| Privacy by Design | 2015.03.02 | |
해외 진출을 꿈꾸고 있는 업체를 위한 막연한 팁 [시큐리티월드 문가용] 한 해가 어찌 되려고 그러는지 시작부터 파란만장하다. 다른 종교의 신과 선지자를 우습게 그렸다는 이유로 12명이 살해당했다. ‘표현의 자유였다’고 외치는 무리 수백만이 집결했고, 무슬림 국가들에서는 아직도 자기들이 존중받지 못하고 있다는 규탄 시위가 이어지고 있다. 세상이 반으로 딱 쪼개진 듯하다. 그 사이를 비집고 들어갈 것이 있으니 바로 보안이다. 이런 때에는 다리를 놓는 것이 토목공학도들만의 일이 아니다. \r\n “알라후 아크바르!(알라는 위대하시다!)” \r\n두 남자의 목소리는 입 주위에 두르고 있는 마스크에도, 난사되고 있는 총 소리에도, 총알이 살아있는 사람의 몸에 박혀 목숨을 앗아가고 있는 난리에도 가려지지 않았다. 애초에 그것은 목소리를 넘어 이들의 신념과 분노의 뿌리였기 때문이었다. 50번 총격에 11명이 건물 안에서 죽었다. 이들 대부분은 무슬림을 희화한 창작자들이었다. 건물 밖에서는 경찰도 한명 목숨을 잃었다. 하필 1월에 일어난 이 총격이 2015년에 울린 제야의 종소리가 되었다. \r\n‘대학살’이라고 이름이 붙은 사건인 만큼 분야와 나라를 막론하고 전 세계의 이목이 집중되었다. 사건이 일어나고 나흘 후인 1월 11일, 40명의 세계 리더들을 포함한 3백 7십만 명의 군중이 집결해 표현의 자유를 뜻하는 “Je suis Charlie(나는 샤를리다)”를 외치기 시작했다. 종교와 신념, 정부의 권력 그 어떤 것으로도 개인이 가진 표현의 자유를 막을 수 없다는 움직임이 거세게 일기 시작했다. 덩달아 표현의 자유와 밀접하게 연관이 있는 프라이버시도 힘을 얻기 시작하는 듯 했다. 그러나 정부들의 움직임은 또 달랐다. 보안과 안전에 더 초점을 맞추기 시작한 것이다. 프랑스와 좁은 바다를 사이에 두고 있는 영국에서는 캐머런 총리가 “(안전을 위해) 커뮤니케이션의 암호화를 용인해줄 수 없다”고 했고 테러에 민감하기로는 둘째가라면 서러울 미국 역시 위협 첩보에 대한 공유를 30일 안에 하게 하는 법안을 발 빠르게 마련했다. 그 법안을 마련한 이는 다름 아닌 오바마 대통령이었다. 미국 각주의 법과 치안을 담당하는 법무관들 중 일부 역시 이에 동조하고 나섰다. 샤를리 엡도 사태는 이렇게 정부의 ‘안전 우선’과 ‘표현의 자유를 비롯한 프라이버시 우선’의 대립구도로 흘러가고 있다. \r\n보안 업계를 표류시키는 두 물결 \r\n샤를리 엡도 사태는 워낙 큰 사건이기 때문에 분야를 막론하고 여러 매체에 등장했지만, 아무래도 ‘테러’니 ‘안전’이라는 키워드가 자주 나오기 때문에 보안 분야와 매우 밀접한 사건이다. 더군다나 미국과 영국의 두 수장들이 보안을 직접 언급하면서 기자회견을 가지니 이는 더 이상 편견과 증오와 같은 사회 문제나 십자군 전쟁으로까지 거슬러 올라가는 역사 문제만이 아니게 되었다. 그러나 이처럼 물리보안과 정보보안의 흐려지는 경계만이 보안 업계를 혼란스럽게 하고 있지는 않다. 더 큰 문제는 위에 언급한 ‘안전 vs. 프라이버시’의 대립구도이다. 여태까지야 정부의 정책에 따라 CCTV 설치가 늘어나는 등 보안산업이 정부 지도자들의 결정에 많은 영향을 받아왔기 때문에 삼백만 명이 모여 내가 샤를리네 아니네 외친다 한들 정부의 발표에만 귀를 기울이면 되었다(철저히 사업의 측면에서). 그러나 지금이 어떤 시대인가. 이번 달 특집에서처럼 일반 소비자 누구나 필요에 따라 CCTV나 감시 장비 등을 손쉽게 구하고 설치할 수 있는 때다. 정부의 결정만큼이나 대중의 정서 역시 사업의 측면에서 고려 대상이 되고 있는 것이다. \r\n어디에 줄을 댈 것인가 \r\n결국 사업 운영의 스탠스를 정해야 한다. 그렇다고 “우리 회사는 정부 사업에 더 관심을 가지고 있으니 안전이 우선이야!”