2017.04.18

너희에게 '거짓말'을 보낸다

Mike Elgan | Computerworld
해커뿐만이 아니다. 여러 기술 기업과 정부까지도 우리의 개인 정보를 원하고 있다. 어쩌면 우리를 구할 존재는 ‘거짓말’뿐이다.



디지털 프라이버시 침해 문제가 인간의 권리와 자유를 위협하고 있다. 또 큰 걸림돌로 작용하고 있기도 하다. MIT의 스티븐 스미스는 최근 MIT 링컨 연구소(Lincoln Laboratory)의 레이더, 소나, 신호 처리 연구라는 본업에서 잠시 손을 떼고 가족의 웹 트래픽을 자동으로 '혼탁화(Pollution)' 시키는 실험을 진행했다. 그가 개발한 코드는 트래픽을 엿보는 사람들에게 가짜 인터넷 활동을 알려주는 것이었다.

이 소프트웨어는 능숙한 거짓말쟁이다. 더 아틀란틱(The Atlantic) 기사에 따르면, 스미스의 알고리즘은 웹 활동 스푸핑 소프트웨어인 팬텀JS(PhantomJS)를 이용해 보통 사람의 온라인 행동을 흉내 낸 방식과 타임라인으로 검색을 한다.

그렇게 허위 정보의 세상이 만들어졌다! 프라이버시(개인 정보)를 보호하는 새로운 방법이다.

잠깐! 비밀번호!
강력한 비밀번호가 필요하다는 이야기를 자주 들었을 것이다. 그러나 제 아무리 강력한 비밀번호라도 누출되면 무용지물이다.

미국 국토안보부(U.S. Department of Homeland Security)가 이번 주 발표한 내용에 따르면, 국경과 공항에서 스마트폰과 노트북 컴퓨터를 검색하는 사례가 6개월 동안 약 2배 증가했다(8,383회에서 1만 4,993회).

대부분의 노트북은 비밀번호로 보호되어 있다. 이에 따라 국경 경비 공무원은 여행자가 비밀번호를 공유하거나, '자발적으로' 잠금을 풀어야 장치에 액세스 할 수 있다 (LA타임즈의 보도에 따르면, 올해 국경에서의 장치 검색 횟수가 6만으로 증가할 것으로 예상되고 있음).

트럼프 대통령은 '극단적 심사(Extreme Vetting)'을 공약했다. 여기에는 미국 국민과 방문자에게 소셜 네트워크 비밀번호를 요구하는 것도 포함되어 있다. 국토 안보부가 (비밀 팔로우를 포함) 팔로우 하는 사람, 소셜 사이트에 게시한 게시물을 확인하기 위한 조치다.

디지털 기기와 프로필에만 국한되지 않는다. 소셜 네트워크에는 방문한 장소, 알고 있는 사람, 읽은 정보, 재정 상태, 건강 상태를 파악할 수 있는 모든 것이 들어 있을 가능성이 있다.

국경 검문검색에는 수정 헌법 4조 '부당한 검문검색'이 적용되지 않는다. 미 정부는 이를 헌법의 허점으로 간주해 활용하고 있다.

국토 안보부는 위협 정보를 기준으로 검색 횟수를 결정한다고 말한다. 모든 인류가 자유, 평화, 우애를 누리며 사는 '물병좌의 시대'가 열리지 않는 한, 비밀번호 요구와 국경 검문검색 횟수는 계속 증가할 것인 셈이다.

동시에 의회는 최근, 지난해 FCC(Federal Communication Commission)이 도입한 새로운 개인 정보보호 기준을 파기했다. 이제 인터넷 서비스 공급업체(ISP)는 합법적으로 인터넷 검색 기록을 공유해 이윤을 추구할 수 있다. 명분은 더 나은 광고를 전달하는 것이다. 그러나 정보기관, 해커 등이 광고주를 가장해 데이터를 수집하는 위험이 초래될 가능성이 분명하다.

또 다른 불쾌한 선례도 만들어졌다. 법 집행 기관이 구글 검색 데이터를 수사할 수 있게 된 것이다. 최근 미네소타 주 에디나(Edina) 경찰은 사기 사건을 수사하면서 거주자의 이름, 계정 정보, IP주소, 이메일 주소를 구글 서버에서 찾을 수 있는 영장을 발부 받는데 성공했다. 온라인 활동에서 범죄 증거를 찾기 위해 전체주의적인 '정보 낚시(Fishing Expeditions)'를 하는 시대에 한 발 더 가까워진 것이다.

