MS가 새롭게 발표한 기능 때문에 프라이버시 진영에서 난리가 났다. MS도 예상했다는 듯이 대응을 했지만 아직 안심하기 힘들다는 게 비판자들의 입장이다.

[보안뉴스=자이 비자얀 IT 칼럼니스트] MS가 최근 인공지능을 위한 PC 라인업인 코파일럿 플러스 PC(Copilot+ PC)를 발표했다. 그리고 여기에 리콜(Recall)이라는 기능을 추가할 예정이라고 했는데, 이 때문에 프라이버시 전문가들 사이에서 여러 불만 사항들이 제기되고 있다. 뭐가 문제인 걸까?


MS에 의하면 ‘리콜’은 “PC에 있는 자원을 사용자들이 쉽게 찾게 해 주는 기술”이라고 한다. 파일이나 폴더를 검색해주는 게 아니라, 사용자가 PC로 한 번 접한 것이라도 기억나게 해 주는 기술이다. 그래서 ‘리콜’을 활성화시키려면 컴퓨터가 주기적으로 화면 캡쳐를 하도록 해야 한다. 그리고 이미지를 분석해 사용자가 어떤 자원과 콘텐츠를 열람하고 어떤 파일로 일을 하고 있었는지를 알아낸다. 그러한 자료들을 전부 저장한다.

모든 것의 저장?
실제로 MS는 “사용자가 PC를 통해 접한 모든 것을 컴퓨터가 대신 기억해주는 것”이라고 설명한다. “사용자는 그냥 지나쳤거나 잊어버린 걸 코파일럿은 기억하고 있습니다. 그래서 필요할 때 언제든 기억을 재생시켜 사용자를 도울 수 있게 됩니다.” 코파일럿 플러스 PC는 이런 자료를 최대 3개월까지 저장할 수 있도록 제작될 예정이라고 한다. 사용자의 선택에 따라 이 기간은 늘릴 수 있다.

여기에 더해 MS는 사용자의 프라이버시를 보호하기 위한 방책도 마련되어 있다고 강조했다. “스크린 캡쳐와 분석 자료는 전부 디스크에만, 암호화 되어 저장됩니다. MS로 전송되는 일은 전혀 없습니다. 오디오는 저장되지 않으며, 연속성 있는 영상 형태의 데이터도 저장되지 않습니다. 사용자가 원한다면 리콜 기능을 끌 수도 있습니다. 활성화시킨다 하더라도 옵션 조정을 통해 특정 앱이나 웹사이트는 스냅샷에서 뺄 수 있습니다. 리콜이 저장한 데이터는 사용자가 아무 때나 삭제하는 것도 가능합니다.”

그럼에도 불안
MS의 이러한 조치들에도 불안감이 쉬이 가시지는 않고 있다. 영국 정보위원회(ICO)만 하더라도 여전히 프라이버시 위협에 대한 불안을 떨칠 수 없다는 입장임을 발표했다. 리콜이 가져가는 스크린샷에 비밀번호나 금융 정보 같은 것들이 차별 없이 포함된다는 걸 MS가 인정했기 때문이다. 스크린샷에 찍혀가는 민감 정보에 대해서 MS가 따로 조치를 취하는 건 없다.

보안 전문가 케빈 뷰몬트(Kevin Beaumont)는 블로그를 통해 “리콜은 새롭게 탄생한 보안 악몽”이라고 주장했다. “이제 해커들은 다른 곳으로 갈 것도 없이 사용자의 리콜 저장소로만 들어가면 됩니다. 리콜의 데이터 저장 경로만 따라 들어가면 온갖 보물을 찾게 될 겁니다. 비밀번호, 은행 계좌 정보, 사회 보장 번호 등 없는 게 없을 그런 곳이요. MS는 결국 공격자들을 훨씬 편안하게 만들어준 것이나 다름이 없습니다. 공격자들을 위한 데이터베이스 생성기에요, 리콜은.”

그 외에 ‘그렇다면 리콜을 통해 저장된 정보를 MS는 어떻게 할 것인가?’에 대한 의구심도 존재한다. MS는 그 정보가 MS로 전송되지 않으며 사용자 PC에만 저장된 채로 유지된다고 했는데, ICO는 그것보다 더 투명하고 상세한 정보가 필요하다고 MS에 의견을 전달한 상태다. “소비자가 자기 정보를 보호 받을 권리가 있다는 건, 정보가 어떻게 처리되는지를 명확하고 자세히 알 권리가 있다는 것과 똑같은 말입니다. 로컬 디스크에만 저장된다는 표현만으로는 설명되지 않는 것들이 있습니다."

마인(Mine)의 CEO인 갤 린겔(Gal Ringel)은 리콜을 두고 “프라이버시의 면전에 던진 모욕”이라고 표현한다. “지나치게 공격적이고 침습적인 특성을 가진 기술이기도 하지만, 민감한 정보가 대량으로 수집된다는 것 자체를 막을 장치가 없다고 MS가 인정하면서도 별다른 계획을 밝히지 않는다는 것 자체가 지금처럼 보안과 프라이버시가 강조되는 시대에 맞나 싶습니다. 보안이나 프라이버시를 존중한다는 시늉도 하지 않는 거죠. MS 정도 되는 기업이 기술력이나 자원이 부족해서 그런 추가 보호 장치를 마련하지 않는 건 아닐 테고요.”

주기적으로 스크린샷을 찍어 저장하면서까지 얻을 게 무엇이냐고 묻는 이도 있다. 보안 업체 슬래시넥스트(SlashNext)의 CTO인 스티븐 코우스키(Stephen Kowski)가 그 중 한다. “데이터를 암호화 해서 저장한다고는 하지만, 그럼에도 조직 입장에서는 업무가 진행되는 컴퓨터에 스크린샷이 자동으로 저장된다는 것 자체가 껄끄러울 겁니다. 그 껄끄러움을 무릅쓰고 얻어갈 수 있는 것이 무엇인지도 아직 명확하지 않고요. 굳이 이런 기능이 필요할까, 라는 생각이 아직은 지배적입니다.”

UEBA와 그리 다르지 않다?
일각에서는 리콜의 기능이 UEBA라는 도구와 그리 다르지 않다는 의견도 나오고 있다. UEBA는 user and entity behavior의 약어로, 사용자와 단체의 행동 패턴을 분석하는 솔루션 종류들을 말한다. 많은 기업과 기관들이 엔드포인트 보안 위협들을 미리 탐지하기 위해 이를 도입해 사용하고 있기도 하다. UEBA 도구들도 민감할 수 있는 데이터를 사용자 장비로부터 수집해 분석한다.

SANS인스티튜트(SANS Institute)의 요하네스 울리히(Johannes Ullrich)는 “UEBA가 이미 자리를 잡고 있는 상황에서 그와 비슷한 리콜이 하나 더 생긴다는 게 문제”라고 지적한다. “이것과 저것이 비슷하니 괜찮다, 라는 결론은 이상합니다. 우리는 안전하냐 마냐를 논하고 있기 때문이죠. 이것과 저것이 비슷하니 안전하다, 라는 결론이 나면 안심하겠지만 사실 그렇지 않죠. UEBA가 리콜과 비슷하다는 것도 사실 확인된 게 아니고요. UEBA는 보안과 프라이버시 보호 기능이 상당히 강력한 솔루션들입니다. 리콜에 대해서는 아직 우리가 잘 모릅니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>