Offcanvas

AI / 라이프 / 모바일 / 보안 / 분쟁|갈등

프라이버시에 빨간불?… 애플의 CSAM 스캔 계획이 촉발한 논란

2021.08.10 Jonny Evans  |  Computerworld
애플이 아동 성 착취물(CSAM) 스캔 기능을 아이폰의 차기 운영체제에 도입할 것이라는 계획을 발표했다. 이 소식은 곧장 사용자 프라이버시 침해 및 감시 논란을 일으켰다.
 
ⓒgetty Images Bank

아이폰이 ‘아이스파이’가 되려는 것일까
애플에 따르면 아이폰의 시스템은 자동화돼 있으며 이미지 자체를 스스로 식별하지는 않는다. 일종의 해시 데이터 시스템을 사용해 CSAM 이미지와의 일치 여부를 식별하며, 사용자 프라이버시를 보호하기 위한 안전 장치를 갖추고 있다고 애플은 주장한다. 

프라이버시 지지자들은 애플이 이러한 시스템을 통해 아이폰의 이미지를 스캔하고 보고하는 행보를 거침없이 이어나가고 있다고 경고했다. 이런 시스템이 일부 국가에서 남용될 가능성에 대해서도 지적했다. 

애플의 CSAM 스캔 방식
올해 말 출시될 iOS 15, 아이패드OS 15 및 맥OS 몬터레이 내부에는 3가지 기능이 내장될 예정이다.

1. 이미지 스캔
애플의 차기 운영체제는 아이클라우드 포토에 저장된 모든 이미지를 스캔한 다음 미 국립실종 및 착취아동센터(NCMEC)의 CSAM 데이터베이스와 일치 여부를 확인한다. 

구체적으로는 다음과 같다. 먼저 아이폰이 NCMEC 및 기타 아동 안전 기관의 CSAM 이미지 해시 데이터베이스를 바탕으로 아이클라우드의 이미지가 CSAM인지 여부를 스캔한다. 검토된 데이터베이스는 이후 읽을 수 없는 해시 집합으로 변환돼 사용자의 기기에 저장된다.

이미지가 아이클라우드 포토에 저장되면 매칭 프로세스가 작동한다. 해당 이미지가 CSAM의 여러 인스턴스 임계값을 넘는 경우 애플에게 경고가 전송된다. 이 경우 애플은 해당 이미지를 직접 검토한 후 NCMEC에 통보하고, 아이클라우드 포토 계정을 비활성화한다. 

하지만 이 시스템은 완벽하지 않다. 애플에 따르면 포토 계정이 잘못 신고될 가능성은 1조분의 1 미만이다. 하지만 10억 명이 넘는 애플 사용자를 고려한다면 매년 누군가 잘못 신고 당할 확률은 1,000분의 1 이상이다. 잘못 신고 당한 사용자가 소송을 걸 가능성도 있다.  

이미지가 아이폰에서 스캔됨에 따라 나타날 수 있는 결과다.

2. 아이 메시지 스캔 
애플 시스템은 온디바이스 머신러닝을 사용하여 아이메시지 속에 미성년자가 보내거나 받은 성 착취물이 있는지 스캔한다. 만약 그런 이미지가 식별되면 부모에게 경고를 보낸다. 부모는 애플 시스템을 활성화 혹은 비활성화할 수 있으며, 자녀가 받은 성 착취물은 흐리게 처리된다. 

만약 아동이 성 착취물을 (착취범에게) 전송하려 할 경우 경고를 받게 되며 부모도 이 사실을 통보받는다. 기기에서 스캔된 이미지에는 애플 또한 접근하지 못한다고 회사 측은 전했다. 

3. 검색 내용 식별
시리 및 검색 기능도 업데이트될 예정이다. 애플은 이를 통해 부모와 아동에게 더 많은 정보를 제공하는 한편, 아동이 위험한 상황에 직면했을 때 도움을 줄 수 있다고 전했다. 아울러 누군가가 CSAM과 관련된 검색어를 입력할 때, 시리와 검색 기능이 개입하여 해당 검색 주제는 문제의 소지가 있음을 알려준다고 밝혔다. 

