심층 패킷 검사
1. 개요
심층 패킷 검사(DPI)는 1990년대부터 발전하여 현재 널리 사용되는 기술로, 패킷 헤더뿐만 아니라 데이터 내용까지 분석하여 트래픽을 식별하고 분류한다. 초기에는 방화벽과 IDS/IPS의 기능을 결합하여 보안을 강화하는 데 사용되었으며, 현재는 기업, ISP, 정부 등 다양한 수준에서 활용된다. 기업에서는 네트워크 보안 강화 및 데이터 유출 방지(DLP)에, ISP는 불법 콘텐츠 차단, 타겟 광고, 서비스 품질 관리 등에, 정부는 검열 및 감시 목적으로 DPI를 사용한다. 그러나 HTTPS, VPN과 같은 암호화 기술의 발달로 DPI의 효과에 대한 의문이 제기되고 있으며, 이에 대응하기 위해 HTTPS 트래픽을 검사하는 기술도 개발되고 있다. 다양한 오픈 소스 및 상용 소프트웨어, 하드웨어 솔루션이 존재한다.
| 이름 | 심층 패킷 검사 |
|---|---|
| 로마자 표기 | Simcheung Paeket Geomsa |
| 다른 이름 | DPI (Deep Packet Inspection) |
| 설명 | 네트워크 패킷의 내용을 분석하여 악성 코드 탐지, 서비스 품질 관리, 콘텐츠 필터링 등에 활용하는 기술 |
| 작동 방식 | 패킷 헤더 정보뿐만 아니라 데이터 부분까지 분석 미리 정의된 규칙 또는 패턴과 비교하여 유해 트래픽 식별 |
|---|---|
| 활용 분야 | 네트워크 보안 (침입 탐지 시스템, 침입 방지 시스템) 서비스 품질 관리 (대역폭 관리, 트래픽 우선 순위 설정) 콘텐츠 필터링 (유해 사이트 차단, 저작권 침해 방지) 데이터 마이닝 사이버 검열 |
| 구현 방법 | 정규 표현식 기반 패턴 매칭 병렬 블룸 필터 |
| 설명 | 네트워크 트래픽에 대한 상세한 분석 가능 다양한 보안 위협 및 정책 위반 행위 탐지 서비스 품질 향상 및 네트워크 자원 효율적 관리 |
|---|
| 설명 | 개인 정보 보호 침해 가능성 (프라이버시) 검열 도구로 악용될 가능성 높은 시스템 부하 및 성능 저하 가능성 우회 기술에 대한 대응 필요 |
|---|
| 개인 정보 침해 | 패킷 내용 감청을 통한 개인 정보 수집 및 악용 |
|---|---|
| 검열 | 정부 또는 기업의 통제 수단으로 악용 |
| 망 중립성 | 특정 콘텐츠 또는 서비스 차단 |
| 암호화 | HTTPS, VPN 등을 이용한 통신 내용 암호화 |
|---|---|
| 난독화 | 트래픽 패턴을 숨기기 위한 기술 |
| 프록시 | IP 주소 및 통신 경로 우회 |
-
망 중립성 -
대역폭 제한
-
망 중립성 -
OTT 서비스
OTT 서비스는 인터넷을 통해 미디어 콘텐츠를 제공하는 서비스로, 넷플릭스, 훌루, 디즈니+ 등의 플랫폼을 통해 스마트 TV나 모바일 기기에서 이용 가능하며, 메시징, 음성 통화 기능과 더불어 콘텐츠 제작에도 참여하는 형태로 확장되고 있다. -
인터넷 검열 -
필터 버블
-
인터넷 검열 -
줄리언 어산지
줄리언 어산지는 1971년 오스트레일리아에서 태어난 인터넷 활동가이자 위키리크스 설립자로, 기밀문서 공개로 논란을 일으키며 여러 국가를 거쳐 망명 및 수감 생활을 하다 2024년 석방 후 고국으로 귀국했다. -
인터넷 프라이버시 -
구글 스트리트 뷰
구글 스트리트 뷰는 구글이 제공하는 파노라마 가상 거리 보기 서비스이며, 2007년 미국에서 처음 출시되어 전 세계 83개국에서 360도 거리 모습을 제공하며, 개인 정보 보호 문제를 위해 얼굴과 번호판을 흐리게 처리한다. -
인터넷 프라이버시 -
잊힐 권리
잊힐 권리는 인터넷 환경에서 개인의 프라이버시 보호를 위해 제기된 개념으로, 유럽 연합에서 법제화가 추진되었으며, 대한민국에서는 인터넷 자기게시물 접근배제요청권 가이드라인 발표 및 디지털 잊힐 권리 시범사업을 시작했다.
