ECH(Encrypted Client Hello)는 전송 계층 보안(TLS) 1.3 프로토콜의 확장 기술로, 통신 초기 단계에서 서버 이름 지시(SNI) 정보를 암호화해 사용자가 접속하려는 웹사이트의 도메인을 네트워크 사업자나 보안 장비가 식별하지 못하도록 설계됐다. 이는 사용자 프라이버시를 보호하고 인터넷 통신에 대한 제3자의 감시를 차단하려는 목적에서 출발했다. 특히 ECH는 기기와 콘텐츠 전송 네트워크(CDN) 간의 통신 경로상에서 서버 도메인 정보를 보호해 공공 와이파이나 ISP, 기업 내부망에서 발생할 수 있는 민감한 접속 정보 유출을 방지할 수 있다.

하지만 이러한 암호화 기능은 기업 보안 시스템에 있어 심각한 장애물로 작용할 수 있다. 기존의 보안 장비는 SNI를 기반으로 웹 접속 트래픽을 분석하고 악성 도메인을 식별하거나 정책에 따라 차단하는 방식으로 운영된다. 그러나 ECH가 적용된 경우 SNI가 암호화되어 탐지가 불가능해지고, 기업의 보안 가시성과 위협 대응 능력이 급격히 떨어질 수 있다는 우려가 커지고 있다. 이는 특히 금융, 의료, 정부기관 등 민감한 데이터 보호를 위해 내부와 외부의 트래픽을 정교하게 모니터링해야 하는 규제 산업에서 문제가 된다.

모바일 엔드포인트 위협 탐지 및 대응 솔루션 기업 코라타(Corrata)가 2025년 1월부터 3월까지 엔터프라이즈 고객의 위협 탐지 및 대응 솔루션을 실행하는 장치에 이루어진 수십억 개의 연결을 분석한 ‘ECH와 함께 살아가기(Living With ECH)’ 보고서를 발간했다.

이번 보고서는 정보 보안 전문가들이 광범위하게 사용되는 보안 도구가 인터넷 트래픽의 상당 부분을 파악하지 못하게 할 수 있다고 우려하는 새로운 프라이버시 프로토콜인 ‘암호화된 클라이언트 헬로(ECH)’의 영향을 검토했다.

보고서에 따르면 ECH의 도입이 기업 네트워크 환경에서 정보 보안 정책을 무력화할 수 있다고 지적하며, ‘프라이버시 보호’와 ‘기업 보안’간의 충돌이 본격화되고 있는 것으로 나타났다. TLS 1.3 기반의 보안 강화 기술이 오히려 보안 장비의 기본적인 탐지 기능을 무력화할 수 있는 상황이 초래되고 있는 것이다.

ECH 도입 현황과 악용 사례, 산업별 우려 확대

보고서는 ECH의 구현이 기업이 사이버 위협을 탐지하고 대응하는 능력을 저해할 수 있다고 우려를 제기했다. 연구에 따르면, 상위 100만 개 도메인 중 9% 이상이 ECH를 사용하지만, TLS 연결의 0.01% 미만이 이 프로토콜을 사용했다.

그러나 ECH가 실제로 거의 사용되지 않음에도 불구하고, 악의적인 행위자들은 이 프로토콜이 제공하는 익명성을 악용하고 있으며, 전체 ECH 지원 사이트 중 17%가 위험한 것으로 나타났다. 암호화된 DNS를 활성화한 크롬(Chrome) 사용자가 가장 큰 위험에 처해 있었다.

보고서는 ▲ECH의 프라이버시 저해 위험 ▲클라우드플레어의 ECH 채택 주도 ▲악의적 행위자들의 클라우드플레어 악용 ▲광범위한 채택의 높은 장벽 등에 주목하고 있다.

① ECH는 프라이버시를 개선하는 것이 아니라 저해할 수 있다

은행 및 기타 규제 대상 기관은 종종 조직 내부 및 외부로 오가는 인터넷 트래픽을 모니터링해야 한다. 현재까지 이러한 기업들은 직원의 건강 기록과 같은 민감한 데이터를 보지 않고 트래픽을 선택적으로 해독할 수 있었다.

그러나 ECH가 필터링을 차단하면 기업은 검사를 위해 모든 인터넷 트래픽을 해독할 수밖에 없게 되어 직원의 프라이버시를 크게 저해할 수 있다.

②클라우드플레어가 ECH 채택 주도

클라우드플레어(Cloudflare)는 ECH를 지원하는 유일한 1단계 CDN이다. ECH를 사용하는 거의 모든 사이트가 클라우드플레어 인프라를 사용한다. 주요 웹사이트 소유자들도 사용자가 기업 보안 인프라 또는 공공 기관에 의해 서비스 액세스가 차단될 수 있다는 우려 때문에 이 프로토콜 채택을 경계하는 것으로 보인다.

ECH는 인터넷 서비스 제공업체(ISP) 및 기업 보안 팀의 가시성을 줄이지만, 클라우드플레어와 같은 CDN은 프로토콜에 따라 여전히 데이터에 액세스할 수 있다.

③ 악의적인 행위자들이 클라우드플레어를 악용하고 있다

코라타의 분석에 따르면, 피싱 탐지의 90% 이상이 클라우드플레어 인프라를 사용했다. ECH가 제공하는 익명성 외에도 이러한 사이트들은 다른 클라우드플레어 기능을 악용했다.

예를 들어, ‘캡차’ 페이지는 데스크톱 트래픽을 합법적인 사이트로 유도하는 반면, 모바일 트래픽은 가짜 사이트로 전송하는 데 사용될 수 있다. 또는 대상 국가에서 발생하지 않는 트래픽은 합법적인 사이트로 리디렉션될 수 있다. 이는 보안 공급업체의 탐지를 피하기 위한 의도적인 전술이다.

④ 광범위한 채택의 높은 장벽

ECH의 광범위한 채택은 기업이 악의적인 도메인으로의 연결을 식별하고 차단하는 능력을 심각하게 제한할 것이다. 그러나 서로 다른 역할을 하고 다양한 동기를 가진 업계의 거물급 기업들이 ECH가 널리 사용되기 전에 모두 ECH를 지원해야 한다.

20%의 장치가 암호화된 DNS 및 ECH를 지원하는 DNS 리졸버를 사용하도록 구성되어 있지만, 사파리와 같은 브라우저 및 안드로이드와 같은 운영 체제의 지원 부족으로 이러한 선택은 무의미해진다.

코라타의 CTO 매튜 벤토트(Matthieu Bentot)는 “ECH의 도입률이 극히 낮다는 것은 보안 업계가 우려하는 인터넷 트래픽 관리의 위기가 아직은 현실화되지 않았다는 신호다.”라며 “지금은 공황에 빠지기보다는 잠재적 위협에 대비하고 대응 전략을 마련해야 할 시점이다. 또한 ECH 도입을 둘러싼 이해관계자 간의 협의와 투명성이 향후 ECH의 미래를 결정짓는 주요 변수”라고 강조했다.