암호화를 둘러싼 수사 기관과 기술 분야의 치열한 신경전 벌어지고 있어
한쪽의 손만 들어서는 극단적인 상황 올 가능성 높아...대화 시작해야

[보안뉴스 문가용 기자] 개인의 프라이버시라는 영역이 자꾸만 침해되고 있다. 우리가 전자상거래에, 일반적인 대화에, 표현의 자유를 누리기 위해 사용하는 각종 채널들을 범죄자들도 같이 사용하고 있기 때문이다. 우리가 프라이버시를 지키기 위해 마련한 것들을, 그들은 각종 악성 행위를 감추기 위해 사용한다. 그래서 세계 여러 정부들이 수사를 하는 과정에서 종종 프라이버시 문제에 부딪힌다.


최근 호주 국회에서 새로운 법안이 통과됐다. 호주 지원 및 접근법(Australian Assistance and Access, AAA)이라는 이름의 법안으로, 앞으로 전 세계적인 영향이 있을 것으로 보인다. 정부가 암호화 통신을 들여다볼 수 있도록 해주는 내용을 담고 있기 때문이다. 아니나 다를까, 이 법안이 통과되고 나서 오래된 논란이 다시 시작됐다. 정부의 수사 능력을 보장하는 게 먼저냐, 국민의 프라이버시 보호가 먼저냐라는 그 오래되고 골치 아픈 논란 말이다.

1990년대 IT 업계와 정부는 ‘크립토 전쟁(Crypto Wars)’을 치렀다. 정부 기관들은 강력한 암호화 알고리즘과 기술이 개발되거나 퍼져나가는 걸 억제하려고 했고, 업계는 이런 정부의 움직임에 맞섰다. 다행히 기술 전문가들과 프라이버시 운동가, 해커, 프라이버시 관련 법조인들이 힘을 합해 암호화 기술의 향상이 중단되지는 않았다. 그리고 그 덕분에 온라인 상거래가 폭발적으로 성장했고, 그 덕분에 암호화 된 안전 메신저 앱들과, 프라이버시 보호를 충분히 잘 해주는 장비와 서비스가 등장했다.

그리고 새로운 유형의 사이버 범죄자들이 등장했다. 해킹 실력을 갖추고, 이전 범죄자 선배들의 혁신성도 답습한 부류들이었다. 굉장히 위협적인 적이 되었고, 지금도 그렇다. 금융 사기를 소소하게 치는 자들부터 국립 은행의 금고를 직접 노리거나 정부 기관의 비밀스런 저장소에 드나드는 자들까지 생겨났다. 테러리스트들도 암호화 기술 발전에 힘입어 사이버 공간으로 들어왔다.

그래서 90년대 기술 분야의 승리로 끝나는 것처럼 보였던 ‘암호화 전쟁’이 다시 한 번 발발하게 되었다. 세계의 정부 기관들은 암호화가 너무 이곳저곳에 다 적용되다 보니 기존의 수사 도구로는 막다른 골목에 부딪히기 일쑤였다. 그래서 암호화 기술을 비껴가거나 우회할 수 있는 방법들을 찾기 시작했다. FBI는 총격사건의 범인을 조사하다가 애플과 부딪혔고, 영국 정부는 수사권법을 개정했다. 사실 지금 세계 모든 정부는 암호화를 파훼하려는 방법을 모색 중에 있다.

기술 분야에 몸 담고 있는 한 사람으로서 필자는 암호화를 둘러싼 양측의 입장 모두를 만족시킬 방법이 없다는 걸 너무나 잘 이해하고 있다. 그 동안 여러 가지 제안이 나왔지만, 제대로 된 것이 없다는 것 역시 잘 알고 있다.

먼저 암호화 기술은 매일 같이 벌어지는 사업적 거래 행위들에 반드시 필요하다. 암호화 기술을 없앤다면 전자상거래는 하루 이틀 사이에 완전히 망하고 말 것이다. 그렇다고 암호화 기술을 유지하되 백도어를 심자는 타협안을 선택할 수는 없다. 그건 더 위험하다. 암호화에 백도어를 심는다는 건, 사실상 근본적인 오류를 가진 기술을 유통한다는 뜻이 되는데, 오류를 밑바탕에 깐 기술이 시장의 환대를 받을 수 없다. 긴 시간 헛된 희망만을 준채 서서히 죽여 가는 것이나 다름이 없다. 암호화 기술에 심긴 백도어는 금방 공격자들의 인기 높은 표적이 될 것이다.