프라이버시 침해를 '먼 미래의 일'이나 '다른 사람에게 일어나는 일'로 생각하기 쉽다. 그러나 최근 사고들에 따르면, 개인 데이터는 노출된 지 한참이 지난 후 도용될 수도 있다. 10억 명에 영향을 준 야후 이메일 침해 사고가 이를 알려준다. 데이터 도난 사고가 발생한 시기가 2년 전이었다.

이런 침해 사고는 누구에게나 발생할 수 있다. 비밀번호를 요구하는 사례가 많지 않고, 의심스러운 외국인 방문자를 대상으로 하는 것처럼 보이지만, 전세계 모든 공항에서 이를 도입할 수 있다는 점을 인식해야 한다. 현재 미국이 소수 여행객을 대상으로 하고 있는 정책을 미래에는 모든 국가가 실시할 수도 있다.

'은닉'이 실패했을 때
지금까지 최고의 개인 정보보호 방법은 '은닉'이었다. 비밀번호, 이중 인증, 암호화, VPN으로 개인 데이터를 숨기는 방법이다. 그러나 이 방법의 효력이 희미해지고 있다.

해커들은 비밀번호를 '크랙'하고, 정부는 노골적으로 비밀번호를 요구한다. 또 정부 각 기관이 애플, 구글, 페이스북 같은 유수 기업들에 메시징 앱 암호화의 '백도어'를 강제적으로 요구하기 일보직전이다. 영국과 유럽에서 시작되어, 전세계로 확산될 조짐이다.

VPN도 사용자를 보호하지 못하는 경우가 있다 (VPN은 사용자 컴퓨터에서 자신의 서버로 전송되는 트래픽을 암호화, 웹 활동이 사용자 컴퓨터가 아닌 서버에서 발생한 것으로 보이도록 만든다.). 기본적으로 VPN이란 인터넷 검색 기록에 대한 액세스 권한을 ISP에서 VPN으로 옮기는 것에 불과하다. ISP보다 VPN을 더 믿을 수 있을까? 확신하기 힘들다.

예를 들어, 사용자 데이터를 판매하는 VPN들이 있다. 성능을 신뢰할 수 없는 VPN도 있다. VPN이 사용하는 암호화 키가 해킹 당해 공개된 사례가 있다. VPN을 가장한 해킹 조직도 존재한다.

즉 정부와 기업, 해커가 작정하고 원할 경우, 사용자가 데이터 은닉에 최선의 노력을 경주해도 이들의 접근을 막기란 어렵다.

새로운 방책으로 부상한 '허위 정보'
따지고 보면 새로울 것도 없다. 누군가는 항상 비밀을 유지하려 애를 쓰고, 다른 누군가는 항상 이를 훔치려 노력한다. 여기서 감안할 만한 기법은 '은닉'에 더해 '허위 정보'를 이용하는 것이다.

2차 세계 대전에서 연합군이 승리할 수 있었던 이유 중 하나가 '은닉'과 '허위 정보'를 적절히 섞어 활용했기 때문이다. 반면 나치는 '은닉'에만 의존했다. 히틀러는 비밀 코드를 생성하는 에니그마(Enigma) 크랙은 불가능하다고 믿었다. 그러나 연합군은 이를 크랙했다.

나치 또한 미국과 영국 해군의 비밀 코드를 깼다. 그러나 연합군은 '허위 정보'의 '마스터'였다. 이와 관련, 1944년 초 노르망디 상륙 작전 직전에 계획한 작전이 유명하다. 오퍼레이션 포티튜드(Operation Fortitude)라는 작전이었다. 노르망디가 아닌 다른 여러 지역을 침략할 계획이라는 허위 정보를 역이용한 작전이었다.

이른바 '유령 군대(Ghost Army)'로 불리는 가짜 항공기, 가짜 이착륙장, 공기 탱크를 이용(또 일부러 허위 정보를 누설해), 독일군이 실제 공격 지점이 아닌 다른 해안 방어선으로 자원을 분산시키도록 만들었다.

개인 데이터를 은닉하는 노력이 실패하고 있다. 이제 '허위 정보' 기법을 수용해야 할 때라는 의미이다.

