정부가 차단한 사이트 목록은 누가 정하는가

브라우저에 주소를 치고 엔터를 눌렀는데, 뜬금없이 경고 화면이 뜬다. “이 사이트는 법률에 의해 차단되었습니다.” warning.or.kr.

그 순간 드는 생각은 두 가지다. “누가 이걸 막은 거지?” 그리고 “무슨 기준으로?“

warning.or.kr — 이 화면은 어디서 오는가

warning.or.kr은 정부가 운영하는 차단 안내 페이지다. 직접 사이트를 차단하는 건 아니고, 차단된 사이트에 접속하려 할 때 통신사(KT, SK, LG U+ 등)가 대신 보여주는 화면이다.

차단 방식은 두 번 진화했다.

1단계 — DNS 차단. 초기에는 통신사의 DNS 서버가 차단 목록에 있는 도메인의 IP를 물어보면, 실제 주소 대신 warning.or.kr의 IP를 돌려줬다. 구글 DNS(8.8.8.8)나 Cloudflare DNS(1.1.1.1)로 바꾸면 바로 뚫렸다.

2단계 — SNI 차단. 2019년 2월, 정부는 HTTPS 통신의 약점을 이용한 차단을 도입했다. HTTPS 연결을 시작할 때, 브라우저가 서버에 보내는 첫 메시지(Client Hello)에 접속할 도메인이 평문으로 노출된다. 이 필드가 SNI(Server Name Indication)다. 통신사는 모든 TLS 핸드셰이크 패킷을 실시간으로 검사해서, SNI 필드에 차단 대상 도메인이 있으면 연결을 끊어버린다.

DNS를 바꿔도 소용없다. 통신사가 패킷 자체를 들여다보기 때문이다.

차단 목록은 누가 만드는가

방송통신심의위원회(방심위)가 만들었다. 정확히는, 2025년 10월 1일부로 방심위는 폐지됐고, 방송미디어통신심의위원회(방미심위)가 그 역할을 이어받았다.

구조를 보면 이렇다.

심의위원 9명이 차단 여부를 결정한다. 이 9명은 대통령이 위촉하되, 국회의장 추천 3명, 국회 상임위 추천 3명, 대통령 직접 추천 3명으로 구성된다. 신고가 들어오거나 직권으로 심의를 개시하고, “정보통신에 관한 심의규정”에 따라 차단·삭제·이용제한 등의 시정 요구를 통신사에 내린다.

통신사는 이 시정 요구를 거부할 수 없다. 정보통신망법 제44조의7에 근거한 법적 구속력이 있다.

핵심은 이거다. 법원이 아니라 행정기관이 결정한다. 영장도 없고, 재판도 없다. 심의위원 9명의 판단으로 사이트가 차단된다.

어떤 기준으로 차단하는가

법적 근거는 “정보통신에 관한 심의규정”이다. 차단 대상이 되는 불법정보 유형은 이렇다.

• 음란물 — 성기·성행위를 노골적으로 표현한 콘텐츠
• 도박 — 불법 온라인 도박 사이트
• 저작권 침해 — 불법 스트리밍·다운로드 사이트
• 국가보안법 위반 — 북한 관련·친북 콘텐츠
• 마약 — 마약류 거래·홍보 사이트
• 사기·금융범죄 — 불법 투자·피싱 사이트

여기까지는 대부분의 국가에서도 차단하는 유형이다. 문제는 심의규정 안에 “선량한 풍속 기타 사회질서를 현저히 해할 우려가 있는 내용”이라는 포괄 조항이 있다는 점이다. 이 기준이 구체적으로 뭔지는 심의위원의 재량에 달려 있다.

차단 목록은 공개되지 않는다

이게 핵심 문제다.

방심위(현 방미심위)는 차단 목록을 비공개로 운영한다. 어떤 사이트가 왜 차단됐는지, 총 몇 개가 차단돼 있는지 — 시민이 확인할 방법이 없다.

공개되는 건 연간 심의 건수뿐이다. 2023년 기준 약 220,403건의 웹사이트 또는 웹페이지가 차단 조치를 받았다(Freedom House, 2024). 2018년부터 2023년까지 매년 12만~22만 건 수준이다.

이의 신청은 가능하다. 차단된 사이트 운영자가 이의를 제기하면 재심의를 받을 수 있다. 하지만 일반 이용자 — 그러니까 차단된 사이트에 접속하려던 사람 — 가 이의를 제기하는 절차는 사실상 존재하지 않는다.

Freedom House는 2024년 보고서에서 한국의 인터넷 자유도를 100점 만점에 66점, “부분적으로 자유(Partly Free)“로 평가했다. 2년 연속 같은 등급이다.