애플은 자사의 이 프로그램이 “야심찬” 계획이라며, "시간이 지남에 따라 진화하고 확장될” 예정이라고 밝혔다. 

약간의 기술 데이터
애플은 이 시스템을 보다 상세하게 설명한 기술 백서도 발표했다. 이 백서에서 애플은 CSAM 데이터베이스와 일치하지 않는 이미지에 관해서는 그 어떤 정보도 수집하지 않는다는 점을 강조했다. 

설명에 따르면 애플은 뉴럴해시(NeuralHash)라 불리는 기술을 통해 CSAM 이미지를 분석한 뒤, 각 이미지를 고유한 숫자로 변환한다. 이 기술은 두 이미지가 거의 동일한 경우에만 동일한 숫자를 생성한다. 가령 두 이미지가 사이즈만 다르거나 압축 방식만 다른 경우라면 동일한 뉴럴해시 값을 갖는다. 

이미지가 아이클라우드 포토에 추가되면, 해당 데이터베이스와의 비교를 통해 일치 여부가 결정된다. 일치 항목이 발견되면, 암호화된 안전 바우처(safety voucher)가 생성된다. 해당 이미지에 문제의 소지가 있어 임계값에 도달해 조치가 필요한 경우 애플 측 검토자는 이 바우처를 통해 이미지의 암호를 해독해 액세스할 수 있다. 

애플은 백서에서 "아이클라우드 계정의 이미지 중 CSAM과 일치하는 항목이 임계값을 초과할 때만 애플이 관련 이미지 정보를 수집할 수 있다”라고 주장했다. 

온디바이스 분석은 아마도 애플이 유일할 것
경찰 당국에게 CSAM 이미지를 공유할 의무가 애플에게만 있는 것은 아니다. 미국 법률에 따르면 서버에 CSAM 이미지가 있는 모든 미국 소재 회사는 법 집행 기관의 조사에 협력해야 한다. 페이스북, 마이크로소프트 및 구글은 현재 이메일이나 메시징 플랫폼을 통해 공유되는 성 착취물을 스캔하는 기술을 보유하고 있다. 

다만 차이점이 있다. 애플의 이미지 분석은 회사 서버가 아니라 애플 기기 내에서 이뤄진다는 점이다. 

애플은 메시징 플랫폼에 종단 간 암호화 처리가 돼 있다고 주장해 왔다. 하지만 성 착취물 식별 작업이 암호화 처리 이전에 이뤄질 수도 있다는 점에서 이 주장은 해석에 따라 달라질 여지가 있다. 

물론 이성적인 사람이라면 대부분 아동 보호를 지지한다. 하지만 프라이버시 지지자들은 애플이 몇몇 정부의 압박으로 인해 (CSAM 외에) 다른 이미지도 감시할 수 있음을 우려한다. 예컨대, 동성애를 금지하는 한 정부가 애플에게 관련 콘텐츠를 감시할 것을 요구할 수 있다는 것이다.

만약 논바이너리 운동을 금지하는 국가에서 한 십대 아이가 커밍아웃을 위해 시리에게 도움을 요청하면 어떻게 될까? 혹은 홈팟 같은 음성 인식 장치에게 도움을 요청한다면 어떨까? 색출 관련 기능이 이런 장치에 배포될지 여부는 아직 확실치 않지만, 그럴 가능성이 존재한다.

게다가 애플이 그러한 예상 밖의 상황에서 어떻게 대처할지도 명확하지 않다. 

몹시 놀란 프라이버시 지지자들
대부분의 프라이버시 지지자들은 애플이 예상치 못하게 입장을 바꿀 가능성이 크다고 생각한다. 또 이로 인해 사용자 프라이버시를 보호하겠다는 애플의 약속은 공염불이 될 것이라고 우려한다.