그렇다고 필자가 암호화 전쟁에 대한 뚜렷한 해결책을 가지고 있는 것도 아니다. 다만 서로가 삿대질을 하며 ‘파워 게임’을 해서는 잘 해봐야 일시적인 거짓 평화만 온다는 건 잘 알고 있다. 양측이 서로의 필요를 최대한 충족시키면서, 협의 하에 양보할 걸 양보해야만 그 해결책은 오랜 시간 정착할 수 있다. 법적 장치를 마련한다면, 반드시 전문 기술을 가진 사람들을 초대해 다양한 시각과 부작용 가능성 등을 따져봐야 한다. 법을 전문으로 하는 사람이 IT 기술까지도 전문가 뺨치게 잘 알기는 힘드니까 말이다.

어떻게 됐든 결국 쉬운 답이 나오지는 않을 것이다. 따라서 암호화 전쟁은 당분간 지속될 가능성이 높다. 영국의 수사권법이나 호주의 AAA법과 같은 것들이 앞으로도 더 등장할 것이다(둘은 굉장히 비슷하다는 평을 받고 있다). 즉 수사기관들이 암호화 기술 속을 ‘권력이라는 툴을 가지고’ 들여다볼 기회들이 많이 생길 것이라는 뜻이다.

AAA법은 총 세 가지 종류의 요청들을 포함하고 있는데, 이는 1) 기술적 지원 공고(Technical Assistance Notices), 2) 기술적 능력 공고(Technical Capability Notices), 3) 기술적 지원 요청(Technical Assistance Requests이다.

기술적 지원 공고와 기술적 능력 공고에 속하는 요청이 정부로부터 기업에 전달되면, 기업들은 이를 반드시 따라야 한다. 기술적 지원 요청은 자발적인 참여로 이뤄진다. 만약 전자 두 개에 대한 요청을 거절하거나 어떤 이유에서든 답을 제공하지 못할 경우 최대 1천만 달러의 벌금을 내게 된다. 그런데 이 AAA법은 호주 내에서만 작용하는 게 아니다. 5개의 눈(Five Eyes)에 속하는 나라인 영국, 미국, 캐나다, 호주, 뉴질랜드에서 기업 활동을 하되 호주 고객을 가지고 있는 회사는 전부 AAA를 따라야 한다. 아마 이 다섯 개 국가들 역시 자국민을 보호하기 위해 비슷한 법안을 통과시키지 않을까 한다. 그리고 이러한 움직임은 여러 나라에서 앞 다퉈 발생할 것으로 예상된다.

물론 이것이 완전히 새로운 현상은 아니다. 영국에서는 암호화 키 그 자체나, 키를 가로챌 수 있게 해주는 기술을 합법적으로 사용할 수 있는 법이 이미 2000년부터 마련되었다. 독일은 엔드포인트 트로이목마와 관련된 실험을 2000년부터 진행하고 있다. FBI도 여러 기업들에 암호화 백도어 설치를 종용하고 있다. 심지어 90년대 후반 미국은 연방 정부의 백도어가 심긴 암호화 기술을 시장에 내놓으려는 시도를 하기도 했다. 하지만 이중 성공적이라 평가받는 실험은 하나도 없다.

그 결과 범죄자들이 숨을 곳이 사이버 공간에 참 많이도 마련됐다. 이건 ‘팩트’다. 프라이버시가 중요하다고 앵무새처럼 외치기만 해서는 답이 나오지 않게 되었다. 암호화 기술 전문가와 정책 입안자와 수사 기관이 진지하게 이야기를 나눠야 할 때다. 암호화를 없애는 극단으로 가면 우린 검열의 시대를 맞게 될 것이고, 프라이버시만이 최고인 극단으로 가면 우리 사회는 각종 사이버 범죄로 지옥과 같은 혼란을 겪게 될 것이다. 둘 다 방지할 수 있는 답을 찾아내야 한다.

글 : 마크 로저스(Marc Rogers), OKTA

3줄 요약
1. 90년대 벌어졌던 암호화 전쟁, 당시는 프라이버시의 승리로 끝이 났다.
2. 다시 벌어지고 있는 암호화 전쟁, 정부 기관들의 ‘힘’이 늘어나고 있다.
3. 한쪽 편만 들어서는 제대로 된 답 안 나온다. 양쪽의 대화가 필요하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>