Daily Archives: 2018/12/24

이해할 수 없는 스트리밍 사이트의 컨텐츠 보호

갑자기 우리나라 스트리밍 사이트 상당수에서 Safari 사용이 불가능해졌습니다. 사실 방아쇠는 애플이 당겼다고 할 수 있죠. 상당수 사이트들이 이유는 모르나 MS도 HTML5 사용하라고 한게 3년전인데 우리나라 사이트들이 신주단지처럼 여지껏 붙들고 있던 MS의 Silverlight의 지원을 최근 버전에서 비틀어 죽였으니까요. 애플 정신나갔군요? 는 개소리고.

왓차플레이
라프텔

일단 제가 시도해본 곳은 두 군데입니다만 확실히 티빙은 영화와 영화채널 OCN을 위해 Silverlight를 사용하고 있으니 거기도 마찬가지겠지요.

한마디로 컨텐츠 보호 DRM이 Silverlight 기반이기 때문이라는 얘깁니다만… 나머지 사이트들이야 레거시 때문이라지만 도대체 라프텔은 어떤 생각으로 2018년에 플러그인을 사용하기로 한걸까요?

제가 이해가 안가는것은 해외 서비스, 넷플릭스나 아마존 프라임 비디오에서, 특히 넷플릭스에서 최고 화질인 1080p로 동영상을 감상하려면 윈도우에서는 Edge, 맥에서는 Safari를 사용하는 것이 기본이자 대 전제이기 때문입니다.

왜냐구요?

사파리에서 넷플릭스나,

아마존 프라임 비디오를 실행한 뒤 캡쳐하면 본편 영상이 위처럼 까맣게 비어 나옵니다. 이 보안 기능을 지원하는 브라우저가 윈도우에서 Edge고 맥에서 Safari이기 때문입니다.

우리의 크롬은 그런거 없습니다.

얼마나 보안에 도움이 되는 뛰어난 솔루션인지는 종췌 알 도리가 없습니다만 2018년에 와서 이런 꼴을 보자니 흡사 2000년대~2010년대 초반의 MSIE에서 ActiveX를 보는 기분이군요. NPAPI 중단 하듯 크로뮴에서도 중단되야 정신들을 차리려나요?

가뜩이나 EdgeHTML 개발 중단으로 크롬과 크로뮴 독주가 우려된다는 의견이 전세계를 덮는 와중에 마지막으로 남은 두 개의 주요한 브라우저 중 하나를 가지치는거. 참 잘하는 짓이라고 생각합니다.

추기: 여담으로 동영상 캡쳐를 할 경우 이렇게 됩니다.

블로그와 언론의 자유에 관하여 생각하다

사실 제가 여기 이 블로그에 떠드는거야 크게 문제가 될 내용은 없을 거라고 생각합니다. 10년전 쯤 포스트를 검색해보면 정부에 반대하는 꽤나 과격한 글을 여럿 썼습니다만, 특히 지금 행정부와 각을 질 만한 성향도 아니고 말이죠. 하지만 여러가지 문제로 하여금 보안을 향상시키려는 노력을 거듭하고 있습니다. 

저는 처음 이 블로그를 국내의 서버에서 굴렸습니다. 돈이 들어가더군요. 그걸 잠시 티스토리로 옮겼습니다. TTXML의 장점을 활용해서 옮긴것이었죠. 하지만 다음의 서비스에 정이 떨어지자 그냥 워드프레스로 변환해서 다시 국내 서버로 옮겨서 사용했습니다. 그 과정에는 여러가지 난관이 있었습니다. 유니코드를 제대로 지원하지 않지를 않나, PHP와 MySQL 최저 사양을 만족 못하지 않나… 그래도 그럭저럭 써왔습니다만. 제가 서버를 구축할 수 있게 된 다음에는 그냥 깔끔하게 VPS로 옮겨버렸습니다.  그러다보니 자연스럽게 해외로 가게 되었습니다. 

사실 처음에 티스토리를 쓸 때 “임시조치”에 대해 상당히 걱정했던 것도 있고 국내의 서버로 옮긴 이후로도 얼마든지 물리력을 구사할 수 있다는 우려가 있었습니다. 그러다 해외로 가버린거죠. 

