01. 중국 검열 시스템 만리방화벽 개요
•
`25.9.11. 중국 內 인터넷 검열 시스템 만리방화벽 핵심기술과 관련 데이터 500GB 유출
◦
중국 만리방화벽(GFW, Great Firewall of China) 개발자 Fang Binxing(方滨兴)이 속한 Geedge Networks와 국가 기관 MESA Lab이 협력해 감시 및 검열 체계 구축 정황 발견
◦
소스코드 및 운영 및 배포 관련문서, 작업로그, 내부 커뮤니케이션, 제품 매뉴얼 등이 공개됨에 따라 DPI, SSL/TLS, 네트워크 토폴로지 현황 등 검열 및 감시 기법 확인
•
만리방화벽 핵심기술 보유 업체인 Geedge Networks의 TSG 방화벽 주요 기능
주요 기능 | 세부 사항 |
정치적 이해관계와 소수 민족 모니터링 | 자국 내 감시 외에도 파키스탄, 미얀마, 카자흐스탄, 에티오피아 제품 판매 정황 확인 및 신장위구르 자치구 등 소수민족 감시 |
검열 및 콘텐츠 필터링을 위한
제품 주요 기능 | △ 검열 우회 앱, VPN 등 탐지 · 차단, △ VoIP 음성 파일 확보 · 감청, △ 특정 플랫폼 접속 및 콘텐츠 제어, △ 확장자 및 FQDN 기반 애플리케이션 차단, △ 모니터링 기반 통제 시스템 연동, △ 사용자 정보 수집 및 중간자 공격 시스템 DLL Active Defence 적용 |
02. 만리방화벽 정보유출로 인한 시사점
•
중국 검열 기술의 민관 협력체계와 국제 수출실태 확인
◦
카자흐스탄, 미얀마, 파키스탄, 에티오피아의 국제 수출을 통한 디지털 권위주의의 확산
◦
파키스탄은 2017년부터 캐나다의 샌드바인(Sandvine)을 국가 방화벽으로 사용하고 있었으나 2023년 사업 중단 이후 Geedge로 교체하면서 모든 네트워크 감시체계 강화
◦
권위주의 정권의 보안 및 검열 기술로 인권 침해와 감시로 인해 윤리적 이중성 문제발생
•
감시 체계의 기술적 아키텍처 실체 확인
◦
주요 통신사와 협력하여 감시 장비를 분산 배치함에 따라 감시 사각지대 최소화
◦
음성, 사용자 위치 정보 등 생체 정보 수집을 통한 감시 대상의 범위 확장
◦
중앙 관제 시스템을 통한 실시간 정책 배포 및 통제 수행으로 실시간 통제 체계화
03. 중국 정부와 민간 기업 협력 관계
3.1. MESA Lab 조직 구조
•
각 조직은 당 위원회의 승인 체계에 따라 연구 방향이 결정되며 정치적 목표가 반영됨으로써 국가 통제 및 간섭이 존재
주요 기관 | 설명 |
중화인민공화국 국무원
(State Council of the People's Republic of China, 中华人民共和国国务院) | 중국 최고 행정기관 |
중국과학원
(Chinese Academy of Science, 中國科學院) | 중화인민공화국 국무원 직속 과학기술 연구기관 |
정보공정연구소
(Institute of Information Engineering,
中国科学院信息工程研究所) | 중국과학원 직속 보안 전문 연구기관 |
MESA Lab
(Massive Effective Stream Analysis Lab) | 중국과학원 정보공정연구소 산하 연구팀 |
3.2. MESA Lab 주요 특징
•
MESA Lab(Massive and Effective Stream Analysis)은 국가 콘텐츠 보안을 담당하던 중국과학원 산하 NELIST(National Engineering Laboratory for information security technologies, 信息内容安全技术国家工程实验室)를 계승한 연구실
◦
2012년 1월 중국과학원 정보공정연구소 산하 연구팀으로 사이버 보안 기술 연구를 수행하는 연구 조직 창립 후 2012년 6월 공식적으로 Processing Architecture Team으로 명명
MESA Lab 연혁
•
Fang Binxing은 중국 방화벽의 아버지라 불리는 Fang Binxing(方滨兴)은 CEC(China Electronics Corporation)과 Geedge Netowkrs의 수석 과학자, Geedge Networkd의 연구소 센터장으로 역임