2. 역사
심층 패킷 검사(DPI) 기술은 1990년대부터 시작되어 현재까지 발전해왔다. 초기에는 RMON, 스니퍼, 와이어샤크와 같은 도구를 사용하여 패킷 헤더 및 프로토콜 필드를 분석하는 수준이었다. 예를 들어, 와이어샤크는 필드 이름과 내용을 표시하고 필드 값을 해석하는 다양한 디섹터를 통해 DPI의 필수 기능을 제공한다.
시간이 지나면서 DPI는 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)과 결합하여 더욱 정교한 공격을 탐지하고 차단할 수 있게 되었다. 상태 기반 방화벽은 패킷 흐름의 시작과 끝을 추적할 수 있지만, 애플리케이션 계층에서 발생하는 이벤트를 감지하는 데는 한계가 있었다. IDS는 침입을 탐지할 수 있지만, 공격을 차단하는 능력은 제한적이었다.
DPI는 이러한 한계를 극복하고, 유선 속도로 바이러스, 웜, 버퍼 오버플로우 공격, 서비스 거부 공격(DoS), 정교한 침입 등을 방지하는 데 활용된다. DPI 지원 장치는 OSI 모델의 계층 2 이상(계층 3 포함)을 살펴볼 수 있으며, 경우에 따라 계층 2-7까지 살펴볼 수 있다. 이를 통해 헤더 및 데이터 프로토콜 구조뿐만 아니라 메시지의 페이로드도 검사할 수 있다. DPI는 패킷의 데이터 부분에서 추출된 정보를 포함하는 시그니처 데이터베이스를 기반으로 트래픽을 식별하고 분류하여, 헤더 정보만 기반으로 한 분류보다 더 세밀한 제어가 가능하다.
3. 기업 수준에서의 활용
기업 환경에서 DPI는 네트워크 보안을 강화하고 데이터 유출을 방지하는 데 중요한 역할을 한다. 기존의 경계 보안만으로는 랩톱 사용 증가와 보안이 취약한 네트워크 연결로 인한 위협을 막기 어려웠다. 상태 기반 방화벽은 외부에서 내부 네트워크로의 접근을 제어하고, 내부에서 외부로의 요청이 있는 경우에만 접근을 허용했지만, 네트워크 계층의 취약점이나 애플리케이션의 악의적인 사용을 탐지하는 데는 한계가 있었다.
DPI는 애플리케이션 및 사용자 계층을 포함한 모든 계층에서 정책을 설정하고 시행할 수 있도록 지원하여, IT 관리자와 보안 담당자가 이러한 위협에 효과적으로 대응할 수 있도록 돕는다. 예를 들어, DPI는 컴퓨터 바이러스, 컴퓨터 웜, 스파이웨어와 같이 보안이 취약한 네트워크를 통해 유입되는 위협을 탐지하고 차단할 수 있다. 또한, DPI는 버퍼 오버플로 공격과 같은 특정 유형의 공격을 탐지하는 데에도 사용될 수 있다.
DPI는 데이터 유출 방지 (DLP) 솔루션과 결합하여, 이메일 등을 통한 중요 정보 유출을 방지하고 사용자에게 적절한 보안 절차를 안내하는 데 활용될 수 있다. 예를 들어, 사용자가 기밀 파일을 이메일로 외부로 전송하려고 할 때 DPI 시스템이 이를 감지하고 사용자에게 파일 전송 승인 절차를 안내할 수 있다.
