SNI 검사: HTTPS를 사용해도 검열자가 방문 사이트를 아는 방법
Last updated: 4월 9, 2026
HTTPS가 트래픽을 암호화해도 SNI 필드의 도메인은 평문으로 노출됩니다. 검열자들이 이를 읽고 차단하는 원리를 이해하세요.
당신이 https://www.example.com에 접속하려고 합니다. 브라우저는 HTTPS 암호화를 시작하지만, 암호화가 완료되기 전 먼저 해야 할 일이 있습니다. 어느 서버와 통신해야 하는지 알아야 하기 때문입니다. 여기서 문제가 생깁니다. 당신의 인터넷 서비스 제공자(ISP), 정부 검열 시스템, 또는 네트워크 관리자는 HTTPS 내용은 볼 수 없지만, 당신이 어느 도메인을 방문하려는지는 여전히 볼 수 있습니다. 왜 그럴까요?
SNI란 무엇이고 왜 평문으로 전송되는가
SNI(Server Name Indication)는 TLS 핸드셰이크 과정에서 클라이언트가 방문하려는 도메인의 이름을 서버에 알려주는 메커니즘입니다. 이것이 필요한 이유는 현대 웹의 구조 때문입니다. 기술의 초기에는 한 IP 주소가 한 웹사이트만 호스트했습니다. 하지만 오늘날 수천 개의 웹사이트가 하나의 물리적 서버(같은 IP 주소)에서 실행될 수 있습니다. 우체국을 생각해보세요. 같은 건물 주소(IP 주소)에 여러 개의 사서함(도메인)이 있는 것처럼 말입니다.
서버는 어느 웹사이트의 SSL 인증서를 제공해야 하는지 알아야 하므로, 클라이언트는 암호화가 시작되기 전에 도메인 이름을 전송해야 합니다. 바로 이 순간이 문제입니다. SNI는 HTTPS 암호화 프로세스의 초기 단계에서 평문(암호화되지 않음)으로 전송됩니다. 마치 편지의 주소가 봉투의 바깥쪽에 적혀 있어서 우체부가 읽을 수 있는 것처럼, 네트워크를 모니터링하는 누구든 당신이 접속하려는 도메인을 볼 수 있습니다.
검열자들이 SNI를 활용하는 방식
많은 국가의 검열 시스템은 SNI의 이 약점을 이용합니다. 정부나 ISP는 네트워크의 특정 지점에서 모든 트래픽을 모니터링하고, 들어오는 각 연결의 SNI 필드를 읽습니다. "example.com"이라는 이름이 평문으로 나타나면, 시스템은 즉시 그 연결을 차단할 수 있습니다. 내용이 무엇인지 알 필요가 없습니다. 도메인 이름만으로도 충분합니다.
이것이 효과적인 이유는 현대 웹이 도메인 이름에 크게 의존하기 때문입니다. IP 주소만으로는 차단하기 어렵습니다. 많은 웹사이트가 같은 IP를 공유하고 있어서, IP를 차단하면 합법적인 사이트도 함께 차단될 가능성이 높기 때문입니다. 하지만 도메인 이름은 구체적입니다. 검열자들은 이 세분화된 제어를 좋아합니다.
보고에 따르면 중국, 러시아, 이란, 터키를 포함한 여러 국가에서 SNI 기반 차단을 사용하고 있습니다. 이들은 흔히 이를 "DNS 차단"이나 "IP 차단"과 결합하여 여러 계층에서 접근을 제한합니다.
Encrypted Client Hello와 ESNI: 문제의 해결책
기술 커뮤니티는 이 문제를 인식했고, 몇 가지 해결책을 개발했습니다. 초기 솔루션은 ESNI(Encrypted Server Name Indication)였습니다. 아이디어는 간단합니다. SNI 자체를 서버의 공개 암호화 키로 암호화해서 보냅니다. 이렇게 하면 네트워크 모니터 입장에서는 당신이 어느 도메인으로 가는지 볼 수 없습니다.
