프라이버시 및 정보보안 석학 수잔 란다우 박사와의 인터뷰
데이터와 메타데이터의 경계선 모호해져... 법의 업데이트 필요

[보안뉴스 문가용] 정보보안은 기술과 법의 합작품이다. 프라이버시 역시 마찬가지이다. 둘의 균형 및 상호보완이 이상적인 보안의 환경을 만드는데, 현재는 그렇지 못하다. 기술이 너무나 앞서가 있기 때문이고, 그 변화를 받아들이고 수용하기에 법조계는 태생적인 구조 자체가 느리기 때문이다. 냉전시대 이전부터 도청과 감시 등에 대한 보안과 프라이버시 문제가 끊임없는 논란거리인 미국의 경우, 이 문제가 특히나 불거지고 있다. 이 부분의 전문가인 수잔 란다우(Susan Landau) 박사가 KAIST 사이버보안연구센터와 정보보호대학원이 주최한 ‘사이버 기술 변화에 따른 글로벌 전략 및 정책 포럼’에 참석했다고 해 만나보았다.


보안뉴스 : 보안의 정책과 기술이 아직 완벽한 하모니를 이루지 못하고 있다는 건 어제 오늘 일이 아니다. 정확히 무엇이 문제인가?

수잔 란다우 : 한 마디로 말하자면 법이 아직 취약점 업데이트를 못하고 있는 상황이다. 이걸 간단히라도 설명하려면 역사를 조금 거슬러 올라가야 한다. 1879년 엑스 파테 잭슨(Ex Parte Jackson)이라는 사건이 있었다. 이 사건으로 법원은 정부가 소포나 우편의 내용물을 뜯어볼 수 없다는 걸 명시했다. 다만 뭔가 이상하게 툭 튀어나오거나 무거운 건 제외했다. 이것이 ‘콘텐츠’에 대한 공식적인 보호의 시작이다.

보안뉴스 : 콘텐츠에 대한 보호란 무엇인가?

수잔 란다우 : 콘텐츠가 데이터 보호의 알맹이자 키워드이다. 현재 미국 정부는 오바마 대통령으로부터 ‘콘텐츠는 안 되지만 메타데이터는 수집할 수 있다’고 한다. 여기서 콘텐츠란 내용물, 혹은 메타데이터에 상응하는 데이터 그 자체를 의미한다고 보면 된다. 구분하기 좋게 콘텐츠라고 하겠다. 거꾸로 말해 메타데이터는 데이터에 대한 데이터, 즉 콘텐츠에 대한 데이터라고 볼 수 있다. 예를 들면 메일 내용은 콘텐츠, 그 메일의 수발신자나 시간 등은 메타콘텐츠라고 볼 수 있다. 논란거리가 있긴 하지만.

보안뉴스 : 우편과 소포의 시대가 지나서 전화의 시대가 왔다. 미국에서는 그 유명한 통신감청법(US Communications Surveillance Law)이 등장했다. 대표적인 사건들은 무엇이 있었는가?

수잔 란다우 : 1967년의 캐츠 대 미국(Katz vs. United States) 사건이 있었다. 도박이 불법이었던 때로 찰스 캐츠(Charles Katz)라는 도박꾼을 쫓기 위해 FBI가 공중전화 박스 위편에 특수 도청기기를 부착한 것에 대한 재판이었다. 앞서 말한 엑프 파테 잭슨 사건의 소포 및 우편 내용물을 뜯어본 것과 같다고 법원은 판단했고, 캐츠가 승소했다. 개인의 프라이버시가 우선시된다는 중요한 판례다.

1979년의 스미스 대 메릴랜드(Smith vs. Maryland) 사건도 있다. 한 여성의 집에 도둑이 들었는데, 그 후로 범인에게서 계속해서 협박전화가 왔다. 경찰이 이 범인을 잡기 위해 전화국에 전화 이용 상황 기록 장치(pen register)의 설치를 요청해 전화 내용을 도청한 것이 아니라 피해자 집으로 걸려오는 전화번호들을 수집했다. 이때 경찰이 전화국에 영장 없이 기기 설치를 요청했는데, 법원은 “당사자(범인)가 번호가 노출될 것을 알고 전화국 서비스를 이용한 것이므로 프라이버시가 어느 정도 노출될 것을 인지한 상태”였으므로 프라이버시 침해가 아니라는 판결을 내렸다. 위 세 사건이 여태까지 미국의 통신감청법의 랜드마크와 같다.

보안뉴스 : 그렇다면 그것이 왜 이제 와서 문제가 되는가?