4. 네트워크/인터넷 서비스 제공업체(ISP) 수준에서의 활용
인터넷 서비스 제공업체(ISP)는 내부 네트워크 보호 외에도 고객에게 제공되는 공용 네트워크에 [심층 패킷 검사](DPI)를 적용한다. ISP는 DPI를 합법적인 감청, 정책 정의 및 시행, 타겟 광고, 서비스 품질(QoS), 계층화된 서비스 제공, 저작권 집행 등 다양한 목적으로 활용한다.
* 합법적인 감청: 전 세계 대부분의 정부는 ISP에게 합법 감청 기능을 활성화하도록 요구한다. 과거에는 구형 전화 환경에서 정부 감시 장비에 연결되는 트래픽 접속 지점(TAP)을 만들고 감청 프록시 서버를 사용하여 이러한 요구를 충족했다. DPI를 포함한 다양한 방식으로 이러한 기능을 제공할 수 있으며, 법원 명령에 따라 사용자의 데이터 스트림에 접근하기 위해 "LI 또는 CALEA를 준수하는" DPI 지원 제품을 사용할 수 있다. (한국의 경우, 통신비밀보호법에 따라 감청이 제한적으로 허용된다.)
* 정책 정의 및 시행: ISP는 고객과의 서비스 수준 계약(SLA)에 따라 특정 수준의 서비스를 제공하고, 허용 가능한 사용 정책을 시행해야 한다. 이를 위해 DPI를 사용하여 저작권 침해, 불법 자료 유통, 대역폭의 불공정 사용 등을 다루는 정책을 구현할 수 있다. 일부 국가에서는 법률에 따라 ISP가 필터링을 수행해야 한다. DPI를 통해 ISP는 "온라인으로 수신하는 정보 패킷(이메일, 웹사이트, 음악, 비디오 및 소프트웨어 다운로드 공유 등)을 쉽게 알 수 있다". IP 주소, 특정 프로토콜, 특정 애플리케이션이나 동작을 식별하는 휴리스틱에 대한 연결을 허용하거나 허용하지 않도록 정책을 정의할 수 있다.
* 타겟 광고: ISP는 모든 고객의 트래픽을 라우팅하므로, 고객의 웹 검색 습관을 매우 자세하게 모니터링하여 관심사에 대한 정보를 얻을 수 있다. 이는 타겟 광고를 전문으로 하는 회사에서 사용될 수 있다. 최소 10만 명의 미국 고객이 이러한 방식으로 추적되었으며, 미국 고객의 최대 10%가 이러한 방식으로 추적되었다. 기술 제공업체로는 NebuAd, [https://www.frontporch.com/ Front Porch], Phorm 등이 있다. 고객을 모니터링하는 미국의 ISP에는 Knology 및 Wide Open West가 있다. 영국의 ISP인 브리티시 텔레콤(British Telecom)은 고객의 인지나 동의 없이 Phorm의 솔루션을 테스트했음을 인정했다. (이는 개인 정보 침해 논란을 야기할 수 있다.)
* 서비스 품질(QoS): DPI는 망 중립성에 반하여 사용될 수 있다. P2P 트래픽과 같이 대역폭을 많이 사용하는 애플리케이션을 식별하고, VoIP나 화상 회의와 같이 낮은 지연 시간이 필요한 서비스에 우선순위를 부여하는 등 네트워크 트래픽을 효율적으로 관리하는 데 사용된다. 서비스 제공업체는 소수의 사용자가 많은 양의 P2P 트래픽을 생성하여, 더 적은 대역폭을 사용하는 전자 메일 또는 웹 브라우징과 같은 애플리케이션을 사용하는 대부분의 광대역 가입자의 성능을 저하시킨다고 주장한다. DPI를 사용하면 운영자는 네트워크 혼잡을 방지하여 모든 사용자에게 공정한 대역폭 분배를 보장하면서 사용 가능한 대역폭을 초과 판매할 수 있다.
* 계층화된 서비스: 모바일 및 광대역 서비스 제공업체는 DPI를 사용하여 "폐쇄형 정원" 서비스와 "부가가치", "무제한", "만능" 데이터 서비스를 차별화하고, 다양한 서비스 요금제를 제공하며, 사용자별 맞춤형 서비스를 제공할 수 있다. "폐쇄형 정원", 애플리케이션별, 서비스별로 요금을 부과하거나 "만능" 패키지 대신 "무제한"으로 요금을 부과함으로써 사업자는 개별 가입자에 맞춰 서비스를 제공하고 가입자당 평균 매출(ARPU)을 증가시킬 수 있다.
