앱과 웹 서비스를 위한 GFW, 放火長城, The Great Firewall of China의 이해

in #firewall7 years ago (edited)

GFW란?

한국의http://warning.or.kr/ 과 같은 인터넷 불건전 서비스 차단 시스템으로 중국 정부가 운영 중인 서비스. 이른바 금순공정이라 불리며, 사이버 만리장성이라는 별명이 있다.

서비스의 문제점

  1. ICP가 있더라도 종종 알 수 없는 이유로 차단될 때가 있다.
  2. 패킷이 사라지는 경우도 있다.
  3. GFW가 병목에 걸릴 경우 중국 내 유저들의 서비스 품질에 영향이 있을 때가 있다.
  4. 중국에 갔을 때 페이스북, 구글 등의 서비스를 이용할 수 없다.

꼭 지켜야하는 것

  1. 중국 국민을 상대로 서비스를 할 경우 중국의 사이버 보안법과 중국 정부의 법률을 지켜야 한다.
  2. 느리더라도 합법적인 절차가 중요하다. 절차의 문제로 결국 퇴출당한 서비스가 적지 않다.
  3. 브로커는 최악의 사태를 만들 수 있다.

역사
1998년~ 2006년까지
• 시스코 장비 기반의 키워드 차단 서비스
• 차단 로그를 분석한 결과 수동으로 차단한 흔적이 있었음.
• 중국 시간(BST)로 새벽 2~4시경부터 차단 속도가 느려짐

2006년 ~ 2008년까지
• 화웨이 등의 장비로 국산화
• 중국산 장비 도입 후 실험적 장비가 많이 도입되어 패킷을 빼먹는 경우가 종종 발생함
• 스카이프 음성 품질 저하 등이 많았음
• QQ 메신저의 메시지가 사라지거나 socket connection이 끊어지는 버그가 있었음

2008년 ~ 2017년까지
• 2017년 머신 러닝을 도입
• 검색 추론 시스템을 도입하여 각 PC 및 모바일 디바이스마다 검색 기록 및 이력을 관리하는 것으로 추정됨
• DPI(심층 패킷 검사) 사용
• 딥러닝을 도입하여 의심되는 패킷, IP를 일정 시간 드롭 시킴
• connection 초기화
• DNS 오염
• TLS MITM 등의 공격적인 사이버 차단 정책 도입
• VPN 중국 서비스, 앱 서비스 퇴출

방화벽 지역
• 베이징 지역
• 선전 지역
• 내몽고 지역
• 운남 지역
• 헤이룽장 지역 (동북 3성)

크게 5개 구역으로 방화벽을 운영하는데, 각 지역별로 장비, 셋팅, 필터링 조건이 다 다르다. 그래서 특정 지역은 오픈되었는데, 다른 지역에서 차단되는 경우가 종종 발생한다.

2017년 11월 이후 각 방화벽 지역별 데이터 동기화 속도가 2시간 이내로 줄어듬에 따라 이런 오차는 줄어들고 있다.

사용하는 방화벽의 리눅스 커널은 다음과 같다.

꼭 필요한 절차

  1. 중화인민공화국의 법률을 지키자
  2. ICP를 취득한다.

주의해야하는 점

VPN PPTP로 패킷을 감싸서 GFW를 회피하려는 시도를 할 수 있다. PPTP로 된 VPN 통신의 경우 중국이 차단을 한 사이트를 열었을 때 거의 100%로 차단한다.

즉, PPTP를 분석할 능력을 중국 정부는 보유하고 있다는 것이다.

차선책

  1. 80, 443 port 이외의 통신 포트를 사용하자
  2. 그렇다고 8080은 안된다.
  3. 지나치게 패킷양이 많거나 중국으로 인바운드가 많다면 중국 정부의 정책에 따라 ICP를 발급 받아야한다
  4. 일본 AWS는 중국 정부가 IP 대역을 잘 확인하고 있어 차단한다.

결론

GFW는 중국 정부의 정책이며, 한국 정부도 비슷한 차단 정책을 가지고 있다. 만일 한번도 http://warning.or.kr/ 페이지를 보지 못했다면 건전하고 순수한 분이시라 믿는다.

중국의 국가 정책, 국가 방화벽을 중장기적으로 우회하는 것은 사실상 불가능하다. 예전에는 패킷을 하나 씩 빼먹는 등 성능이 좋지 못했지만 이제는 머신 러닝, 딥러닝을 도입했는지 확실히 품질이 개선되었다.

브로커들은 이를 회피할 수 있다고 말하지만, 중국에서 브로커로 인한 피해는 크고 피해가 막심하다. 정상적으로 사업을 하기 위한 준비를 하고 접근하는 것이 중국 서비스를 위한 조언이다.

중국 서비스는 예측 불가능하지만, 중국 정부가 요구하는 절차를 철저하게 지키고 정도를 걸어야한다.

Sort:  

그동안 페이스북에서 쓰셨던 좋은 글을 읽고 있던 팔로워 입니다. 스팀잇진출 축하드립니다.

감사합니다.