Encrypted Client Hello (ECH)

개요

Encrypted Client Hello(ECH)는 TLS(Transport Layer Security) 1.3 이후 버전에서 클라이언트 Hello 메시지를 암호화하여 SNI(Server Name Indication) 노출을 방지하는 최신 보안 기술입니다. 이는 HTTPS 통신 과정에서 사용자의 접속 도메인이 제3자에게 노출되는 것을 막아 프라이버시를 한층 더 강화할 수 있습니다.

---

1. 개념 및 정의

항목	설명	비고
정의	TLS 핸드셰이크 초기 메시지(Client Hello)의 주요 필드를 암호화	기존 SNI는 평문 노출
목적	중간자 및 검열자로부터 사용자의 도메인 요청 보호	HTTPS 완전 암호화 실현
대상 환경	웹 브라우저, CDN, DNS 제공자 등	Firefox, Cloudflare 등이 우선 도입

HTTPS 통신의 블라인드 스팟(SNI 노출)을 해결하기 위한 핵심 기술로 부각

---

2. 특징

항목	ECH	기존 SNI 방식	비교 요약
도메인 보호	암호화된 ClientHello로 도메인 정보 은닉	SNI 필드가 평문으로 노출됨	프라이버시 차이 큼
통신 호환성	지원 서버와의 협상 필요	전방위 호환성	초기 설정 고려 필요
구현 복잡도	TLS 확장 및 키 관리 필요	상대적으로 간단	DNS 연계 중요

브라우저와 서버 모두가 ECH를 지원해야 기능이 활성화됨

---

3. 구성 요소

구성 요소	설명	역할
EncryptedClientHello	ClientHello 메시지에서 민감 필드를 암호화한 확장	SNI 프라이버시 보호 핵심
DNS HTTPS RR (SVCB/HTTPS)	암호화용 공개키 및 설정 정보를 DNS에 저장	ECH 설정 제공자 역할
TLS 1.3 기반 구조	TLS 1.3 이상을 요구	최신 보안 프로토콜 전제

DNS와 TLS의 결합이 핵심, ECH 공개키는 DNS 통해 전달됨

---

4. 기술 요소

기술 요소	적용 기술	설명
DNS over HTTPS (DoH)	DNS 질의 자체를 암호화	ECH와 결합 시 프라이버시 극대화
TLS 1.3	핸드셰이크 구조 기반	ClientHello 확장 허용
SVCB/HTTPS 레코드	DNS 상의 서비스 정의 구조	클라이언트에게 ECH 관련 정보 제공

DNS, TLS, 애플리케이션 레이어의 상호작용이 중요

---

5. 장점 및 이점

항목	설명	기대 효과
도메인 보호	도청자에게 대상 도메인 정보 은닉	사용자 프라이버시 강화
트래픽 검열 회피	민감 웹사이트 접속 시 필터링 우회 가능	자유로운 인터넷 접근 가능
프라이버시 표준화 선도	ECH 채택이 보편화될 경우 보안 표준 향상	미래 지향적 웹 보안 구조 정착

브라우저, DNS 제공자, CDN 간의 협력이 보안 효과를 극대화함

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
프라이버시 중심 브라우저	Firefox, Brave 등에서 우선 지원	서버 측 ECH 지원 필수
Cloudflare CDN	공개키 발급 및 DNS 설정 제공	TLS 구성 안정성 확보 필요
정부 감시 회피	사용자 도메인 노출 최소화	국가별 정책 제한 존재 가능

모든 브라우저 및 서버가 ECH를 기본 지원하지는 않음 — 호환성 검토 필요

---

7. 결론

Encrypted Client Hello(ECH)는 인터넷 사용자의 프라이버시 보호 수준을 한 단계 끌어올릴 수 있는 강력한 기술입니다. TLS와 DNS 시스템 간의 통합을 통해 민감 정보를 효과적으로 은닉하고, 검열 회피 및 정보 자유를 보장하는 구조로 주목받고 있습니다. 향후 ECH는 HTTPS의 필수 구성 요소로 자리매김할 가능성이 높습니다.