라거나 “우리는 이제 대중 시장을 노려야 하니 프라이버시지!”라는 식의 단순 대입은 현명한 결정 방법이 아니다. 왜냐하면 a) 캐머런 수상의 주장처럼 암호화를 금지시키는 건 근시안적인 조치일 수밖에 없다는 전문가들의 의견이 대다수이며, b) 오바마 대통령의 첩보공유 강화법안도 결국 첩보의 내용이 되는 위험요소를 실제로 고치지 않는다면 오히려 약점을 (홍익인간도 아닌데) 널리 알리는 꼴이 되기 십상이고, c) 유럽연합에서는 프라이버시를 지키려면 암호화가 반드시 필요하다는 보고서를 때맞게 발간해 흥분하고 있는 유럽의 여러 정부들을 진정시키고 있기 때문이다. 그렇다고 국가가 갖는 힘을 무시할 수도 없다. 위에 언급한 보고서를 발간한 유럽연합의 정보보안기구 ENISA가 정부들에게 할 수 있는 건 기껏해야 ‘권고’일 뿐이다. 그래서 그런지 스페인 정부는 어떤 사건을 수사하다가 암호화된 이메일을 발송한 사실만을 가지고 용의자들 중 일부를 걸러 구금시켰다. 국민을 보호하려는 입장에서 각 정부들의 이런 움직임들이 비이성적이거나 이해불능의 영역에 있는 것도 아닌 만큼, 일반 대중과 사용자라고 표현의 자유만 강조하는 것도 아니다. 사태는 안전과 프라이버시의 두 영역으로 분명히 나뉘고 있지만 양쪽의 지지 세력까지 단순화시키기는 어렵다는 것이다. 마치 이 사건이 물리보안의 사건인가 정보보안의 사건인가 딱 잘라 말하기 힘든 것처럼 말이다. 게다가 나라와 사람마다 안전과 프라이버시에 대해 이해하고 있는 내용도 판이해, 어디 한쪽 방향을 택하기로 결정한다고 해도 또 다른 문제가 버티고 있는 것과 같다. 말 그대로 산 넘어 산인 상황. 각 나라마다 법전에 적힌 문구의 내용은 크게 다르지 않은데 그걸 해석하고 시행하는 것에는 상당한 차이가 있기도 하다. 프라이버시에 관해서는 크게 미국과 유럽연합의 기준을 차용하는데, 이 둘 사이에는 미묘한 차이가 존재한다. 이미 답은 나와 있다 \r\n프라이버시와 안전, 시장에서의 두 세력이 분명히 영역을 긋고 활동하고 있는 것도 아니고 게다가 따로 봤을 때조차 둘의 개념이 분명치 않다면 스탠스를 논리정연하게 정하는 건 불가능에 가까운 일이 된다. 이는 9.11이후 최악의 테러 사건이라고 흔히들 규정하고 있는 이번 샤를리 엡도 사태를 바라보고 대처해야 하는 보안업계에게 상당한 골칫거리일 수밖에 없다. 아무리 영국 총리와 미국 대통령이 움직이고는 있다지만 아직은 엄연히 ‘제안’ 상태인 그들의 주장을 다가올 현실로서 받아들여야 하는 것인가, 아니면 결국은 대중의 표에 의해 좌지우지 되는 게 정치와 권력이니 일반인들의 정서를 따라야 하는 것인가를 고민해야 한다. 이런 고민 속에 세계 보안업계는 조금 시일이 지난 개념을 다시 검토하고 있다. 바로 ‘프라이버시를 존중하는 디자인’ 혹은 Privacy by Design이란 것이다. 1995년 여러 사람이 공동 저작 및 발간한 <프라이버시를 향상시키는 기술들>이란 보고서에서 기원하며, 2011년 앤 카부키안(Ann Cavoukian) 박사가 7가지 원칙을 제안함으로써 정리된 개념으로, 쉽게 말해 ‘아예 설계 단계에서부터 프라이버시를 고려하는 문화’를 뜻한다. 이 일곱 가지 제안은 당시 큰 반향을 일으키며 37개 언어로 번역되어 전파됐다. 