•
Fang Binxing(方滨兴)은 중국 검열 수단인 만리방화벽 핵심 설계자로, Geedge Networks 소개서에 따르면 국가 네트워크 보안 모니터링 플랫폼 관련 시스템 구축을 주도
Geedge Networks 내부 회사 소개서에 작성된 Fang Binxing(方滨兴) 정보
•
MESA Lab이 수행한 심층 패킷 검사(Deep Packet Inspection, DPI) 관련 연구는 Geedge Networks社의 TSG 방화벽 핵심기술 영역과 직접적으로 연관되어 있어 MESA Lab의 연구 결과가 TSG 방화벽 개발 과정에 기술적 영향을 미쳤을 것으로 판단
•
국가 단위의 정보보안 과학 연구를 주도한 인력(Liu Qingyun(刘庆云), Shi Jinqiao(时金桥))이 Geedge Networks로 합류함에 따라 MESA Lab 내부에서 진행한 만리방화벽 관련 기술이 TSG와 같은 상용 제품과 연관성이 존재함을 확인
Geedge Networks 내부 회사 소개서에 작성된 연구 핵심 인물 정보
(좌:Liu Qingyun (刘庆云) 실험실장, 우: Shi Jinqiao(时金桥) 연구원장)
3.3. Geedge Networks
•
2018년경 설립된 중국 사이버 보안·네트워크 전문 기업으로 트래픽, 애플리케이션 통제가 가능한 DPI 기반 솔루션을 주력으로 개발 및 판매
◦
Silk Road of Surveillance 에 따르면 2004년 이전에는 중국 외에 Geedge Networks가 알려지지 않았으나 미얀마 정부가 NGO인 ‘미얀마 정의를 위한 정의(Justice for Myanmar)’를 감시하기 위해 Geedge Networks기술을 사용한 정황이 확인되면서 국제적인 주목을 받음
•
Fang Binxing(方滨兴)과 같은 만리방화벽 설계 주요 인사가 재직 중으로 국가 차원의 트래픽 검열 · 통제를 가능하게 하는 방화벽 기술 보유
•
Geedge Networks의 조직도에서 CEO 직속으로 국립연구소과(国家实验室分部)가 존재하는데 MESA Lab과의 기술적 교류를 미루어 연관 가능성 존재
Geedge Networks 조직도
[ Geedge Networks 회사 요약 ]
구분 | 설명 |
회사명 | • Geedge Networks (积至信息技术有限公司) |
대표(CEO) | • Wang Yuandi(王媛娣) |
수석 과학자 | • Fang Binxing(方滨兴) |
주요 조직 | • CEO 직속 : 국립연구소과, Geedge 연구소
• 제품연구개발부 : DPI, SDN, 비즈니스 센터팀, 맞춤형 개발팀 등
• 공학부 : 국내외 1팀, 국내외 2팀, 국내외 3팀 등 |
주요 제품 | • TSG (Tiangou Secure Gateway) : 국가 단위 DPI 게이트웨이
• Cyber Narrator : 관제/분석 대시보드
• Nezha : 관리·오케스트레이션 플랫폼 |
특징 | • 국가 차원의 트래픽 검열·통제 솔루션 전문 |
해외 사업 | • 카자흐스탄, 파키스탄, 에티오피아, 미얀마, A24(확인 불가 국가) 5개국 장비 및 소프트웨어 공급 정황 |
3.4. 만리방화벽과 Geedge Networks 제품 연관성 분석
•
만리방화벽은 중국 內 검열/통제를 강화하기 위한 내부 방화벽이며 TSG는 정치 관련 키워드 등 국가별 정책 구성을 통해 외국 정부 측에 납품이 가능한 해외 감시·차단 수출용 방화벽으로 검열과 통제를 위한 감시·차단 시스템이란 공통점 존재
•
TSG 방화벽에서 지원하는 트래픽, 애플리케이션 통제 기능이 만리방화벽의 통제 기능과 상당 부분 유사함에 따라 상호 기술적 연관성을 배제할 수 없음
만리방화벽과 TSG 비교 내역
04. Geedge Networks의 TSG 상세 분석결과
4.1. TSG 주요 특징
•
