블로그 | 덜컥 '국제 판사' 돼버린 클라우드플레어… 최소한 투명성·일관성 지켰다

클라우드플레어는 올해 두 번이나 사회적·국제정치적 논란을 겪었다. 최근 악성 커뮤니티 키위팜(Kiwi Farms)의 서비스 제공을 중단했으며, 또한 연초에는 러·우 사이버전쟁에 휘말렸다. 회사의 결정에 대한 의견은 다양하지만, 이 과정 전반에 걸쳐 투명성과 일관성을 유지했다는 점은 주목할 만하다. 
 
지난주 미국의 CDN·DNS 서비스 제공업체 클라우드플레어가 미국의 악성 포럼 키위팜(Kiwi Farms)을 차단해 보안 서비스 제공을 중단했다고 발표했다. 

키위팜은 2013년 2월부터 9년 이상 운영된 온라인 포럼으로 타깃을 자살에 몰아넣는 걸 목적으로 철저히 피해자를 괴롭히는 것으로 알려진 악성 ‘트롤링(trolling)’ 커뮤니티다. 

실제로 지난 8월 24일 미국 인터넷 매체 바이스(Vice)는 인터넷 BJ로 활동하는 클라라 소렌티의 신상이 털린 사건을 보도했다. 그는 스와팅을 당했다. 스와팅이란 피해자의 주소를 알아내 다수의 악의자들이 한 주소로 허위 경찰 신고를 하는 신종 사이버폭력이다. 8월 5일 경찰 여럿이 그의 집으로 들이닥쳤다.

이런 비슷한 방식으로 키위팜에서 괴롭힘을 당해 자살한 피해자만 3명에 달한다고 기사는 전했다. 

SNS에 이 사실이 알려지자 키위팜에 서비스 제공을 중단하라는 요구가 빗발쳤다.
 

클라우드 플레어의 남용 방침 

8월 31일, 클라우드플레어 CEO 매튜 프린스와 클라우드플레어의 글로벌 공공정책 책임자 알리사 스타작 부사장은 블로그 게시물을 통해 회사의 남용 방침을 밝혔다. "학대, 표현의 자유, 법"이라는 태그가 붙었을 뿐 키위팜은 직접 언급되지 않았다. 회사는 단지 방침 과정을 그대로 따른다고 설명했다. 

하지만 마지막 단락에서 업체 측은 견해를 드러냈다. “세상에는 악이 즐비하고, 이는 온라인 공간도 마찬가지다. 모든 악을 물리칠 수는 없지만 그래도 권한 내에서 할 수 있는 게 있다. 인터넷의 보안과 기능을 항상 개선하려는 목표를 향해 달려가는 과정에서 장기적인 피해는 막아야 한다”라고 업체 측은 설명했다. 

그러나 이때까지만 해도 키위팜은 여전히 클라우드페어의 서비스를 계속 이용할 수 있었다. 
 

사회적 압력 거세지자 결국 서비스 중단 

SNS상 사람들의 항의는 거세졌다. 주류 언론까지 이 사안을 조명했고 클라우드플레어와 키위팜의 은밀한 관계까지 의심됐다. 
 
4일 뒤인 9월 3일 CEO 프린스는 ‘키위팜 서비스 중단(Blocking Kiwifarms)’이라는 제목의 블로그 게시글을 올렸다. 그는 커뮤니티의 반사회적 악행을 인정하며 키위팜에 서비스를 제공하지 말라는 대중의 의견도 존중한다고 밝혔다. 하지만 그는 키위팜을 비롯한 다른 무수한 ‘악성’ 사이트에도 클라우드플레어 서비스를 제공한다고 덧붙였다. 

이어 그는 클라우드페어가 키위팜에 서비스 제공을 중단하기로 결정한 이유가 사회적 압력이 아니라고 주장했다. 프린스는 “키위팜의 위협 정도는 지난 48시간 동안 비상사태 수준으로 심각해졌다. 이제 피해를 넘어 생사가 달린 문제가 돼버려 전례 없는 상황에 도달했다고 판단했다”라고 말했다. 

프린스는 또한 여러 지역의 법 집행 기관에 연락해 잠재적 범죄 활동으로 의심되는 모든 정황과 정보를 전달했다고 언급했다. 
 

클라우드플레어의 일관된 투명성 

클라우드페어가 논란의 여지가 많은 고객에게 서비스를 계속 제공하며 격렬한 쟁점에 휘말린 일은 이번이 처음이 아니다. 

예컨대 러·우 전쟁이 발발했을 때 2월 28일 우크라이나 정부는 업체 측에 러시아 기업 고객의 서비스 제공을 중단하라고 요청했다. 클라우드플레어의 보안 서비스가 우크라이나 해커를 방해했기 때문으로 추정된다. 

업체는 이에 대해 일련의 블로그 글을 게시했다. 

3월 7일 클라우드플레어는 회사가 어떻게 우크라이나의 인터넷 인프라 보존을 지원하고 있으며 고객 암호화 키 자료(customer encryption key material)를 러시아 서버에서 빼냈는지 설명했다. 또한 우크라이나, 벨라루스, 러시아에 있는 클라우드플레어 서버의 전원 공급이 중단되더라도 데이터는 자동으로 무용지물이 된다고 언급했다. 

이 외에도 회사는 미국 정부 기관과 제재 준수 여부를 지속해서 확인하고 있으며, '러시아 금융기관, 러시아 선동 캠페인, 러시아 계열 도네츠크·루한스크 정부' 관련 고객들을 차단하고 있다는 내용을 밝혔다. 
 
마지막으로 클라우드플레어는 러시아의 서비스 제공을 중단하라는 요구를 충분히 고려했다고 설명했다. 하지만 업체 측은 “전문가와 긴 논의 끝에 러시아를 진정으로 돕는 길은 인터넷 서비스를 더 지원하는 것이라고 판단했다. 중단하면 오히려 더 큰 손해를 끼칠 수 있다. 전쟁이 이어지면서 러시아 서버가 국제 서버에 보내는 네트워크 요청이 폭발적으로 늘어났다. 러시아 시민들이 선동적인 러시아 뉴스 대신 다른 국제 매체를 접하려고 하고 있기 때문이다”라고 말했다. 
 
4월 초 클라우드플레어는 또 다른 게시물을 올려 회사가 러시아에 어떻게 계속 서비스를 제공하고 있는지 설명했다. 또한 러시아 시민들이 회사의 'WARP'이라는 VPN 앱을 사용해 국제 매체의 정보를 접근하는 데 활용하고 있다고 전했다. 

이에 더해 회사는 러시아 해커의 공격을 어떻게 막았는지 설명했다. 
 

졸지에 판사가 된 인터넷 기업

궁극적으로, 클라우드플레어 같이 중개 서비스를 제공하는 업체에 사업 지속성과 도덕적 책임 사이의 중점을 찾는 일은 영원한 난제로 남을 것이다.

서비스를 제공받을 자격이 되는 고객의 기준을 정하는 것은 매우 까다로운 일이다. 어떤 결정은 하든 모두를 만족시킬 수는 없다. 하지만 클라우드플레어는 최소한 회사의 의사 결정 과정과 이에 따라 취한 조치에 대해 일관된 자세로 상세히 설명했으니, 이 점은 인정할 만한 듯 싶다.

*Christopher Burgess는 시스코의 前 수석 보안 고문이며, 데이터 및 보안 분야의 여러 스타트업에서 CEO/COO를 역임했다. ciokr@idg.co.kr