테러리스트 잡겠다는데, 정부에 협조하는 게 나쁜 것일까?
백도어 설치가 가진 여러 가지 위험성...더 큰 어려움 불러와

[보안뉴스 문가용 기자] 암호화 기술이 언급될 때마다 거의 반드시 나타나는 현상이 있는데, 정부가 암호화된 데이터에 접근했다고 하면 무조건 눈에 불을 켜고 달려드는 부류들이 어디선가 나타난다는 것이다.


가장 최근의 예라면 영국 웨스트민스터 사원에서 벌어진 테러 공격을 들 수 있다. 이 사건에 연루된 공격자들이 왓츠앱을 사용했다는 증거가 나왔다. 왓츠앱은 암호화 기능을 제공하는 메시지 프로그램으로, 공격자들이 공범들과 암호화된 연락을 주고받았을 가능성이 높았다. 하지만 정부 차원에서 이 왓츠앱 대화창에 접근할 수가 없었다. 영국 내무장관인 앰버 루드(Amber Rudd)는 “정부의 정보기관이 이런 식으로 암호화된 상황에 개입할 능력을 갖추는 것이 중요하다”고 발표하기도 했다.

시기를 조금 더 거슬러 올라가 보면 미국 캘리포니아 샌버너디노의 테러범 관련 사건도 이런 맥락에서 볼 수 있다. 사망한 테러범의 아이폰을 수사기관이 확보했으나 잠금장치를 뚫는 과정에서 FBI와 애플이 맞부딪힌 경우로, FBI의 제임스 코미(James Comey) 국장은 “암호화 기술과 관련된 논란 때문에 우리는 더욱더 어두운 미래로 향하게 될 것”이라고 안타까움을 표현하기도 했다. 영국 내무장관이나 FBI 국장이나 원하는 바는 동일하다. 바로 암호화된 통신 체제에 정부기관은 필요한 경우 접근할 수 있어야 한다는 것이다.

그렇다면 수사 목적으로 정부기관에게 암호화된 통신 내용을 공개한다는 게 왜 그리 큰 논란을 불러일으킬까? 그것도 무고한 희생자들만 양산하는 테러리스트들을 잡겠다는 것인데 말이다. 비밀을 지키는 데 기술이 고안되고 사용되었다면, 위험을 드러내는 데에도 기술이 활용될 수는 없는 것일까? 프라이버시라는 게 생명보다 중요한 것일까?

그러나 이 비밀 통신 문제는 위 질문 몇 가지에 대한 답으로 해결될 정도로 간단하지가 않다. 왜냐하면 비밀 통신을 필요시 누군가가 들여다볼 수 있도록 하기 위해서는 ‘뒷문’을 만들어두어야 하기 때문이다. 이 뒷문을 제3자가 발견한다면 무고한 시민이 사이버 공격에 그대로 노출되고 만다.

암호화로 데이터를 보호하려면 암호화키라는 것이 필요한데, 이는 실제 문을 열 때 사용되는 키와 비슷한 역할을 한다. 뒷문을 만들어둔다는 건 사법기관에게 별도의 문을 제공해 필요할 때마다 문을 따고 들어올 수 있도록 한다는 건데, 진짜 가정집의 뒷문을 생각해보면 이게 얼마나 위험한 일인지 알 수 있을 것이다. 결국 전용문이라고 하더라도 문은 문이다. 누구나 통과할 수 있게 된다는 것이다. 이러한 뒷문, 즉 백도어에 대해 보다 자세히 말하자면 다음과 같다.

1) 강력한 암호화 기술은 이미 시중에 공개되어 있다. 인터넷을 통해 쉽게 다운로드 되고 마음만 먹으면 누구나 사용이 가능하다. 즉 정부가 들여다볼 것 같다는 느낌이 들면 범죄자들 입장에서 다른 암호화 기술을 채용하면 끝이다. 모든 암호화 기술에 대한 백도어를 정부기관이 가져갈 것이 아니라면 ‘백도어’라는 개념은 매우 비효율적인 것이 된다.

2) 공격자들은 사실 백도어 탐지와 악용에 능수능란한 사람들이다. 백도어를 만들어두면 ‘필요할 때만 사용할’ 정부기관들보다 이들이 더 뻔질나게 드나들 것이 뻔하다. 어느 보안 전문가에게 물어봐도 답은 마찬가지다. 백도어는 ‘반드시’ 침해된다. 그렇기에 정부기관을 지지하고 법을 준수하고자 했던 사람들이 오히려 더 공격에 심하게 노출되는 결과가 생겨버린다. 이는 ‘예상’이 아니라 ‘실제’다. 몇 가지 사례들은 다음과 같다.

국제전기전자기술협회(IEEE)에 의하면 2004년 10개월 동안 그리스 정부의 고위급 관료 100여명이 해커들에 의해 도청을 당했다. 이 해커들은 보다폰 그리스(Vodafone Greece)의 통신 네트워크에 정부 기관이 합법적으로 심어둔 백도어를 활용했다. 합법적인 백도어를 통해 불법적인 도청 사건이 발생한 것이다.

워싱턴포스트에 의하면 미국 정부가 감시하고 있는 인물이나 단체에 대한 정보가 중국 해커들의 손에 흘러들어갔다고 한다. 역시 정부가 구글을 통해 마련한 백도어를 통해서였다. 해커들은 정부의 데이터베이스에 침투하는 과정도 없이 구글 백도어를 통해서 이렇게 기밀성이 높은 자료들까지 탈취한 것이다.

기술의 문제가 아니다
혹자는 묻곤 한다. 백도어 말고 더 나은 기술이 등장하면 괜찮아지지 않겠느냐고. 하지만 이 문제에만 수많은 세월을 바쳐온 보안 전문가들은 여기에 망설임 없이 ‘아니오’라고 답한다. 가장 대표적인 게 MIT에서 출간된 보고서인 ‘마루 밑 열쇠 꾸러미 : 정부가 모든 데이터와 통신에 접근하도록 만들기 위해 강제된 위험(Keys Under Doormats : Mandating insecurity by requiring government access to all data and communications)’이다.

이 보고서에서 전문가들은 “정부기관의 접근을 허용하기 위해 만들어둔 장치가 주는 폐해는 20년 전의 그것보다 훨씬 더 심각하다”고 주장하고 있다. “누군가를 위해 예외적인 기술이나 정책을 도입하면, 그걸 관리하고 통제하는 데에 더 큰 어려움이 생깁니다. 또한 그러한 장치들을 통해 인권 침해나 불법 행위가 발생하지 않도록 예방하는 것도 굉장히 난이도가 높은 일입니다.”

수십 년 전 암호화라는 기술이 개발되고 나서부터 많은 이들이 기술 발전의 억제를 논해왔다. 그 이유는 정부기관의 접근을 어느 정도는 허용해줄 수 있어야 한다는 주장 때문이었다. 하지만 여태껏 연구되어온 바 이는 결국 사법 기관이 아무도 체포할 수 없는 세상을 만들 확률이 더 높으며, 법을 지킬수록 더 공격받기 쉬워지게 만든다.

암호화 통신을 누군가 들여다보게 하느냐 마느냐도 문제인데, 그 방법이 백도어밖에 없다는 것도 심각한 문제다. 끔찍한 테러리스트가 마치 초가삼간 태우는 빈대로 보이게 할 정도로 말이다.

글 : 랜디 배탓(Randy Battat)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>