칼럼 | 스마트폰 압수수색, 어디까지 허용해야 할까

경찰이 시민의 전화기를 압수해 수색할 수 있을까? 이에 대한 답변이 점점 복잡해지고 있다. 이는 기업에 특히 중요한 문제다. 회사 내 모든 직원의 전화기에는 거의 확실하게 회사 기밀이 포함돼 있거나 기밀에 액세스할 방법이 저장돼 있기 때문이다. 전화기 속에는 비밀번호, 연락처 목록, 이메일, 통화 관련 메타 데이터, 사진, 스프레드시트와 기타 회사 문서, 위치 기록, 사진 등이 들어 있다.



미국은 산업 스파이와 최악의 보안 사고 등이 발생했을 때 회사 서버를 해킹할 수 있는 정보를 포함해 기업의 자산 데이터가 노출되는 것을 여러 법률과 규범을 통해 보호한다. 문제는 회사 전화기에서도 같은 데이터에 액세스 할 수 있다는 점이다. 그렇다면 경찰에 이 정보를 수색해 확보하는 권한을 주는 것이 옳을까?

최근까지 전문가 대부분이 '아니오'라고 대답했을 것이다. 비즈니스 및 IT 전문가는 스마트폰이 "불합리한 수색 및 압류"에 대한 제4차 수정헌법 개정안의 엄격한 규정에 의해 보호되고 있다고 생각하는 경향이 있기 때문이다. 실제로 최근 대법원이 보호 여부를 재확인하기도 했다. 또한, 스마트폰은 수정헌법 제5조에 의해 보호되고 있다고 믿는 사람이 많다. 비밀번호를 누설하는 것이 스스로를 '증인'이 되도록 '강요하는 것'과 비슷하게 간주된다고 생각하는 것이다. 그러나 불행히도 이는 잘못된 믿음이다.

비밀번호 문제
지난해 애플은 경찰 수색으로부터 스마트폰 데이터를 보호하는 새로운 기능을 조용히 아이폰에 추가했다. 아이폰의 전원 버튼을 빠르게 5번 누르면 터치 ID(Touch ID)와 페이스 ID(Face ID)의 로그인 상태가 해제된다. 이른바 ‘경찰 버튼(cop button)’이다. 경찰은 이용자의 휴대전화를 해제하기 위해 생체 인식을 사용하도록 강요할 수 있지만 비밀번호는 사용할 수 없기 때문이다. 따라서 이런 시스템을 이용하면 자신의 정보를 강제로 넘겨야 하는 상황을 피할 수 있다고 알려져 있었다.

그러나 불행히도 이 믿음이 깨졌다. 플로리다에 사는 윌리엄 존 몬타네즈라는 남성이 자신의 휴대전화 2대에 대한 비밀번호를 잊었다고 주장한 뒤 6개월 동안 수감됐다는 사실이 최근 드러난 것이다. 그는 가벼운 교통 위반으로 인계됐다. 경찰은 경찰견을 동원해 그의 차를 수색해 마리화나와 총을 발견했다(몬타네즈는 총이 어머니의 것이라고 주장했다). 체포하는 동안 그의 휴대전화에 "헐, 찾았구나”라고 쓰인 문자 메시지가 수신되자 경찰은 전화기에 대한 수색 영장을 발부받았다. 그러자 몬타네즈가 비밀번호를 모르겠다며 잠금 해제에 협조하지 않았고 판사는 민사상 법정모독죄로 6개월 징역형을 선고했다.

이번 사건은 휴대폰 데이터 보안에 대해 우리가 알고있던 전례와 배치된다. 헌법상 보호되는 정보라고 믿어온 것을, 이제는 누설하는 데 대해 내켜 하지 않거나 공개하지 않는 것만으로도 '불법'으로 간주해 감옥에 갇힌 것이다. 스마트폰 내 위치 데이터의 취약성에 대해서도 최근 '새로운 전례'가 드러났다. 위치 및 기타 데이터를 비공개로 하려면 사용자가 구글 안드로이드 운영체제의 위치 기록 기능 같은 기능을 끄기만 하면 된다고 생각했지만 그렇지 않았다. 구글은 사용자가 위치 기록을 사용 중지한 후에도 위치 데이터를 저장하고 있는 것으로 드러났다.

더 문제는 그동안 구글이 설명했던 것과 다르다는 것이다. 구글 사이트를 보면 "위치 기록 기능을 해제하는 것은 사용자가 이동하는 장소가 더 이상 저장되지 않는다”라는 의미라고 돼 있다. 그러나 사실상 사용자가 액세스 할 수 있는 위치 기록 영역이 아닌 위치에 저장됐다. 이후 구글은 "일부 위치 데이터가 검색 및 지도와 같은 다른 서비스 관련 활동의 일부로 저장될 수 있다"고 사이트 내용을 수정했다.