그 일곱 가지 원칙이란 다음과 같다(단, 카부키안 박사는 정보 보안에 초점을 맞추어 이를 집필했다). \r\n1) 사후 대응이 아닌 사전 대비, 문제점을 고치는 것이 아닌 예방 \r\n프라이버시 침해는 일어나는 순간 사후조치가 별 의미가 없어지니 사전 예방에 힘을 써야 한다는 내용이다. \r\n2) 프라이버시 보호를 기본 설정 값으로 \r\n개인이 특별히 신경 쓰지 않아도 처음부터 프라이버시가 자동으로 보호받도록 하는 문화를 정착해야 한다는 내용이다. \r\n3) 계획에 포함된 프라이버시 \r\n운영정책, 제품 등을 개발할 때 아예 프라이버시라는 개념을 가지고 해야 하지, 완성 후 추가하는 식으로 덧붙이지 말자는 내용이다. \r\n4) 포괄적 기능성 보장 - 상호대체가 아닌 상호보완 \r\n프라이버시와 보안은 대립하는 개념이 아니라는 내용이다. \r\n5) 시작에서 끝까지 보안 - 전체 수명 주기의 보호 \r\n프라이버시 보호는 정보의 수명 전반에 걸쳐 존중되어야 한다는 내용이다. \r\n6) 가시상과 투명성 - 항상 공개 \r\n프라이버시를 어떻게 보호하고 있는지, 그에 대한 약속과 규칙을 얼마나 잘 지키고 있는지조차 당사자들에게 드러낼 수 있는 것부터가 프라이버시 보호라는 내용이다. \r\n7) 개인의 프라이버시 존중 - 사용자 중심의 설계와 운영 \r\n말 그대로 프라이버시를 보호받아야 하는 대상인 사용자가 중심이 되어야 한다는 내용이다. \r\n물리보안에 접목하기 \r\n그렇다면 이를 물리보안 업계에서는 어떻게 받아들여야 할까? 카부키안 박사는 영상감시와 이 ‘프라이버시를 존중하는 디자인’의 결합에 대해서도 자신의 생각을 정리한 바 있다. “감시 카메라를 설치하면 개인정보를 수집하는 게 불가피하다. 하지만 범죄 수사 등의 목적으로서는 중요한 단서를 제공하기도 한다.”는 카부키안 박사는 “그러므로 처음 설치 단계에서부터 카메라가 꼭 필요한 곳인지에 대한 다방면의 검토가 필요하고 법적인 허가가 꼭 전제해야 한다.”고 운을 뗀다. “프라이버시 침해를 최대한 줄인다는 태도로 감시 장비를 도입해야지 어느 한쪽으로 치우쳐서는 곤란하다.”는 것. 그래서 일단 장비 설치가 결정 난 후에는 그 장비 운영에 대한 정책을 문서화시킬 것을 권고한다. “여기엔 장비의 목적과 사용 환경 및 상황에 대한 상세한 정보가 들어가 있어야 한다. 예컨대 창문 안을 들여다볼 수 있도록 설정하지 않는다던지, 카메라 각도가 조정 가능한 경우라면 아무나 조정할 수 없도록 한다든지를 결정한다.” 그리고 가능한 한 관계자들을 교육시키고 서명까지 받으면 좋다고 한다. 카메라를 켜고 끄는 시간을 정해두는 것도 괜찮은 설계라고 말한다. 그러나 뭐니 뭐니 해도 저장된 영상이 유출되는 게 가장 큰 걱정거리인데, 이에 대해서 카부키안 박사는 “접근이 쉽지 않은 곳에 두고 출입권한과 접근권한을 높게 설정해야 한다”며 “저장된 영상의 사용에 대해서도 정책을 결정해 문서화시키는 과정이 필요하다”고 주장한다. 또한 저장 주기 및 삭제 시일도 합리적으로 미리 결정해두는 편이 나중에 잡음이 안 나올 가능성이 크다고 한다. “지우는 방법 역시 태우거나 세절하거나 전자 정보의 경우 자기력을 사용하는 등 여러 가지가 있는데 확실한 방법을 선택하는 편이 좋다. 또한 카메라에 본의 아니게 자신의 모습이 담기게 된 사람은 영상에 접근이 가능하도록 해야 한다.” \r\n기술 이전에 태도가 더 중요 \r\n샤를리 엡도 사건 이후 카부키안 박사의 Privacy by Design이 재조명받고 있는 건 그 개념에 어떤 혁신적인 가치나 아이디어가 번뜩여서가 아니다. 이름에서부터 프라이버시에 치우쳐진 듯한 느낌이지만 낱낱이 들여다보면 보안과 안전에 대한 존중을 전제하고 있다는 게 그 첫 이유이고, 두 번째는 그렇기 때문에 사뭇 상충할 수 있는 두 개념 사이에 기초적인 다리를 놓아주고 있기 때문이다. 둘 중 하나가 아니라 둘 다 이룰 수 있다는 게 이 개념의 본질이고 이에 대한 각광은 어느 한쪽에 치우치고 싶지 않은 대부분 사람들의 성향을 대변하고 있다고 볼 수 있다.
[문가용 기자(globoan@boannews.com)] \r\n[월간 시큐리티월드 통권 217호 (sw@infothe.com)] \r\n<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> |
||
 |
.jpg)