그 과정에서 클라우드플레어(Cloudflare)를 사용하게 되었고, 구글의 채근질도 있고 해서 HTTPS(TLS)를 적용한다거나 HTTP/2를 지원한다거나 이런저런 공을 들여왔습니다. 그리고 2~3일전부터는 DNSSEC을 적용하고 있습니다. 이 모두가 보안에 도움을 주지만 한편으로 검열에도 대항하는 조치이기도 합니다. 

뭐 여러분이 잘 아시다시피 밤토끼 사태로 인해서 HTTPS를 사용한 사이트를 잡기 위해서 DNS spoofing을 간보고 있다는 사실이 만천하에 드러났죠. 10월달이었나, 트위터 모바일웹을 오발(?)한 유명한 사건도 있었고 말이죠. 

그래서 DNS Encryption을 도입한겁니다. 뭐 이래저래 고충이 있었습니다. 가장 큰 문제는 우리나라 도메인 등록업체가 이걸 지원하지 않는다는겁니다. 덕분에 15년 거래하던 업체를 떠났습니다. 아, 물론 하나 더 있습니다. 우리나라 ISP도 DNS 암호화를 지원하지 않습니다. 그래서 제가 알던분은 해외에서 DNSSEC이 적용된 도메인을 한국 업체로 가져왔더니 암호인증이 깨져서 해외 DNS들이 전부 DNS 쿼리를 거부하는 상황에서 한국 ISP들만 친절히(?) 쿼리에 응답을 해서 국내 전용 사이트가 되었더라는 웃지 못할 해프닝이 있었습니다. 

만약 제가 언젠가 누군가와 척을 져서 사이트가 warning.or.kr로 리다이렉트 되더라도 DNS 서버를 해외의 것으로 변경하면 일단은 연결이 가능할 것이라는게 제 계산입니다. 물론 그럴일이 없어야겠지만 말이죠. 그래도 언론의 자유라는 거창한 얘기를 하지 않더라도 이런 고민을 하지 않아야 정상 아닐까 싶으니 좀 웃프네요.

삼성은 안드로이드를 지체 시키고 있습니다

매년 6월이 되면 WWDC가 열리고 애플은 그해 새로운 스마트폰에 나올 OS를 발표합니다. 구글도 매년 5월 I/O를 열어서 새로운 안드로이드 버전을 공개해서 새로운 픽셀 스마트폰(과 OEM들의 안드로이드 스마트폰)에 탑재될 내용을 발표합니다. 그런데 구글 I/O에 공개가 되었다고 해서 반드시 그것이 올해 갤럭시 스마트폰에 추가된다는 의미는 아닙니다. 

굳이 삼성전자가 시장 점유율 1위를 하고 있다는 사실을 언급하지 않더라도 삼성전자 정도 되는 규모의 업체가 (특히 플래그십) 스마트폰에 1년 지난 OS를 얹어서 1년의 상당수를 보낸다는 사실은 매우 커다란 문제라고 생각합니다. 화웨이 등 중국 회사들 조차도 이미 Pie를 얹고 있는 와중에 삼성은 여전히 일부 기종에 베타테스팅을 간보고 있는 상황입니다. 

물론 삼성의 경우 훨씬 많은 기종, 훨씬 많은 커스터마이제이션을 하고 있다는 점을 이해하고 있습니다. 하지만 안드로이드 사이트에서는 삼성이 지나치게 안드로이드를 자사의 입맛에 맞게 손보고 있다고 원망을 하고 있고, 그탓에 업데이트 스케줄도 늦어지고 있다고 생각합니다. 틀림없이 저 혼자만의 생각이 아닌 것입니다. 

저는 트위터에서 안드로이드 Pie의 점유율이 만약 계속 정체한다면 그것은 1위 업체인 삼성의 잘못이라고 대놓고 비난한적이 있습니다. 

아마 내년 2월 MWC를 즈음해서 갤럭시S10이 나올 것으로 추측이 됩니다만, 당연히 Pie를 탑재하겠죠. 이건 2~3월에 나오니 어쩔수 없는일이라 칩시다.  하지만 그렇다면 구글 I/O로부터 수개월은 지나서 나오는 노트 시리즈는 왜 그 모양입니까? 그리고 아마 S9과 노트9이 Pie를 얹을 즈음(그전해 플래그십들은 아직도 오레오에 멈춰있을 즈음)에 아마 구글은 삼성을 기다리지 않고 또 I/O를 열것이고 그렇게 삼성은 안드로이드 전체의 발목을 잡을 것입니다. 뭔가 문제가 있지 않습니까? 

