SNI 평문 노출 기반 DPI 차단 우회를 위한 Relay 아키텍처 분석

Context

HTTPS 페이로드 암호화에도 불구하고 TLS Handshake 과정의 SNI(Server Name Indication) 필드가 평문으로 전송되는 구조적 한계 존재. 이를 이용한 DPI(Deep Packet Inspection) 장비가 도메인 기반으로 연결을 강제 종료하는 네트워크 제약 상황 발생.

Technical Solution

• SNI와 HTTP Host 헤더의 불일치를 이용해 신뢰 도메인으로 위장하는 Domain Fronting 기법 적용
• 신뢰받는 Cloud 플랫폼의 Serverless Function을 Relay 포인트로 설정하여 트래픽 경로 우회
• Google Apps Script 등을 활용해 DPI가 차단하기 어려운 도메인(script.google.com)으로 SNI를 위장한 후 실제 목적지로 요청 전달
• HTTP/2 Framing 기반 Multiplexing을 통해 Relay 서버 경유로 인한 RTT 증가 및 성능 저하 최소화
• Local Proxy에서 TLS를 종단하고 Local CA 인증서를 통해 트래픽을 복호화하여 Relay 계층으로 전달하는 MITM 구조 설계