* 저작권 보호: ISP는 DPI를 사용하여 저작권 침해 콘텐츠를 식별하고 차단하여 저작권 보호에 협력할 수 있다. 2006년 덴마크의 대형 ISP 중 하나인 Tele2는 고객이 비트토렌트의 시작점인 The Pirate Bay에 접근하는 것을 차단해야 한다는 법원 명령을 받았다. (한국의 경우, 저작권법에 따라 ISP는 저작권 침해 방지 조치를 취해야 한다.) 국제 음반 산업 협회(IFPI)와 4대 메이저 음반사 EMI, 소니 BMG, 유니버설 뮤직, 워너 뮤직은 Eircom과 같은 ISP를 상대로 소송을 제기했다. IFPI는 ISP가 네트워크에서 불법적으로 업로드되고 다운로드된 저작권 자료를 제거하기 위해 트래픽을 필터링할 것을 요구하고 있지만, 유럽 지침 2000/31/EC는 ISP가 전송하는 정보를 감시할 일반적인 의무를 지울 수 없다고 명시하고 있으며, 지침 2002/58/EC는 유럽 시민에게 통신의 프라이버시 권리를 부여하고 있다. 미국 영화 협회(MPAA)는 연방 통신 위원회(FCC)에 망 중립성이 심층 패킷 검사 및 기타 형태의 필터링과 같은 불법 복제 방지 기술을 해칠 수 있다는 입장을 밝혔다.
5. 정부 수준에서의 활용
북아메리카, 유럽, 아시아의 정부는 자체 네트워크 보안을 위해 DPI를 사용하는 것 외에도 감시 및 검열과 같은 다양한 목적으로 DPI를 사용한다. 이러한 프로그램 중 다수는 기밀로 분류되어 있다.
중국 정부는 자국민 또는 국가의 이익에 해롭다고 판단되는 네트워크 트래픽과 콘텐츠를 감시하고 검열하기 위해 심층 패킷 검사(DPI)를 사용한다. 이러한 자료에는 포르노, 종교 관련 정보, 정치적 반대 의견 등이 포함된다. 중국 네트워크 ISP는 DPI를 사용하여 네트워크를 통과하는 민감한 키워드가 있는지 확인한다. 만약 그렇다면, 연결은 차단된다. 중국 내 사람들은 종종 타이완과 티베트 독립, 파룬궁, 달라이 라마, 1989년 톈안먼 광장 시위와 학살, 집권 공산당에 반대하는 정당, 또는 다양한 반공산주의 운동과 관련된 콘텐츠가 포함된 웹사이트에 접속하려다 차단되는 것을 경험한다. 이러한 자료들은 이미 DPI 민감 키워드로 지정되어 있기 때문이다. 중국은 이전에 자국 내외의 모든 VoIP 트래픽을 차단했었다. 그러나 많은 VoIP 애플리케이션들이 현재 중국에서 작동하고 있다. 스카이프(Skype)의 음성 트래픽은 영향을 받지 않지만, 문자 메시지는 필터링 대상이며, 욕설과 같은 민감한 내용이 포함된 메시지는 대화 참가자에게 아무런 알림 없이 단순히 전달되지 않는다. 중국은 또한 유튜브(YouTube.com)와 다양한 사진 및 블로그 사이트와 같은 시각 미디어 사이트도 차단한다.