해외는 어떻게 하는가

한국과 다른 나라의 차단 방식을 비교하면 구조적 차이가 보인다.

영국 — 아동 성착취물(CSAM)은 IWF(Internet Watch Foundation)라는 민간기구가 목록을 관리하고, ISP가 자율적으로 차단한다. 그 외 사이트 차단은 법원 명령이 필요하다. 저작권 침해 사이트를 차단하려면 권리자가 법원에 소송을 걸어야 하고, 판사가 차단 명령을 내려야 ISP가 집행한다.

EU — 2024년 발효된 디지털 서비스법(DSA)은 플랫폼의 투명성 보고서를 의무화했다. 차단 사유, 이의 신청 결과, 자동화 도구 사용 여부를 공개해야 한다.

한국 — 행정기관이 단독으로 결정하고, 목록을 비공개로 운영하고, 이의 신청 절차가 사실상 운영자에게만 열려 있다. 법원 명령 없이 행정기관이 사이트를 차단하는 구조는 민주주의 국가 중에서 드문 편이다.

차단 자체가 문제가 아니다. 아청물이나 마약 거래 사이트를 차단하는 건 대부분의 국가가 한다. 문제는 누가, 어떤 절차로, 어떤 기준으로 결정하느냐다.

SNI 차단의 기술적 한계 — ECH가 바꿀 것

SNI 차단이 작동하는 이유는 단 하나다. Client Hello의 SNI 필드가 암호화되지 않기 때문이다.

이걸 바꾸는 기술이 나왔다. ECH(Encrypted Client Hello)다.

ECH는 TLS 핸드셰이크의 첫 메시지 자체를 암호화한다. 통신사가 패킷을 들여다봐도 어떤 도메인에 접속하는지 알 수 없다. 2026년 3월, ECH는 RFC 9849로 정식 표준이 됐다.

🟢 일반 사용자: ECH가 브라우저와 서버 양쪽에서 지원되면 SNI 차단은 기술적으로 무력화된다. Cloudflare는 이미 자사 서비스에서 ECH를 지원하고 있다. 다만 한국 통신사가 ECH 트래픽 자체를 차단할 가능성도 있다 — 아직은 지켜볼 단계다.

🟡 민감한 상황: ECH가 보편화되기 전까지, SNI 차단을 우회하는 현실적인 방법은 VPN이다. VPN을 사용하면 통신사가 보는 건 VPN 서버 주소뿐이고, 실제 접속 도메인은 암호화된 터널 안에 있어서 SNI 검사 자체가 불가능하다.

🔴 OPSEC 필요: VPN 사용 자체가 감시 대상이 되는 환경(국경없는기자회 수준의 취재, 체제비판 활동가, 망명 신청자)이라면, Tor + 브릿지 조합이 필요하다. 이 경우 VPN만으로는 부족하다.

여기까지가 선이다

이 글이 다루는 건 “차단 시스템의 구조와 투명성 문제”지, “모든 차단이 부당하다”는 주장이 아니다.

아동 성착취물 차단은 논쟁의 여지가 없다. 불법 도박 사이트, 마약 거래 플랫폼 — 이런 건 차단하는 게 맞다. 대부분의 민주주의 국가가 같은 판단을 한다.

문제는 그 외의 영역이다. “선량한 풍속”이라는 기준은 시대에 따라, 심의위원에 따라 해석이 달라진다. 차단 목록이 비공개인 상태에서, 과잉 차단이 발생하더라도 시민이 이를 확인할 방법이 없다.

차단 자체가 검열은 아니다. 하지만 투명성 없는 차단은 검열과 구분이 안 된다.

정리

한국의 사이트 차단 구조를 요약하면 이렇다.

행정기관(방미심위)이 차단 대상을 결정한다. 법원 명령 없이, 심의위원 9명의 판단으로 집행된다. 차단 목록은 비공개다. 연간 22만 건 이상의 사이트가 차단되지만, 무엇이 왜 차단됐는지 시민이 확인할 수 없다. SNI 차단 방식은 DNS 변경으로 우회할 수 없지만, VPN이나 향후 ECH 표준 보급으로 기술적 한계에 직면한다.

차단 자체에 대한 찬반보다 더 본질적인 질문이 있다. “누가, 어떤 절차로, 어떤 감시 아래에서 차단 결정을 내리는가.” 그 답이 공개되지 않는 한, 이 시스템에 대한 신뢰는 구조적으로 성립하기 어렵다.

지금 할 수 있는 건 하나다. 차단된 사이트를 만났을 때 “왜?”라고 묻는 것. 그리고 그 답을 확인할 수 있어야 한다는 걸 기억하는 것이다.