'속이기' 기법
가짜 페이스북과 트위터 계정을 만드는 것이 좋은 출발점이 될 수 있다. 지금 만들어야, 필요한 때 적절한 히스토리를 가질 수 있다. 보안 전문가들이 이런 기만술에 대한 베스트 프랙티스를 개발하지 못한 상태다. 그러나 가짜 계정에 진짜 사진을 이용하고, 진짜 계정에는 얼굴 사진 외의 사진을 이용하는 것이 좋은 방법으로 간주되고 있다. 그러면 국경 경비 공무원이 소셜 네트워크 비밀번호를 요구할 때 가짜 계정의 비밀번호를 줄 수 있기 때문이다.

업무나 다른 비밀 유지 목적에서 여행 중에 평소 사용하던 스마트폰은 집에 두고, 추가 구입한 스마트폰을 가져 다닐 수도 있다. 최소한 수화물 검사 때 이 두 번째 스마트폰을 이용할 수 있다.

마지막으로 MIT 스티븐 스미스가 개발한 것과 같은 '오염' 솔루션을 이용하는 방법이 있다.

직접 개발할 필요는 없다. 트래픽 스푸핑 브라우저 플러그인, 이와 유사한 메시징 앱 기술과 관련된 시장이 출현할 전망이다. 가짜 활동을 만들어, 사용자가 실제 하고 있는 일을 파악하기 어렵게 만드는 솔루션들이다. 이미 이런 제품들이 출현하고 있다.

노이지(Noiszy)라는 브라우저 플러그인이 여기에 해당된다. 브라우저로 웹사이트를 방문할 때 가짜 디지털 '발자국'을 남기는 플러그인이다. 팝업 방식으로 무작위 웹 활동을 생성하는 루인마이히스토리(RuinMyHistory)도 있다.



이러한 흐름은 이제 시작에 불과하다. 향후 더 많은 제품이 출시될 전망이다. 은닉으로 개인 정보를 제대로 보호하지 못하고 있다. 따라서 여기에 가짜 정보를 추가시켜야 한다. 거짓말은 바람직하지 않다. 그러나 프라이버시의 경우, 정직은 더 이상 최고의 방책(policy)이 아니다.

* Mike Elgan은 테크놀로지와 테크 문화에 대해 저술하는 전문 기고가다. ciokr@idg.co.kr
 
2017.04.18

너희에게 '거짓말'을 보낸다

Mike Elgan | Computerworld
해커뿐만이 아니다. 여러 기술 기업과 정부까지도 우리의 개인 정보를 원하고 있다. 어쩌면 우리를 구할 존재는 ‘거짓말’뿐이다.



디지털 프라이버시 침해 문제가 인간의 권리와 자유를 위협하고 있다. 또 큰 걸림돌로 작용하고 있기도 하다. MIT의 스티븐 스미스는 최근 MIT 링컨 연구소(Lincoln Laboratory)의 레이더, 소나, 신호 처리 연구라는 본업에서 잠시 손을 떼고 가족의 웹 트래픽을 자동으로 '혼탁화(Pollution)' 시키는 실험을 진행했다. 그가 개발한 코드는 트래픽을 엿보는 사람들에게 가짜 인터넷 활동을 알려주는 것이었다.

이 소프트웨어는 능숙한 거짓말쟁이다. 더 아틀란틱(The Atlantic) 기사에 따르면, 스미스의 알고리즘은 웹 활동 스푸핑 소프트웨어인 팬텀JS(PhantomJS)를 이용해 보통 사람의 온라인 행동을 흉내 낸 방식과 타임라인으로 검색을 한다.

그렇게 허위 정보의 세상이 만들어졌다! 프라이버시(개인 정보)를 보호하는 새로운 방법이다.

잠깐! 비밀번호!
강력한 비밀번호가 필요하다는 이야기를 자주 들었을 것이다. 그러나 제 아무리 강력한 비밀번호라도 누출되면 무용지물이다.

미국 국토안보부(U.S. Department of Homeland Security)가 이번 주 발표한 내용에 따르면, 국경과 공항에서 스마트폰과 노트북 컴퓨터를 검색하는 사례가 6개월 동안 약 2배 증가했다(8,383회에서 1만 4,993회).

대부분의 노트북은 비밀번호로 보호되어 있다. 이에 따라 국경 경비 공무원은 여행자가 비밀번호를 공유하거나, '자발적으로' 잠금을 풀어야 장치에 액세스 할 수 있다 (LA타임즈의 보도에 따르면, 올해 국경에서의 장치 검색 횟수가 6만으로 증가할 것으로 예상되고 있음).