ESNI는 나중에 더 광범위한 ECH(Encrypted Client Hello)로 발전했습니다. ECH는 SNI뿐만 아니라 TLS 핸드셰이크의 다른 부분도 암호화하여 더 많은 정보를 보호합니다. 마치 봉투 안에 또 다른 봉투를 넣는 것처럼, 더 깊은 수준의 암호화를 제공합니다.
그러나 이 해결책들에는 트레이드오프가 있습니다. ECH 또는 ESNI를 사용하려면 웹서버가 지원해야 하고, 클라이언트도 지원해야 하며, DNS 시스템에도 특정한 공개 키 정보가 게시되어야 합니다. 2024년 기준으로, 많은 주요 웹사이트가 이를 지원하지만 모든 사이트가 그렇지는 않습니다. 그리고 이 기술 자체도 완벽하지 않습니다. 검열자들은 DNS 응답 자체를 차단하거나, ECH 지원을 감지하고 연결을 거부하는 방식으로 대응할 수 있습니다. 기술과 검열 사이의 경쟁은 계속됩니다.
현재 상황과 앞으로의 과제
SNI 검사의 존재는 HTTPS가 완전한 프라이버시 솔루션이 아니라는 것을 보여줍니다. HTTPS는 내용을 보호하지만, 행동(어느 사이트를 방문하는지)은 여전히 드러납니다. 이것을 메타데이터라고 부르는데, 메타데이터는 때로 실제 내용만큼이나 민감할 수 있습니다.
SNI 차단에 대한 방어책은 여러 가지가 있습니다. VPN은 전체 TLS 핸드셰이크를 암호화하기 때문에 SNI를 숨길 수 있습니다. Tor도 마찬가지입니다. 하지만 이러한 도구들도 자신의 한계와 트레이드오프를 가지고 있습니다. VPN을 사용하려면 VPN 제공자를 신뢰해야 하고, 어떤 나라에서는 VPN 자체가 차단될 수 있습니다.
SNI 검사를 이해하는 것은 단순히 기술적 호기심을 넘어섭니다. 이것은 검열이 어떻게 작동하는지, 그리고 왜 특정 기술들이 필요한지를 이해하는 데 핵심입니다. HTTPS는 당신의 통신 내용을 보호하지만, 당신의 행동은 여전히 추적 가능합니다. 진정한 프라이버시는 여러 계층의 기술이 함께 작동할 때 가능합니다. 다음 단계로는 DNS 프라이버시, VPN의 작동 원리, 그리고 검열 회피 기술들의 트레이드오프를 살펴볼 것을 추천합니다.
SNI란 무엇이고 왜 평문으로 전송되는가
SNI(Server Name Indication)는 TLS 핸드셰이크 과정에서 클라이언트가 방문하려는 도메인의 이름을 서버에 알려주는 메커니즘입니다. 이것이 필요한 이유는 현대 웹의 구조 때문입니다. 기술의 초기에는 한 IP 주소가 한 웹사이트만 호스트했습니다. 하지만 오늘날 수천 개의 웹사이트가 하나의 물리적 서버(같은 IP 주소)에서 실행될 수 있습니다. 우체국을 생각해보세요. 같은 건물 주소(IP 주소)에 여러 개의 사서함(도메인)이 있는 것처럼 말입니다.
서버는 어느 웹사이트의 SSL 인증서를 제공해야 하는지 알아야 하므로, 클라이언트는 암호화가 시작되기 전에 도메인 이름을 전송해야 합니다. 바로 이 순간이 문제입니다. SNI는 HTTPS 암호화 프로세스의 초기 단계에서 평문(암호화되지 않음)으로 전송됩니다. 마치 편지의 주소가 봉투의 바깥쪽에 적혀 있어서 우체부가 읽을 수 있는 것처럼, 네트워크를 모니터링하는 누구든 당신이 접속하려는 도메인을 볼 수 있습니다.
검열자들이 SNI를 활용하는 방식
많은 국가의 검열 시스템은 SNI의 이 약점을 이용합니다. 정부나 ISP는 네트워크의 특정 지점에서 모든 트래픽을 모니터링하고, 들어오는 각 연결의 SNI 필드를 읽습니다. "example.com"이라는 이름이 평문으로 나타나면, 시스템은 즉시 그 연결을 차단할 수 있습니다. 내용이 무엇인지 알 필요가 없습니다. 도메인 이름만으로도 충분합니다.
