아동을 보호하겠다는 취지는 좋지만, 그걸 위해 아이폰 사용자의 개인 장비와 클라우드까지 스캔하겠다는 건 위험할 수 있다는 목소리가 거세게 나오고 있다. 그래서 애플은 기술적 내용을 상세히 공개했다.

[보안뉴스 문가용 기자] 애플이 이른바 CSAM이라고 하는 부적절한 이미지들을 탐지해 주는 기술에 대한 상세 정보를 추가로 발표했다. CSAM은 ‘아동 성적 학대물(Child Sexual Abuse Material)’의 준말로 애플은 자사 장비 사용자들이 아이클라우드 포토(iCoud Photos)에 저장한 이미지를 스캔해 CSAM을 찾아내겠다는 계획을 발표해 커다란 논란을 일으킨 바 있다.


애플의 논리는 간단했다. 아동들을 보호하겠다는 것. 하지만 전자프런티어재단 등 프라이버시 옹호 단체들이 일제히 들고 일어섰다. CSAM을 탐지하겠다는 건 좋지만, 그것을 하기 위해 ‘종단간 암호화’라는 기술의 존재 이유를 무효화시킨다는 것이 그 이유다. 즉 애플이 좋은 구실을 만들어 아이클라우드에 백도어를 심겠다는 의지로 이를 해석하고 있는 것이다.

전자프런티어재단은 “애플이 아무리 기술적으로 설명을 잘 해도 지금 발동시키려는 기술이 백도어라는 사실은 변하지 않는다”고 주장하고 있다. “범위가 조금 좁다고 해서, 정보 수집 시 조심하고 또 조심한다고 해서 백도어를 백도어라고 부르지 않는다는 건 어불성설이죠. 조금 특수할 뿐 애플은 지금 백도어를 심으려하고 있습니다.”

애플이 이번 주 공개한 바에 따르면 애플이 CSAM을 찾아내기 위해 사용하는 도구는 가족공유(Family Sharing)을 통해 설정된 아동 계정들에 한해서만 작동하고, 부모와 보호자들은 ‘옵트인’을 통해 참여할 수 있다. 조건에 맞는 아동과, 애플의 이 아동 보호 프로그램에 참여하기로 한 부모의 장비 내 메시지 앱에 머신러닝 기반 식별자가 구축되고, 이 식별자는 외설적인 이미지가 해당 계정으로 전송되거나 발송될 때 경고 메시지를 띄운다. 13세 이하 아동의 장비에서 이런 일이 일어날 경우, 부모에게도 경고 메시지가 전달된다. 다만 이미지 자체는 공유되지 않는다고 한다.

그렇기 때문에 애플은 “경고 외에 다른 메시지가 외부로 유출되는 일은 없다”고 강조한다. 문제가 있다고 판단되는 이미지들을 따로 빼돌리거나 다른 데이터베이스와 비교하는 것도 아니고, 사용자들 간 이뤄진 다른 소통 내용 역시 애플로 전달되지 않는다는 것도 애플이 강력하게 주장하는 내용이다. 심지어 부적절한 이미지가 탐지된 결과가 특정 인물이나 사법부에 보고되는 것도 아니라고 한다.

장비에서 이러한 검사와 경고 발송이 이뤄지는 것처럼 아이클라우드에서도 비슷한 일이 벌어진다고 애플은 설명한다. 다만 이미지를 하나하나 직접 검사하는 게 아니라 이미지의 특정 패턴을 추출하고, 이를 아이클라우드 포토 서버들이 발행하는 안전 바우처(safety voucher)라는 것과 매칭시킴으로써 검사를 진행한다는 한다. 사진을 직접 보지 않고도 스캔 검사를 실시할 수 있다는 것이다. 따라서 프라이버시 침해가 아니라는 것.

애플은 이 과정에서 수집된 정보를 자사 CSAM 데이터베이스에 추가할 것이라고 한다. 하지만 해당 데이터베이스를 인터넷을 통해 업데이트 하거나 공유하는 일은 절대 없을 것이라고 강조했다. 이것만 막아도 특정 사용자에게 CSAM DB의 일부를 선택적으로 제공할 수 없게 된다고 애플은 설명했다. DB를 최대한 투명하게 운영하겠다는 것이 애플의 입장이다.

또한 애플은 iOS를 업데이트 할 때마다 암호화 된 데이터베이스의 루트 해시를 포함한 지식 베이스(knowledge base)를 같이 발표하겠다고 약속하고 있다. 이를 통해 제3자가 기술 감사를 실시할 수 있게 된다.

하지만 이런 움직임들이 프라이버시 옹호자들의 비판을 얼마나 불식시킬지는 아직 알 수 없다. 전자프런티어재단은 “지금 당장 이 CSAM 스캔 기술이 크게 제한되어 있고, 그렇기에 실제적인 프라이버시 침해가 일어나지 않는다고 해도, 이런 인프라가 마련된다는 것 자체가 문제”라고 주장한다. “앞으로 이런 인프라를 이용한 검열과 감시가 더 활발하게 작동할 수 있을 겁니다.”

4줄 요약
1. CSAM을 스캔하겠다는 애플, 반대 여론 일자 상세 기술 정보 공개.
2. 특정 아동 계정들에만 작동하도록 하고, 아이클라우드 사진 직접 스캔하지 않는다고 함.
3. DB 운영도 투명하게하고 제3자의 감사도 받겠다고 함.
4. 하지만 비판자들은 “감시와 검열 인프라가 생긴다는 것 자체가 문제”라고 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>