트럼프 대통령은 '극단적 심사(Extreme Vetting)'을 공약했다. 여기에는 미국 국민과 방문자에게 소셜 네트워크 비밀번호를 요구하는 것도 포함되어 있다. 국토 안보부가 (비밀 팔로우를 포함) 팔로우 하는 사람, 소셜 사이트에 게시한 게시물을 확인하기 위한 조치다.

디지털 기기와 프로필에만 국한되지 않는다. 소셜 네트워크에는 방문한 장소, 알고 있는 사람, 읽은 정보, 재정 상태, 건강 상태를 파악할 수 있는 모든 것이 들어 있을 가능성이 있다.

국경 검문검색에는 수정 헌법 4조 '부당한 검문검색'이 적용되지 않는다. 미 정부는 이를 헌법의 허점으로 간주해 활용하고 있다.

국토 안보부는 위협 정보를 기준으로 검색 횟수를 결정한다고 말한다. 모든 인류가 자유, 평화, 우애를 누리며 사는 '물병좌의 시대'가 열리지 않는 한, 비밀번호 요구와 국경 검문검색 횟수는 계속 증가할 것인 셈이다.

동시에 의회는 최근, 지난해 FCC(Federal Communication Commission)이 도입한 새로운 개인 정보보호 기준을 파기했다. 이제 인터넷 서비스 공급업체(ISP)는 합법적으로 인터넷 검색 기록을 공유해 이윤을 추구할 수 있다. 명분은 더 나은 광고를 전달하는 것이다. 그러나 정보기관, 해커 등이 광고주를 가장해 데이터를 수집하는 위험이 초래될 가능성이 분명하다.

또 다른 불쾌한 선례도 만들어졌다. 법 집행 기관이 구글 검색 데이터를 수사할 수 있게 된 것이다. 최근 미네소타 주 에디나(Edina) 경찰은 사기 사건을 수사하면서 거주자의 이름, 계정 정보, IP주소, 이메일 주소를 구글 서버에서 찾을 수 있는 영장을 발부 받는데 성공했다. 온라인 활동에서 범죄 증거를 찾기 위해 전체주의적인 '정보 낚시(Fishing Expeditions)'를 하는 시대에 한 발 더 가까워진 것이다.

프라이버시 침해를 '먼 미래의 일'이나 '다른 사람에게 일어나는 일'로 생각하기 쉽다. 그러나 최근 사고들에 따르면, 개인 데이터는 노출된 지 한참이 지난 후 도용될 수도 있다. 10억 명에 영향을 준 야후 이메일 침해 사고가 이를 알려준다. 데이터 도난 사고가 발생한 시기가 2년 전이었다.

이런 침해 사고는 누구에게나 발생할 수 있다. 비밀번호를 요구하는 사례가 많지 않고, 의심스러운 외국인 방문자를 대상으로 하는 것처럼 보이지만, 전세계 모든 공항에서 이를 도입할 수 있다는 점을 인식해야 한다. 현재 미국이 소수 여행객을 대상으로 하고 있는 정책을 미래에는 모든 국가가 실시할 수도 있다.

'은닉'이 실패했을 때
지금까지 최고의 개인 정보보호 방법은 '은닉'이었다. 비밀번호, 이중 인증, 암호화, VPN으로 개인 데이터를 숨기는 방법이다. 그러나 이 방법의 효력이 희미해지고 있다.

해커들은 비밀번호를 '크랙'하고, 정부는 노골적으로 비밀번호를 요구한다. 또 정부 각 기관이 애플, 구글, 페이스북 같은 유수 기업들에 메시징 앱 암호화의 '백도어'를 강제적으로 요구하기 일보직전이다. 영국과 유럽에서 시작되어, 전세계로 확산될 조짐이다.

VPN도 사용자를 보호하지 못하는 경우가 있다 (VPN은 사용자 컴퓨터에서 자신의 서버로 전송되는 트래픽을 암호화, 웹 활동이 사용자 컴퓨터가 아닌 서버에서 발생한 것으로 보이도록 만든다.). 기본적으로 VPN이란 인터넷 검색 기록에 대한 액세스 권한을 ISP에서 VPN으로 옮기는 것에 불과하다. ISP보다 VPN을 더 믿을 수 있을까? 확신하기 힘들다.