| Alexa 순위 | 웹사이트 | 도메인 | URL | 카테고리 | 기본 언어 |
|---|---|---|---|---|---|
| 1 | 구글(Google) | google.com | www.google.com | 전 세계 검색 엔진 | 영어 |
| 2 | 페이스북(Facebook) | facebook.com | www.facebook.com | 소셜 네트워크 | 영어 |
| 3 | 유튜브(YouTube) | youtube.com | www.youtube.com | 비디오 | 영어 |
| 6 | 위키백과(Wikipedia) | wikipedia.org | www.wikipedia.org | 자유 백과사전 | 영어 |
| 557 | 여호와의 증인 | jw.org | www.jw.org | 영적, 기독교 | 다국어 |
| 24693 | 오픈VPN(OpenVPN) | openvpn.net | www.openvpn.net | 정치적 인터넷 검열 회피 | 영어 |
| 33553 | 스트롱VPN(StrongVPN) | strongvpn.com | www.strongvpn.com | 정치적 인터넷 검열 회피 | 영어 |
| 78873 | 파룬따파(Falun Dafa) | falundafa.org | www.falundafa.org | 영적 | 영어 |
이란 정부는 2008년 노키아 지멘스 네트워크(NSN) (독일 대기업 지멘스 AG와 핀란드 휴대폰 회사 노키아 Corp.의 합작 회사, 현재 NSN은 노키아 솔루션즈 앤드 네트워크)로부터 심층 패킷 검사 (DPI) 시스템을 구매했는데, 이는 2009년 6월 월스트리트 저널 보도에 따르면 NSN 대변인 벤 룸(Ben Roome)의 말을 인용한 것이다. 기사에 인용된 익명의 전문가들에 따르면, 이 시스템은 "당국이 통신을 차단할 뿐만 아니라 개인에 대한 정보를 수집하고, 허위 정보를 목적으로 통신을 변경할 수 있게 한다."
이 시스템은 이란 정부의 통신 독점 기업인 통신 인프라 회사에서 구매했다. 저널에 따르면, NSN은 "지난해 국제적으로 인정된 '적법한 가로채기'라는 개념에 따라 장비를 이란에 제공했다"고 룸은 말했다. 이는 테러, 아동 포르노, 마약 거래 및 온라인에서 수행되는 기타 범죄 행위에 대응하기 위한 목적으로 데이터를 가로채는 것과 관련이 있으며, 이는 대부분의 통신 회사, 아니 모든 통신 회사가 가지고 있는 기능이라고 그는 말했다. 노키아 지멘스 네트워크가 이란에 판매한 모니터링 센터는 회사 브로셔에서 '모든 네트워크에서 모든 유형의 음성 및 데이터 통신의 모니터링 및 가로채기를 허용한다'고 설명했다. 룸은 합작 회사가 '정보 솔루션'이라고 불리는 모니터링 장비를 포함한 사업에서 3월 말에 뮌헨에 본사를 둔 투자 회사인 페루사 파트너스 펀드 1 LP에 매각하여 철수했다고 말했다. 그는 회사가 더 이상 핵심 사업의 일부가 아니라고 결정했다고 말했다.
NSN 시스템은 10년 전 Secure Computing Corp.가 이란에 판매한 장비를 따른 것이었다.
독립적인 워싱턴 D.C. 기반 분석가이자 Cato Institute의 객원 연구원인 데이비드 아이젠버그는 저널 보도의 신뢰성에 대한 의문을 제기하며, 특히 룸이 자신에게 귀속된 인용문을 부인하고, 아이젠버그 또한 동일한 저널 기자의 이전 기사에서도 유사한 불만을 제기했다고 말했다. NSN은 다음과 같은 부인을 발표했다: NSN은 "이란에 심층 패킷 검사, 웹 검열 또는 인터넷 필터링 기능을 제공하지 않았다". 뉴욕 타임스의 동시 기사는 NSN 판매가 "4월 [2009년]에 보도된 일련의 뉴스 기사, 워싱턴 타임스를 포함하여" 다루어졌으며, 이란의 인터넷 및 기타 미디어 검열을 검토했지만 DPI에 대해서는 언급하지 않았다.
인터넷 검열 회피 도구 알카시르의 개발자인 왈리드 알-사카프에 따르면, 이란은 2012년 2월 심층 패킷 검사를 사용하여 전국 인터넷 속도를 거의 정지 상태로 만들었다. 이는 Tor 및 알카시르와 같은 도구에 대한 접근을 잠시 차단했다.