Geedge Networks社의 주요 제품군 중 하나로 패킷 필터링, 애플리케이션 계층 탐지· 차단, DPI 등 복합적 기능을 갖춘 차세대 방화벽
TSG 및 연관 서비스 구성도
•
유출 문건으로 분석한 TSG 방화벽의 주요 기능은 VPN 사용 여부 판단과 애플리케이션 사용 통제 기능으로 중국은 내부 규정에 따라 VPN 사용을 금하고 있어 해당 목적에 따라 개발된 만리방화벽의 기술 구조를 참조한 것으로 판단
◦
[중화인민공화국의 국제 컴퓨터 정보 네트워크 관리에 관한 잠정 규정]
제6조 국제망에 직접 접속하는 컴퓨터정보망은 국가공공통신망이 제공하는 국제입출구 채널을 이용해야 한다. 어떠한 단위나 개인도 스스로 국제적 네트워킹을 위한 다른 채널을 구축하거나 이용할 수 없다. (중화인민공화국 국무원, 1996. 2. 1 공포)
•
VPN별 패킷 캡처 파일(PCAP)을 분석함으로써 TLS fingerprint, 트래픽 패턴, SNI 등을 학습시켜 정밀도를 높이고 FQDN 목록을 다수 확보하여 앱 단위별 제어가 가능하도록 TSG의 탐지 기술을 고도화함으로써 검열 체계를 우회하기 위한 시도 및 비인가 서비스 사용을 통제하기 위한 목적으로 판단
4.2. TSG 주요 기능
1) VPN 및 우회 도구 차단 기능
•
VPN 및 우회 도구 차단 기능은 국가통신망을 우회하는 행위를 방지하고 중국 검열 체계 내 사각지대 발생을 보완하기 위한 핵심 기능
•
TSG는 VPN과 우회 도구를 탐지하고 차단할 수 있으며 AppSketch 데이터베이스와 자동화 도구를 활용해 정부가 원하는 방식으로 허용 목록과 차단 목록을 관리 가능
※ AppSketch : 모든 서비스 트래픽 지문(fingerprint)을 기반으로 프로파일을 생성해 보관하는 중앙 데이터베이스
VPN 차단 룰(Rule) 생성 가능 화면
•
지정된 VPN 서비스별로 클라이언트 IP와 전체 트래픽의 99%를 차지하는 서버 IP의 통신패턴과 TLS 핸드셰이크에서 노출되는 SNI 정보를 사전 학습한 후 이를 기반으로 트래픽을 실시간 분석 · 매칭하여 VPN 우회 시도를 탐지 및 차단 수행
항목 | 요약 |
목표 | VPN 앱(Psiphon3, FreeGate 등) 사용자 차단, 지정 사이트만 허용 |
방식 | VPN 패턴 (Client · Server IP) 학습, SNI 기준 화이트리스트 방식 |
탐지순서 | TSG Galaxy에서 IP·SNI 학습 > Bifang(정책 연동 API 서버)에서 호출 > 정책 연동 |
효과 | VPN 접속은 차단되며 CDN 등 필수 서비스 접근만 가능하게 유도 가능 |
•
VPN 탐지 및 차단을 위해 VPN별 제품에 대한 특징(PCAP) 등을 조사하고 기술 개발을 진행한 문서 내용으로 SNI 누락 시 정상 웹사이트 차단 가능성 존재하여 지속적으로 허용 도메인 관리 진행
VPN 차단 및 우회 차단 연구 및 개발 문서 일부
유출 문건에서 확인된 일부 VPN PCAP 내역
2) VoIP 음성 파일 확보 및 감청 기능
•
2017년 미국 시사 주간 발행지인 TIME을 통해 중국 정부가 중국의 음성 인식 및 인공지능 전문 기업인 아이플라이테크(iFlytech)와 협력하여 음성 생체 인식 데이터베이스를 구축 중인 기사를 확인
•
유출된 문건에 따르면 Geedge Networks 내부에서도 VoIP 녹음 및 음성 재생을 위한 연구 및 개발이 수행된 것을 확인했으며 이는 생체 정보 수집을 통해 중국 정부의 광범위한 감시 역량을 더욱 강화하려는 목적 달성에 기여하기 위함으로 판단
VoIP 음성 수집 개발 및 연구 문서
•
TSG 방화벽은 수집한 VoIP 트래픽을 RTP(Real-time Transport Protocol) 단위로 캡처하고 Wireshark와 H.264 플러그인을 통해 오디오·비디오 스트림을 복원 후 VLC(Video LAN Clients)에서 재생함으로써 VoIP 감청 기능을 수행
VoIP 음성 및 영상 재생 방법 문서 일부
VoIP 확보 음성 재생 시연 화면
