• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전자 프런티어 재단, 국가 정보기관 2곳 고발 2014.07.11

정보 열람 요청한 후 두 달이 넘도록 무소식

정보 공개는 어디까지 투명해야 하는지 시사


[보안뉴스 문가용] 디지털 세상에서 시민의 자유를 보호한다는 취지로 1990년에 설립된 전자 프런티어 재단이 정보자유법 침해로 미국 국가안전보장국과 미국 국가정보국을 동시에 고소한 것으로 알려졌다. 제로데이 보안취약점에 대한 정보 공개 요구에 미진한 응대를 했다는 것.


사건은 지난 4월로 거슬러 올라간다. 지난 4월 11일 블룸버그 뉴스는 대중들 사이에 하트블리드가 큰 이슈가 되기 최소 2년 전부터 NSA가 이 취약점을 비밀리에 부당하게 이용해왔다는 기사를 내보냈다. 그리고 같은 달 28일, 미국 대통령의 특별 보좌관이자 사이버 보안 담당자인 다니엘 마이클(Daniel Michael) 씨는 이 기사에 반박하는 내용을 블로그 포스트에 올린 바 있다. 미국국가안전보장국 측은 하트블리드의 존재에 대해 전혀 알지 못했고 취약점 정보 공유 결정에 대한 에이전시 간 지침, 이른바 ‘취약점 공유 절차’라는 것을 수립했다는 내용이었다.


마이클 특별 보좌관은 “이 절차를 수립함으로써 정보를 공유하면서 발생할 수 있는 장점과 단점을 신중하게 고려할 수 있게 되었다”며 “아직 규칙을 엄격하게 적용하고 있는 단계는 아니지만 대략 다음과 같은 사항에 맞춰 정보를 공개할 것인지 아닌지를 결정한다”고 밝히기도 했다. 그 사항들은 아래와 같다.


- 취약점이 발견된 시스템이 핵심 인터넷 인프라, 치명적인 인프라 시스템, 미국 경제, 국가 보안 시스템 등에 얼마나 광범위하게 사용되고 있는가?

- 취약점을 그대로 놔둔다면 얼마나 위험한가?

- 적대국이나 범죄 단체가 이를 악용할 소지가 큰가?

- 그 취약점이 악용될 때 감지하기가 용이한가?

- 취약점을 누군가 악용할 때 그에 대한 정보를 민감하게 파악해야 할 필요가 있는가?

- 취약점을 공략하는 방법에는 무엇이 있는가?

- 공개하기 전에 이 취약점을 우리가 활용할 여지가 있는가?

- 취약점을 다른 사람들이 파악할 가능성이 높은가?

- 패치 등을 통해 약화시킬 방법이 발견되었는가?


전자 프런티어 재단은 이것으로는 설명이 불충분하다는 입장이었다. 5월 6일 전자 프런티어 재단은 정보자유법에 의거해 이 ‘취약점 공유 절차’의 발기 및 도입 과정과 직간접적으로 상관이 있는 모든 기록과 전자 기록을 공식 요청했다. 또한 어떤 원칙에 의해 취약점 공유 여부를 결정하는지도 공개할 것을 요구했다.


“그런 정보들이 문건의 형태로 보관이 되어 있는지 아닌지 확실하게 파악하기는 어렵습니다. 하지만 위와 같은 미국 정부 관계자의 발언으로 봤을 때 그 절차라는 것의 공식 방안이나 어떤 식으로 적용하고 도입하는지에 대한 구체적인 가이드라인 같은 것이 존재할 가능성이 커 보입니다.” 전자 프런티어 재단의 법률 문제를 담당하고 있는 앤드류 크로커(Andrew Crocker) 씨의 말이다.


그런 문서가 진짜로 존재한다고 해도 비밀 문건으로 분류되어 있어 공개가 불가능할지도 모른다. “그렇다고 해도 제로데이 취약점을 언제 어떻게 어떤 부분을 공개할 것인지에 대한 이전 기록이라도 찾아낼 가능성을 포기할 수는 없습니다.”


전자 프런티어 재단은 자신들의 요청을 신속히 처리해줄 것을 공식 요구했다. 미국국가정보국은 이를 승인했고 미국국가안전보장국은 거절했다. 정보자유법에 의하면 이 두 기관은 전자 프런티어 재단의 요청에 20일 내로 응답을 줘야 할 의무가 있다. 신속한 처리를 공식 요청했으므로 사실상 20일보다 적은 기간이 주어졌다. 하지만 크로커 씨에 의하면 실제로 이 기간이 지켜지는 경우는 거의 없다고 한다. 그리고 이 경우에도 그런 것으로 보인다.


결국 7월 1일 전자 프런티어 재단은 소송을 제기했다. 두 달을 기다린 끝에 이 두 기관에서는 정보자유법을 준수할 의사가 없다는 것으로 판단한 것이다. “저희 재단은 국가의 시민으로서, 또 대중의 한 사람으로서, 정보 수집 기술에 대한 논의를 계속해서 진행해왔습니다. 그리고 저희의 문제 제기 때문에 정보 공유가 많이 투명해진 게 사실입니다. 하지만 이번 사건에서 보듯 아직 정보 공유의 투명성이 완전하게 인식 속에 자리잡은 건 아닌 듯 합니다.”


한편 미국 국가정보국과 국가안전보장국은 7월 1일부터 30일 내로 이 소송에 반응해야 한다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>