수잔 란다우 : 집에서 유선전화로 친구들을 불러내는 시대가 아니기 때문이다. 우린 지금 IP 기반의 연결시대에 살고 있다. 이런 때 앞서 ‘중요했던’ 사건들은 더 이상 별 의미를 갖지 못하게 된다. 특히 마지막 스미스 대 메릴랜드 판결에서 결국 메타데이터의 수집은 허용한 판결이 나온 건데, 당시의 데이터/메타데이터 구분과 현재의 데이터/메타데이터 구분은 현격히 달라졌다. 당시 기준으로는 ‘메타데이터’로서 수집이 가능했던 정보가 이제는 데이터 혹은 콘텐츠로 구분이 가능하다는 말이다. 즉, 지금 법은 기술의 발달로 인해 ‘수집이 되면 안 되는 데이터’까지 수집을 허용하고 있다.

예를 들어 맵 애플리케이션을 통해 유통되는 위치정보는 교통정보 등과 결합되었을 때 얼마든지 ‘콘텐츠’가 될 수 있다. 패킷의 길이에 대한 정보도 메타데이터 취급을 받는데, 특정 상황에서 패킷 길이만으로도 콘텐츠가 된다. URL 정보는 어떤가? 여기에도 콘텐츠가 담겨 있다. 아까 이메일 관련해서 논란이 있다고 말했는데, 이메일 헤더만 하더라도 위치정보를 담는 경우가 있다. 메타데이터와 데이터의 경계선 위에 놓여있다고 볼 수 있다. 이메일 헤더 등은 법적으로 수집이 가능한데, 이 역시 더 이상 허용해서는 안 되는 부분이다.

2005년 미국 사법부가 전기 감시 매뉴얼을 발간했는데, 다이얼링(dialing), 라우팅(routing), 어드레싱(addressing), 시그널링(signaling) - 이른바 DRAS - 에 대한 정보는 전화 이용 상황 기록 장치 및 추적 장치로 수집이 가능하다고 나와 있다. 여기에는 IP 주소, 포트 번호, 이메일 헤더의 To와 From의 정보까지도 포함한다. 이는 옳지 않다. 이미 메일 주소에는 메타데이터 이상의 정보가 담겨 있기 때문이다. 예를 들어 콜롬비아 대학의 이메일 주소는 columbia.edu로 끝나는데, 이것 자체가 이미 ‘콘텐츠’ 아닌가. 이는 아직 법이 ‘전화기’ 시대에서 벗어나지 못하고 있다는 걸 잘 보여주고 있다. 우린 IP 시대를 살고 있다.

보안뉴스 : DRAS에 대해 설명해달라.

수잔 란다우 : 다이얼링은 말 그대로 다이얼에 관한 정보다. 라우팅은 전화 신호를 어떤 전화기가 받았는지에 대한 정보고, 어드레싱은 전화 신호의 도착점에 대한 정보다. 시그널링은 ‘통화’라는 걸 성립시키기 위해 스위치들끼리 하는 통신이라고 볼 수 있다. 시그널링은 전화 이용 상황 기록 장치로 정보를 수집할 때 매우 중요하다. 이런 개념들은 전화기 환경에서 썩 괜찮은 편이다.

하지만 IP 환경에 대입해보자. 다이얼링? IP 환경에서 전화기의 다이얼링과 대비되는 기능은 찾을 수 없다. 라우팅으로 엔드포인트를 일부 발견하는 건 가능하다. IP 환경에서의 어드레싱은 IP 주소를 말하는 것일까? 아니면 포트 번호일까? 의견이 이미 여기서부터 갈린다. 인터넷에서의 시그널링이란 종단간 TCP 연결이라고 볼 수 있다.


보안뉴스 : 그렇다면 법과 법을 연구하고 실행하는 이들이 변해야 하는가?

수잔 란다우 : 전화기 시대의 법을 인터넷 기술에 적용하니 혼란이 적잖다. 그렇다고 기술을 되돌릴 수는 없다. 결국 법이 쫓아와야 한다. 특히 콘텐츠와 메타데이터의 새로운 구분법은 시급하고 절실하다. 일단 사법부는 수집이 허용되는 정보 중에 ‘이메일 헤더’ 부분을 삭제해야 할 필요가 있다.

법조계 종사자들은 DRAS가 더 이상 적용되지 않는다는 걸 이해하고, 재판 시 혹은 영장 발부 시 전문가의 의견을 더 많이 경청해야 한다. 더 많은 질문을 하고 더 많은 조사를 해야 한다. 일단 DRAS가 더 이상 통용되지 않는 개념임을 아는 것에서부터 출발해야 한다. 이를 촉진하려면 법조인들과 정보보안인들의 만남이 필요하다. 미국에서는 법과 기술의 만남을 주선해주는 컨퍼런스가 활발히 열리고 있고, 나도 그런데 활발히 참여한다. 한국에서도 그런 기회들이 더 많아져야 할 것이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)