3) 비인가 서비스 통제 기능
•
2024년 AP 통신을 통해 중국 반정부시위에 가담 중인 인사들에 트위터 팔로워 목록을 점검하고 규제하는 뉴스가 확인됨에 따라 중국 정부의 소셜 미디어 활동 감시가 실제로 이뤄지고 있음을 해당 유출 문건을 통해 확인 가능
•
유출 문건에서 중국 내부에서 사용금지 서비스인 Youtube, Facebook 등의 통제 목적을 위한 서비스 차단, 댓글 삭제, 페이지 변조 등 연구 및 개발 수행 확인
특정 서비스 차단 연구 및 개발 문서 일부
•
TSG 방화벽은 보안 및 프록시 정책을 통해 비인가 서비스(Youtube, Facebook, Twitter 등)를 통제함으로써 대규모 검열, 조작이 가능
유출 문건을 통해 확인한 Youtube 댓글 조작 예시
TSG 내에서 Twitter 차단을 위한 정책 적용 화면 예시
4) 애플리케이션 차단 기능
•
애플리케이션 차단 기능은 국가 차원의 VPN 차단 목적에도 부합하는 중요 기능으로써 TSG 방화벽은 확장자 기반과 FQDN 기반 탐지 기법을 통해 차단 기능을 수행
•
(확장자 기반 차단 기능) : 트래픽으로 전달된 파일 확장자를 탐지하기 위해 HTTP 헤더에 포함된 각 파일 확장자별 Content-Type을 확인
※ 모바일 앱 확장자(APK) 차단시 HTTP 헤더에 해당 확장자의 Content-Type인 “application/vnd.android.package-archive”를 확인함으로써 차단에 성공한 테스트 내역을 확인
※ VPN과 같은 특정 파일을 차단하기 위해 파일명과 Content-Type을 함께 검사함으로써 특수문자나 외국 문자열에 대한 파일도 탐지하도록 설계
•
(FQDN 기반 탐지 기능) : FQDN 목록을 확보하기 위해 중국 內 1500개 모바일 앱을 목록화한 파일이 확인됐으며 트래픽을 필터링 및 식별하기 위해 개별 앱의 FQDN, 시그니처, 차단 조건 등을 명시
앱 관련 FQDN 기반 트래픽 필터링/식별/차단 규칙 일부 내용
모바일 앱 목록 일부 내역
•
앱이 통신하는 FQDN, 기준으로 특정 앱을 식별하며 VPN 앱, 비인가 앱과 같은 비인가 앱 식별 · 차단 가능
FQDN 기반 모바일 앱 탐지 설명
4.3. TSG 연계 모니터링 기반 통제 시스템
•
TSG 모니터링 시스템인 Cyber Narrator와 Nezha는 단순 모니터링 시스템을 넘어 트래픽 통제와 검열 정책 수행에까지 직접 개입하는 통합 통제 수단으로 사용
•
Cyber Narrator
◦
네트워크 모니터링 및 인텔리전스 분석 인터페이스이며 TSG에서 필터링 및 수집된 정보를 기반으로 데이터 시각화 제공
Cyber Narrator 대시보드(Dashboard) 화면
◦
유출 문건에 따르면 Cyber Narrator를 통해 사용자의 이동 경로, 체류 시간 등을 수집 및 시각화하는 기능을 개발한 문서와 사용자 위치를 시각화하는 문서 확인
Location Intelligence 기능 API 명세서
사용자 위치 시각화 화면
◦
개별 가입자 네트워크 트래픽을 추적할 수 있으며 사용자 활동을 특정 셀 식별자(Cell ID)에 연결함으로써 모바일 가입자 지리적 위치를 실시간 식별 가능한 기능을 제공
◦
실명 기반 SIM 사용자에 대해 실시간 역추적이 가능함으로 인해 국가 보안 기관 · 감시 기관에 연계된 경우 민간 감시 도구로 악용 가능성 존재
•
Nezha
◦
각지에 설치된 Nezha Agent를 통해 수집된 트래픽 제어 결과 및 TSG 정책 적용 현황을 중앙에서 통합 모니터링 할 수 있도록 설계된 시스템
NEZHA 대시보드(Dashboard) 화면
◦
Nezha 기반 인프라 아키텍처 구성도 확인 결과 Nezha가 단순 Agent 데이터 수집이 아닌 지휘 통제 시스템 역할을 수행하며 TSG와 연동하여 정책 배포, 실시간 트래픽 모니터링 등이 가능
Nezha 기반 인프라 아키텍처 구성도
인프라 아키텍처 흐름
4.4. TSG를 통한 검열 및 통제 기능 현황