기기가 사용자를 감시하는데, 사용자가 이를 제어할 수 없다면 과연 프라이버시가 보호된다고 느낄 사람이 얼마나 될까?

전자프런티어재단(EFF)은 아래와 같이 애플의 계획이 보안 백도어를 만들 수 있다고 경고했다. 

"애플이 좁은 백도어를 넓히기 위한 조치를 취할 수 있다. (CSAM 이미지 외에) 다른 유형의 콘텐츠를 탐지하도록 머신러닝 매개변수를 확장하거나, 아동 이미지를 비롯해 모든 사람의 계정을 스캔하도록 구성 플래그(configuration flag)를 수정할 수도 있다. 즉, 외부 세력이 압박을 가하면 언제라도 기능이 변경될 수 있는 시스템인 것이다.” 


존 홉킨스 대학의 매튜 그린 교수는 “애플이 암호화된 콘텐츠를 스캔하는 기술을 출시하겠다고 공표한 상황에서, 그저 '중국 정부가 그 기술로 무엇을 할지 궁금하군'이라며 손놓고 있을 수만은 없다. 이 기술은 이론적으로만 실현 가능한 것이 아니다”라고 경고했다. 

이밖에 다양한 주장들
이외에도 여러 주장들이 있다. 그 중 특히 주목할 만한 것은 ISP와 이메일 제공업체의 서버도 이미 이러한 콘텐츠를 스캔하고 있다는 점이다. 오히려 애플의 시스템은 사람의 개입을 최소화하며, 기기의 콘텐츠가 CSAM 데이터베이스와 여러 면에서 일치할 때만 경고를 보낸다는 주장이다. 

또 아동들이 위험에 처해 있다는 점에는 의심의 여지가 없다. 

2020년 NCMEC에 보고된 약 2만 6,500건의 가출 사례 중에서, 6명 중 1명은 아동 성매매 피해를 입었을 것으로 추산됐다. NCMEC의 아동 성 착취 보고 시스템인 사이버팁라인(애플이 관계돼 있는 것으로 추측됨)은 지난 2020년 CSAM과 관련하여 2,170만 건 이상의 보고를 받았다.

NCMEC의 CEO인 존 클라크는 “애플의 새 안전 조치를 통해 아동들의 이미지가 CSAM으로 유포되는 끔찍한 상황을 예방할 수 있다. 아동 보호에 대한 신념이 확고해야만 이 같은 범죄와 맞설 수 있다. 애플 같은 기술 파트너가 앞장서서 (범죄 예방에 대한) 의지를 천명하기 때문에 가능하다”이라고 전했다

이밖에 아동 성 착취 범죄 예방을 명분으로 하는 이 시스템을 통해, 백도어 정당화 시도라는 의혹을 애플이 회피하려 한다는 지적도 있다. 

대부분의 사람들은 아동을 보호해야 한다는 데 동의한다. 애플은 바로 이런 입장을 취함으로써, 몇몇 정부가 감시를 위해 애플 시스템을 사용할 수 있다는 주장을 일축했다. 따라서 애플은 정부가 압박을 가하더라도 초기의 입장을 갑자기 바꿔서는 안될 것이다. 

이는 애플이 직면할 가장 큰 난제이기도 하다. 만약 애플이 사업을 펼치고 있는 한 국가로부터 압박을 받는다면 그 국가의 법률을 따를 수 있기 때문이다. 

프라이버시 지지자인 에드워드 스노든은 “아무리 좋은 의도를 갖고 있더라도 애플은 이 시스템을 통해 전 세계를 감시할 수 있다”라며, “오늘 CSAM을 스캔할 수 있다면 내일은 무엇이든 스캔할 수 있다"라고 경고했다.
 
---------------------------------------------------------------
프라이버시 인기기사
->칼럼 | '개인정보 보호 vs. 데이터 활용' 두 마리 토끼 잡을 수 있을까?
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.