러시아에서는 아직 DPI가 의무화되지 않았다. 연방 법률 제139호는 IP 필터링을 사용하여 러시아 인터넷 블랙리스트에 있는 웹사이트를 차단하도록 규정하지만, ISP가 패킷의 데이터 부분을 분석하도록 강제하지는 않는다. 그러나 일부 ISP는 여전히 블랙리스트를 구현하기 위해 다양한 DPI 솔루션을 사용한다. 2019년 로스콤나드조르 정부 기관은 러시아의 한 지역에서 시범 프로젝트를 거친 후 DPI를 전국적으로 출시할 계획이며, 예상 비용은 200억 루블 (300)이다.
일부 인권 운동가는 심층 패킷 검사가 러시아 연방 헌법 제23조에 위배된다고 생각하지만, 이를 입증하거나 반박할 법적 절차는 아직 진행된 적이 없다.
싱가포르는 인터넷 트래픽에 대한 심층 패킷 검사를 사용하는 것으로 알려져 있다.
국가안보국(NSA)은 AT&T Inc.의 협조를 받아 딥 패킷 검사(DPI)를 사용하여 인터넷 트래픽 감시, 분류 및 전달을 보다 지능적으로 수행했다. DPI는 어떤 패킷이 이메일 또는 VoIP (Voice over Internet Protocol) 전화 통화를 전달하는지 찾는 데 사용된다.
AT&T의 Common Backbone과 관련된 트래픽은 두 개의 광섬유 사이에서 "분할"되어 신호를 분할하여 신호 강도의 50%가 각 출력 광섬유로 전송되었다. 하나의 출력 광섬유는 보안실로 전환되었고 다른 광섬유는 AT&T의 스위칭 장비로 통신을 전달했다. 보안실에는 나루스 트래픽 분석기 및 로직 서버가 있었으며, 나루스는 이러한 장치가 초당 10기가비트 속도로 실시간 데이터 수집(검토를 위한 데이터 기록) 및 캡처가 가능하다고 밝혔다. 특정 트래픽은 분석을 위해 전용 회선을 통해 "중앙 위치"로 전송되었다. 전 미국 연방 통신 위원회의 인터넷 기술 수석 고문이었던 전문가 증인 J. 스콧 마커스(J. Scott Marcus)의 진술에 따르면, 전환된 트래픽은 "샌프란시스코 베이 지역에서 AT&T의 피어링 트래픽의 전부 또는 실질적으로 전부를 나타냈다"고 하며, 따라서 "섬유 분할의 위치 또는 위치 측면에서 ... 구성 설계자는 주로 국내 데이터로 구성된 데이터 소스를 제외하려는 시도를 하지 않았다".
DPI를 사용하는 IBM 또는 Dell 리눅스 서버에서 실행되는 나루스의 Semantic 트래픽 분석기 소프트웨어는 초당 10 Gbit 속도로 IP 트래픽을 분류하여 대상 이메일 주소, IP 주소 또는 VoIP의 경우 전화 번호를 기반으로 특정 메시지를 선택한다. 조지 W. 부시 대통령과 알베르토 곤잘레스 법무 장관은 대통령이 FISA 영장을 받지 않고 미국 내 사람과 해외의 연락처 간의 전화 및 이메일 교환에 대한 비밀 감청을 명령할 권한이 있다고 믿는다고 주장했다.
미국 국방정보시스템국은 딥 패킷 검사(DPI)를 사용하는 센서 플랫폼을 개발했다.
2015년부터 이집트는 심층 패킷 검사를 하는 국가 목록에 포함되기 시작했다는 보도가 있었지만, 이집트 국가 통신 규제 당국(NTRA) 관계자들은 이를 지속적으로 부인해왔다. 그러나 이 소식은 해당 애플리케이션 개발자가 발표한 대로 암호화된 메시징 앱 시그널을 이집트가 차단하기로 결정하면서 세상에 알려졌다.
2017년 4월에는 페이스 타임(FaceTime), 페이스북 메신저, 바이버(Viber), 왓츠앱(WhatsApp) 통화 및 스카이프(Skype)를 포함한 모든 VoIP 애플리케이션이 이집트에서 차단되었다.
2022년 현재, 페이스 타임(FaceTime), 페이스북 메신저는 차단이 해제되었다.