•
국가 감시 · 통제 검열용
◦
수출 국가를 대상으로 코드명을 부여해 프로젝트를 관리한 문서가 확인되며 TSG는 해당 국가 내에서 트래픽 감시 · 검열 · 정책 조작 도구로 활용된 것으로 확인
◦
국가별 관리 코드명을 각 국가의 영문 표기명 또는 관련 영문 식별자를 기반으로 적용함으로써 식별을 효율적으로 하기 위한 의도로 추정
NO | 국가명 | 프로젝트내 국가 관리 코드 |
1 | 카자흐스탄 | K18, K24 |
2 | 에티오피아 | E21 |
3 | 미얀마 | M22 |
4 | 파키스탄 | P19 |
5 | 확인 불가 | A24 |
◦
M22 프로젝트에서 VPN 우회 탐지를 위한 패킷 기반 분석, 해외 ISP 연결 확인을 통해 트래픽 검사 프로세스를 수립한 내용을 확인
※ 미얀마 군부정권과 Geedge Networks가 감시 체계용 방화벽 구축에 협력하고 있다는 보고서(‘The Silk Road of Surveillance’ (감시의 실크로드, 출처: justiceformyanmar.org))가 존재함에 따라 해당 프로젝트가 감시 기술의 상품화와 연관됐음을 시사
M22 프로젝트 트래픽 검사 프로세스
◦
파키스탄 납품을 위해 TSG의 네트워크 트래픽 감시, 필터링 테스트 시연 자료 문서가 존재함에 따라 감시 · 통제 필요 국가에 제품 적용 가능성을 시사
※ 전 세계 민간 기업들이 파키스탄에 감시 및 검열 기술을 제공한다는 보고서(‘Pakistan: Shadows of Control: Censorship and mass surveillance in Pakistan (파키스탄: 통제의 그림자: 파키스탄의 검열과 대규모 감시, 출처: amnesty.org))가 존재함에 따라 Geedge Networks도 파키스탄 감시 및 검열 기술을 제공과 연관됨을 확인
유출 문건에서 확인된 파키스탄 시연 내역
•
신장위구르 감시체계 강화
◦
2022년 8월 31일 유엔 인권고등판무관실(OHCHR)에서 발행한 “중화인민공화국 신장 위구르 자치구의 인권 문제에 대한 OHCHR 평가” 보고서에 따르면 신장위구르 자치구에 대한 지속적 탄압을 규탄하고 있으나 중국 정부는 이를 허위 정보로 부정
◦
신장위구르 자치구 통신사 3곳(China Mobile, Unicom, Telecom)의 네트워크 트래픽 통계량 감시 · 분석용 내부 데이터 보고서가 존재 및 J24 프로젝트 관리 코드가 확인됨에 따라 중국 정부의 신장위구르 감시 체계 구축 상황을 확인
◦
J24 프로젝트를 통해 중국 주요 통신사 4곳(China Mobile, China Unicom, China Broadnet, China Telecom)과 협력하여 신장위구르 지역의 여러 도시에 TSG, CM(Control Module), OLAP, Cyber Narrator 등의 네트워크 장비 및 분석 시스템을 클러스터 기반으로 분산 배치
◦
기존 중앙집중형 구조에서 분산형 감시 모델로의 전환이 이루어졌으며 이를 통해 신장 위구르의 감시 사각지대를 최소화하고 효율적인 감시 체계를 구축하기 위한 목적으로 판단
신장 위구르 분산 관리체계
•
DLL Active Defence
◦
표면상으로는 DDoS 공격 방어를 핵심 목적으로 설계된 사용자 단말을 통제 및 제어할 수 있는 DLL Active Defence 문서가 존재
◦
기능 동작 시 대상 트래픽을 식별한 뒤, Flood, Reflection, JS 삽입, 파일 교체 등 다양한 Defence 유형을 선택해 적용할 수 있으며 전체 구성도와 흐름을 분석해볼 때 이 시스템은 중간자 공격(MITM) 방식으로 악용될 수 있는 구조로 확인
◦
TSG와 DLL Active Defence의 기능 연계는 단순 방어 체계를 넘어 사용자 단말을 제어하고 국가 단위의 봇넷으로 운영함으로써 조직적인 공격도 가능함을 시사
DLL Active Defence 흐름도
IGLOO Corp. 2026. All rights reserved.