 TCP 포트 443에서만 발생했으며, SSH(22), HTTP(80), 대안적 HTTPS(8443) 등 다른 일반 포트에서는 발생하지 않았다"고 합니다.
이를 2020년 8월 GFW Report의 내용과 비교해 볼 필요가 있습니다. 당시 보고서는 GFW가 "TLS 1.3 및 HTTPS의 핵심 기능 중 하나"를 차단하려는 노력을 상세히 다뤘습니다. 그 경우, 중국 정부는 단일 포트에 국한된 방해를 가한 것이 아니라, 모든 포트(1~65535)에 걸쳐 TLS 1.3 및 HTTPS 프로토콜 자체를 겨냥했습니다.
이 정도의 위협은 반드시 이상한 일은 아닙니다. GFW Report는 "만리방화벽은 단일 개체가 아니라 검열을 수행하는 다양한 네트워크 장치들로 구성된 복잡한 시스템"이며, 트래픽 방해에 단일 방법만을 의존하지 않는다고 밝힌 바 있습니다. 따라서 GFW 우회는 한 번만 해결하면 끝나는 문제가 아닙니다.
결론적으로, 이 사건은 포괄적인 분석이 필요합니다. 우리는 이 사안에 대한 철저한 분석이 필요합니다.