인도 최대의 통신 사업자인 Jio는 검열을 강화하기 위해 SNI 기반 필터링과 같은 정교한 DPI 기술을 사용하는 것으로 알려져 있다.
텔콤 인도네시아(Telkom Indonesia)를 통해 인도네시아 정부는 시스코 메라키(Cisco Meraki) DPI 기술의 지원을 받아 심층 패킷 검사(DPI)를 통해 전국적인 감시를 수행하고, 이를 국영 ISP에 등록된 시민들의 SSN/NIK(Nomor Induk Kependudukan, 주민등록번호)에 매핑한다. 심층 패킷 검사의 목적은 포르노, 혐오 발언을 필터링하고 서파푸아(West Papua)의 긴장을 완화하는 것을 포함한다. 인도네시아 정부는 2030년까지 감시를 다음 단계로 확대할 계획이다.
파키스탄 통신청(PTA)은 DPI 시스템이 특히 불경스러운 내용과 파키스탄의 통합 또는 안보에 위협이 되는 모든 자료를 필터링하고 차단하기 위해 2016년 전자 범죄 방지법(PECA)을 시행하기 위해 설치되었다고 밝혔다. 캐나다 회사인 샌드바인(Sandvine)이 파키스탄에 장비를 제공하고 설치하는 계약을 체결했다.
베트남은 네트워크 보안 센터를 출범시키고, 인터넷 서비스 제공업체(ISP)들에게 심층 패킷 검사(DPI)를 사용하여 인터넷 트래픽을 차단하도록 하드웨어 시스템을 업그레이드할 것을 요구했다.
시리아 정부는 금지된 통신을 분석하고 차단하기 위해 인터넷 트래픽에 대한 심층 패킷 검사(DPI)를 사용하는 것으로 알려져 있다.
6. 망 중립성과의 관계
P2P (Peer-to-peer) 트래픽과 같은 애플리케이션은 광대역 서비스 제공업체에게 점점 더 큰 문제를 야기한다. 일반적으로 P2P 트래픽은 파일 공유에 사용된다. 이러한 파일은 문서, 음악, 비디오 또는 애플리케이션 등 어떤 종류의 파일일 수 있다. 전송되는 미디어 파일의 크기가 종종 크기 때문에 P2P는 트래픽 부하를 증가시켜 추가 네트워크 용량을 필요로 한다. 서비스 제공업체는 소수의 사용자가 많은 양의 P2P 트래픽을 생성하고, 더 적은 대역폭을 사용하는 전자 메일 또는 웹 브라우징과 같은 애플리케이션을 사용하는 대부분의 광대역 가입자의 성능을 저하시킨다고 말한다. 열악한 네트워크 성능은 고객 불만을 증가시키고 서비스 수익 감소로 이어질 수 있다.
DPI를 사용하면 운영자는 네트워크 혼잡을 방지하여 모든 사용자에게 공정한 대역폭 분배를 보장하면서 사용 가능한 대역폭을 초과 판매할 수 있다. 또한 낮은 지연 시간이 필요한 VoIP 또는 화상 회의 통화에 웹 브라우징보다 더 높은 우선 순위를 할당할 수 있다. 이는 서비스 제공업체가 네트워크를 통과하는 트래픽에 따라 동적으로 대역폭을 할당하는 데 사용하는 방식이다.
개인 정보 보호 또는 망 중립성에 관심 있는 사람들과 단체들은 인터넷 프로토콜의 콘텐츠 계층 검사를 불쾌하게 여기며, "인터넷은 열린 접근과 패킷의 비차별성을 바탕으로 구축되었다!"라고 말한다. 반면 망 중립성 규칙 비판론자들은 이를 "문제 해결을 위한 해결책"이라고 칭하며, 망 중립성 규칙이 네트워크 업그레이드와 차세대 네트워크 서비스 출시에 대한 인센티브를 감소시킬 것이라고 말한다.
심층 패킷 검사는 많은 사람들에게 인터넷 인프라를 훼손하는 것으로 여겨진다.
7. 암호화 및 터널링에 의한 DPI 회피
HTTPS 사용과 VPN을 이용한 프라이버시 터널링이 증가하면서, DPI의 효과에 의문이 제기되고 있다. 이러한 기술들은 트래픽을 암호화하여 DPI 장비가 내용을 분석하는 것을 어렵게 만든다.