이것이 효과적인 이유는 현대 웹이 도메인 이름에 크게 의존하기 때문입니다. IP 주소만으로는 차단하기 어렵습니다. 많은 웹사이트가 같은 IP를 공유하고 있어서, IP를 차단하면 합법적인 사이트도 함께 차단될 가능성이 높기 때문입니다. 하지만 도메인 이름은 구체적입니다. 검열자들은 이 세분화된 제어를 좋아합니다.
보고에 따르면 중국, 러시아, 이란, 터키를 포함한 여러 국가에서 SNI 기반 차단을 사용하고 있습니다. 이들은 흔히 이를 "DNS 차단"이나 "IP 차단"과 결합하여 여러 계층에서 접근을 제한합니다.
Encrypted Client Hello와 ESNI: 문제의 해결책
기술 커뮤니티는 이 문제를 인식했고, 몇 가지 해결책을 개발했습니다. 초기 솔루션은 ESNI(Encrypted Server Name Indication)였습니다. 아이디어는 간단합니다. SNI 자체를 서버의 공개 암호화 키로 암호화해서 보냅니다. 이렇게 하면 네트워크 모니터 입장에서는 당신이 어느 도메인으로 가는지 볼 수 없습니다.
ESNI는 나중에 더 광범위한 ECH(Encrypted Client Hello)로 발전했습니다. ECH는 SNI뿐만 아니라 TLS 핸드셰이크의 다른 부분도 암호화하여 더 많은 정보를 보호합니다. 마치 봉투 안에 또 다른 봉투를 넣는 것처럼, 더 깊은 수준의 암호화를 제공합니다.
그러나 이 해결책들에는 트레이드오프가 있습니다. ECH 또는 ESNI를 사용하려면 웹서버가 지원해야 하고, 클라이언트도 지원해야 하며, DNS 시스템에도 특정한 공개 키 정보가 게시되어야 합니다. 2024년 기준으로, 많은 주요 웹사이트가 이를 지원하지만 모든 사이트가 그렇지는 않습니다. 그리고 이 기술 자체도 완벽하지 않습니다. 검열자들은 DNS 응답 자체를 차단하거나, ECH 지원을 감지하고 연결을 거부하는 방식으로 대응할 수 있습니다. 기술과 검열 사이의 경쟁은 계속됩니다.
현재 상황과 앞으로의 과제
SNI 검사의 존재는 HTTPS가 완전한 프라이버시 솔루션이 아니라는 것을 보여줍니다. HTTPS는 내용을 보호하지만, 행동(어느 사이트를 방문하는지)은 여전히 드러납니다. 이것을 메타데이터라고 부르는데, 메타데이터는 때로 실제 내용만큼이나 민감할 수 있습니다.
SNI 차단에 대한 방어책은 여러 가지가 있습니다. VPN은 전체 TLS 핸드셰이크를 암호화하기 때문에 SNI를 숨길 수 있습니다. Tor도 마찬가지입니다. 하지만 이러한 도구들도 자신의 한계와 트레이드오프를 가지고 있습니다. VPN을 사용하려면 VPN 제공자를 신뢰해야 하고, 어떤 나라에서는 VPN 자체가 차단될 수 있습니다.
SNI 검사를 이해하는 것은 단순히 기술적 호기심을 넘어섭니다. 이것은 검열이 어떻게 작동하는지, 그리고 왜 특정 기술들이 필요한지를 이해하는 데 핵심입니다. HTTPS는 당신의 통신 내용을 보호하지만, 당신의 행동은 여전히 추적 가능합니다. 진정한 프라이버시는 여러 계층의 기술이 함께 작동할 때 가능합니다. 다음 단계로는 DNS 프라이버시, VPN의 작동 원리, 그리고 검열 회피 기술들의 트레이드오프를 살펴볼 것을 추천합니다.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ 편집자 추천
★★★★★ 9.5/10 · 6,000+ servers · 중국에서 작동
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.