예를 들어, 사용자 데이터를 판매하는 VPN들이 있다. 성능을 신뢰할 수 없는 VPN도 있다. VPN이 사용하는 암호화 키가 해킹 당해 공개된 사례가 있다. VPN을 가장한 해킹 조직도 존재한다.

즉 정부와 기업, 해커가 작정하고 원할 경우, 사용자가 데이터 은닉에 최선의 노력을 경주해도 이들의 접근을 막기란 어렵다.

새로운 방책으로 부상한 '허위 정보'
따지고 보면 새로울 것도 없다. 누군가는 항상 비밀을 유지하려 애를 쓰고, 다른 누군가는 항상 이를 훔치려 노력한다. 여기서 감안할 만한 기법은 '은닉'에 더해 '허위 정보'를 이용하는 것이다.

2차 세계 대전에서 연합군이 승리할 수 있었던 이유 중 하나가 '은닉'과 '허위 정보'를 적절히 섞어 활용했기 때문이다. 반면 나치는 '은닉'에만 의존했다. 히틀러는 비밀 코드를 생성하는 에니그마(Enigma) 크랙은 불가능하다고 믿었다. 그러나 연합군은 이를 크랙했다.

나치 또한 미국과 영국 해군의 비밀 코드를 깼다. 그러나 연합군은 '허위 정보'의 '마스터'였다. 이와 관련, 1944년 초 노르망디 상륙 작전 직전에 계획한 작전이 유명하다. 오퍼레이션 포티튜드(Operation Fortitude)라는 작전이었다. 노르망디가 아닌 다른 여러 지역을 침략할 계획이라는 허위 정보를 역이용한 작전이었다.

이른바 '유령 군대(Ghost Army)'로 불리는 가짜 항공기, 가짜 이착륙장, 공기 탱크를 이용(또 일부러 허위 정보를 누설해), 독일군이 실제 공격 지점이 아닌 다른 해안 방어선으로 자원을 분산시키도록 만들었다.

개인 데이터를 은닉하는 노력이 실패하고 있다. 이제 '허위 정보' 기법을 수용해야 할 때라는 의미이다.

'속이기' 기법
가짜 페이스북과 트위터 계정을 만드는 것이 좋은 출발점이 될 수 있다. 지금 만들어야, 필요한 때 적절한 히스토리를 가질 수 있다. 보안 전문가들이 이런 기만술에 대한 베스트 프랙티스를 개발하지 못한 상태다. 그러나 가짜 계정에 진짜 사진을 이용하고, 진짜 계정에는 얼굴 사진 외의 사진을 이용하는 것이 좋은 방법으로 간주되고 있다. 그러면 국경 경비 공무원이 소셜 네트워크 비밀번호를 요구할 때 가짜 계정의 비밀번호를 줄 수 있기 때문이다.

업무나 다른 비밀 유지 목적에서 여행 중에 평소 사용하던 스마트폰은 집에 두고, 추가 구입한 스마트폰을 가져 다닐 수도 있다. 최소한 수화물 검사 때 이 두 번째 스마트폰을 이용할 수 있다.

마지막으로 MIT 스티븐 스미스가 개발한 것과 같은 '오염' 솔루션을 이용하는 방법이 있다.

직접 개발할 필요는 없다. 트래픽 스푸핑 브라우저 플러그인, 이와 유사한 메시징 앱 기술과 관련된 시장이 출현할 전망이다. 가짜 활동을 만들어, 사용자가 실제 하고 있는 일을 파악하기 어렵게 만드는 솔루션들이다. 이미 이런 제품들이 출현하고 있다.

노이지(Noiszy)라는 브라우저 플러그인이 여기에 해당된다. 브라우저로 웹사이트를 방문할 때 가짜 디지털 '발자국'을 남기는 플러그인이다. 팝업 방식으로 무작위 웹 활동을 생성하는 루인마이히스토리(RuinMyHistory)도 있다.



이러한 흐름은 이제 시작에 불과하다. 향후 더 많은 제품이 출시될 전망이다. 은닉으로 개인 정보를 제대로 보호하지 못하고 있다. 따라서 여기에 가짜 정보를 추가시켜야 한다. 거짓말은 바람직하지 않다. 그러나 프라이버시의 경우, 정직은 더 이상 최고의 방책(policy)이 아니다.

* Mike Elgan은 테크놀로지와 테크 문화에 대해 저술하는 전문 기고가다. ciokr@idg.co.kr
 
X