이에 대응하여 많은 웹 애플리케이션 방화벽들이 HTTPS 트래픽을 분석하기 위해 암호를 해독하는 HTTPS 검사를 제공한다. WAF는 암호화를 종료하여 WAF와 클라이언트 브라우저 간의 연결이 일반 HTTP를 사용하도록 하거나, 사전에 클라이언트에 배포해야 하는 자체 HTTPS 인증서를 사용하여 데이터를 다시 암호화할 수 있다. HTTPS/SSL 검사(HTTPS/SSL 차단이라고도 함)에 사용되는 기술은 중간자(MiTM) 공격에서 사용되는 기술과 동일하다.
작동 방식은 다음과 같다:
1. 클라이언트는
2. 트래픽은 방화벽 또는 보안 제품을 통과한다.
3. 방화벽은 투명 프록시로 작동한다.
4. 방화벽은 자체 "CompanyFirewall CA"로 서명된 SSL 인증서를 생성한다.
5. 방화벽은 이 "CompanyFirewall CA" 서명된 인증서를 클라이언트에게 제시한다(targetwebsite.com 인증서가 아님).
6. 동시에 방화벽은 자체적으로
7. www.targetwebsite.com은 공식적으로 서명된 인증서(신뢰할 수 있는 CA에 의해 서명됨)를 제시한다.
8. 방화벽은 자체적으로 인증서 신뢰 체인을 확인한다.
9. 방화벽은 이제 중간자로 작동한다.
10. 클라이언트의 트래픽은 해독되고(클라이언트의 키 교환 정보를 사용), 분석되고(유해 트래픽, 정책 위반 또는 바이러스), 암호화되어(targetwebsite.com의 키 교환 정보를 사용) targetwebsite.com으로 전송될 수 있다.
11. targetwebsite.com의 트래픽도 해독되고(targetwebsite.com의 키 교환 정보를 사용), 분석되고, 암호화되어(클라이언트의 키 교환 정보를 사용) 클라이언트로 전송될 수 있다.
12. 방화벽은 SSL-클라이언트와 SSL-서버(targetwebsite.com) 간에 교환되는 모든 정보를 읽을 수 있다.
이것은 방화벽 제품이 SSL-클라이언트의 신뢰 저장소를 수정할 수 있는 한, 모든 TLS 종료 연결(HTTPS뿐만 아님)에 대해 수행할 수 있다.
8. 소프트웨어
다음은 심층 패킷 검사(DPI) 관련 오픈 소스 및 상용 소프트웨어 목록이다.
* nDPI: OpenDPI에서 파생된 오픈 소스 DPI 엔진으로, ntop 개발자들이 활발하게 유지보수하고 있다. 스카이프, Webex, Citrix 등 새로운 프로토콜을 지원한다.
* L7-Filter: Linux Netfilter용 분류기로, 애플리케이션 계층 데이터를 기반으로 패킷을 식별한다. Kazaa, HTTP, Jabber, Citrix, 비트토렌트, FTP, Gnucleus, eDonkey2000 등 다양한 프로토콜 및 애플리케이션을 분류할 수 있다. 스트리밍, 메일, P2P, VoIP, 게임 등 다양한 유형으로 분류 가능하다. 현재는 단종되었다.
* Hippie: DPI 및 방화벽 기능을 함께 제공하는 오픈 소스 커널 모듈이다.
* SPID: 네트워크 흐름의 통계 분석을 통해 애플리케이션 트래픽을 식별하는 프로젝트이다. eDonkey (난독화 트래픽 포함), 스카이프 (UDP 및 TCP), 비트토렌트, IMAP, IRC, MSN 등 약 15개 애플리케이션/프로토콜을 지원한다.
* Tstat: 트래픽 패턴 분석 및 통계 정보를 제공하는 도구이다.
* Libprotoident: 가벼운 패킷 검사(LPI)를 사용하여 개인 정보 보호 문제를 최소화하면서 트래픽을 분류하는 라이브러리이다. 200개 이상의 프로토콜을 지원한다.