저장된 데이터의 가치
FBI는 최근 강도 사건에 대한 조사의 일환으로 메인 주 포틀랜드에 있는 100에이커(약 4,047제곱미터) 지역에서 위치 서비스를 사용하는 모든 사람에 관한 데이터를 구글에 요청했다. 이 정보에는 이름, 주소, 전화 번호, "세션" 시간과 기간, 로그인 IP 주소, 이메일 주소, 로그 파일 및 결제 정보가 포함됐다. 이 요청에는 구글이 FBI의 요구를 사용자에게 알려선 안된다는 내용도 포함됐다. 구글은 이 요청을 거부했다. 그러나 이는 일시적인 것이 될 가능성이 높다. 경찰은 스마트폰 수색을 위한 방법과 기술을 스스로 발전시키고 있기 때문이다.

경찰의 데이터 수집 기기
예를 들면 그레이시프트(GrayShift)라는 회사의 제품인 그레이키(GrayKey)는 모든 아이폰 또는 아이패드를 잠금 해제할 수 있다. 그레이시프트는 이 기기에 연간 1만 5,000달러와 최대 300건의 전화기 잠금 해제 라이선스를 부여한다. 이는 턴키 시스템이다. 그레이키 1대에는 2개의 라이트닝 케이블이 있다. 경찰이 전화기를 연결하기만 하면 전화의 비밀번호가 전화기 화면에 나타나 전체 액세스 권한이 부여된다.

이것이 바로 최근 애플이 아이폰용 새로운 'USB 제한 모드(USB Restricted Mode)'를 도입한 이유다. 이 모드를 사용하면 경찰(또는 범죄자)이 라이트닝 포트를 통해 전화기를 잠금 해제하기 더 어려워진다. 이 모드는 기본적으로 활성화되어 있다. 다시 말해 USB 액세서리 설정의 "스위치"가 꺼져 있다. 스위치가 꺼지면 라이트닝이 잠긴 후 1시간 동안 아무 것도 연결되지 않는다. 그러나 불행하게도 아이폰 이용자들의 "USB 제한 모드"는 광범위하게 사용 가능한 39달러짜리 동글로 쉽게 해제될 수 있다. 그리고 미국 외에도 여러 나라가 데이터 수집 기기를 보유하고 있다.


전 세계는 스마트폰 데이터 '논란중'
중국 당국은 휴대전화에서 데이터를 수집하는 자체 기술을 개발해 이미 현장 경찰에 배치돼 있다. 경찰이라면 누구든지 중국 어느 곳에서나 휴대전화를 압수할 수 있다. 압수한 휴대전화는 이 기술을 이용해 스캔된다. 중국 당국은 범죄 여부를 파악할 수 있도록 이메일, 소셜 미디어 게시물, 영상, 사진, 통화 내역, 문자 메시지 및 연락처 목록을 자동으로 추출하고 처리하는 데스크톱과 휴대용 스캐너 장치도 갖추고 있다. 몇몇 보고서에 따르면 이스라엘과 중국 기업이 만든 이 장치는 최신 아이폰을 제외한 거의 모든 종류의 전화기에 액세스 할 수 있다고 알려져 있다.

고려해야 할 또 다른 요소는 미국 헌법의 보호가 국경까지만 유효하다는 것이다. 말 그대로 국경 말이다. 앞서 설명했듯이 미국 세관은 수정헌법 제5조에 대해 "애매한 부분”이다. 해외로 나가면 모든 제한이 해제된다. 호주처럼 친근하고 프라이버시가 보장되는 국가에서도 마찬가지다.

호주 정부는 지난 화요일 '2018 지원 및 접근 법안(Assistance and Access Bill 2018)’을 발의했다. 이 법이 국회를 통과하면 경찰이 전화기 잠금 해제를 요구할 수 있다. 거부하면 최대 10년 징역형 선고도 가능하다(현재는 최대 2년이다). 전화와 컴퓨터를 합법적으로 도청하거나 해킹하는 권한도 경찰에 부여된다. 이 법안은 애플, 구글, 마이크로소프트, 페이스북과 같은 기업뿐만 아니라 통신 사업자에게도 기술적으로 가능하다면 고객의 개인 암호화 데이터를 경찰에 제공하도록 강제한다. 이를 준수하지 않으면 최대 730만 달러의 벌금과 함께 징역에 처한다.

호주와 미국의 사례는 법 집행과 관련해 스마트폰 프라이버시를 파괴하는 새로운 정치적 논란의 일부일 뿐이다. 전 세계 곳곳에서 사법당국의 스마트폰 수색 권한과 영역은 계속해서 바뀌고 있다. 그리고 '일반적으로는' 스마트폰과 그 데이터가 충분히 보호받지 못하고 있다. 따라서 모든 IT 부서와 기업, 모든 업계, 특히 해외 출장에 나서는 사람들은 스마트폰 속 데이터가 공식적인 조사 과정에서 모두 추출될 수 있다는 것을 가정하고 대비해야 한다. 더불어 스마트폰에 관한 기업의 정책과 교육, 절차와 권한을 재고하는 것도 고려해야 할 시점이다. ciokr@idg.co.kr