 

우리나라 언론, 취재원의 비밀을 지킬 수 있을까?

좀 이상한 제목이 되어버렸다. 당연히 우리나라 언론인들도 취재원의 비밀을 (최대한) 지킬 거라고 믿어 의심치 않는다. 하지만 유감스럽게도 그것이 시스템상의 한계라던가에 부딛힐 수 밖에 없다고 생각한다. 가령 당신이 내부고발을 한다고 생각해보자, 당신이 어떤 메일 계정으로 메일을 보내거나 어떤 전화로 전화를 걸었다는 사실만으로 당신이 내부고발자로 의심 받을 가능성이 올라간다. 특히 평문 이메일은 이제까지, 그리고 앞으로도 절대로 안전한 수단이 아니다. 상당수 우리나라 언론이 전화와 (평문) 이메일로 제보를 받고 있는데, 전화는 몰라도 최소한 이메일은 중간에 얼마든지 가로채질수 있는 수단이라는 점을 알 필요가 있다. 

도널드 트럼프 행정부 시대 이후로 많은 서양 언론들은 익명 취재원들의 정보에 매우 의지를 해오고 있다. 그들이 주로 의지하는 수단은 

  • 전통적인 우편 
    의외로 안전한 수단이다. 발신처를 적지 않고 원격지의 우체통에 넣으면 그럭저럭 안전하고 익명성이 보장된다. 
  • Signal
    오픈소스로 움직이고 검증되는 종단간 암호화 메신저인 시그널은 여러가지 기능이 보안에 최적화 되어 있다. 최소한의 정보만 서버에 남기기 때문에 정부나 제3자가 통신 이력이나 내용을 파악하기 매우 어렵다. 앱을 깔고 지정된 연락처를 앱에 추가하면 된다. 
  • SecureDrop
    간단하게 말하면 Tor 네트워크를 사용한 암호화 온라인 사서함이라고 보면 된다. 추적이 매우 어렵다. 다만 Tor 브라우저를 깔아야 한다는 필요성이 있다.
  • Email(PGP 암호화 된)
    비록 완전한 익명성을 제공하지 못한다 하더라도(송수신자 주소와 제목 등 이메일 헤더는 중간에 읽힐 수 있다) 최소한 내용을 암호화하는게 가능한 방법이다. 위의 방법을 사용할 수 있다면 위의 방법을 사용하는게 바람직하다.  

등이 있다. 구체적으로 어떤 방법을 사용하는지 각 방법의 장단점등을 설명한 페이지를 링크한다.

NYT / The Guardian / WSJ 

일부 탐사 프로그램의 경우 Gmail 주소를 대놓고 제보 주소로 사용하고 있는데 내 자신이 Google에 꽤나 많은 신뢰를 가지고 있음에도 불구하고 이것이 그다지 좋은 방법이 아니라고 생각하고 있다. 비슷한 주소로 사칭 혹은 피싱을 할 수도 있고 Gmail이 내용을 읽어서 광고에 활용하고 있는 것은 어제 오늘 일이 아니기 때문이다. 그리고 다시 말하지만 평문 이메일은 절대 안전한 수단이 아니다. 

전화의 경우 그나마 나을 수 있지만 만약 발신이력조회를 할 수 있는 대상에 대한 고발이라면 어떻게 할 셈인가? 공중전화를 사용하면 될지 모르지만 이미 이 나라는 CCTV가 도처에 깔려 있는 나라인데다 공중전화는 역 같은 다중이용시설을 제외하면 거의 멸종직전이다. 한마디로 작정하고 나서면 전화 또한 안전하지 않다는 얘기다. 

물론 우리나라 언론인들의 능력이나 취재원 보호를 위한 열성을 폄훼하려는건 아니지만 우리나라 언론은 너무 나이브하다. 당연히 이런 방법을 일반인에게 알려주는것은 쉽지 않은 일이지만 최소한 알리려는 노력은 해야하는것 아닐까?