2021.10.18

블로그 | 14인의 보안 전문가 가세··· 애플 CSAM 논란 '재점화'

Jonny Evans | Computerworld
애플이 사용자 기기를 감시하는 기술(client-side scanning, CSS)의 도입을 철회했다. 그러나 이 기술 전반에 대한 우려가 또다시 제기됐다. 적성국가나 범죄조직, 사용자 주변인에 의해 악용될 수 있다는 지적이다.
 
ⓒ Getty Images

얼마 전 애플이 CSAM(Child Sexual Abuse Material ; 아동 성착취물) 감지 기능 도입을 연기하기로 결정한 것은 적절한 조치다. 그런데 최근 보고서에 따르면 유럽연합(EU)이 CSAM(아동 성 착취물) 자동 탐지 기능 활용을 검토했다.

“위험한 기술”
최근 국제적으로 저명한 보안 전문가 14인이 보고서를 발표했다. 애플의 CSAM 철회 발표가 있기 전부터 해당 기술에 대한 연구를 시작한 이들은, EU가 CSAM 탐지 기능을 도입해 개인 휴대전화에서 불법 자료를 찾아내려는 계획에 대해 정부의 감시 능력만 강화하는 "위험한 기술"이라고 비판했다.

이들은 CSS 시스템이 실제로 활용될 경우, 지난 6월 EU가 제안한 암호화 약화 방법보다 프라이버시 침해 소지가 훨씬 더 크다고 경고했다. 해당 보고서에 따르면 CSS를 활용할 경우 사법당국이 암호화된 대화 기록을 읽는 것을 넘어, 사용자 기기에 저장된 정보까지 원격으로 검색할 수 있다.

이에 앞서 시민 자유 운동가, 프라이버시 옹호가, 기술 업계 관계자들도 CSAM 탐지 기능을 도입하려는 정부들의 계획이 기본 인권을 위협한다고 경고한 바 있다.

애플이 발표한 시스템은 악의가 없는 것으로 보였지만, 사용자 기기에서 숫자로 된 해시 데이터 형태의 이미지 데이터베이스를 스캔하는 기능이 우려를 불러일으켰다. 어떤 것을 감시하는 시스템을 한번 만들어 놓으면, 이후 감시 범위나 대상을 늘리는 것은 매우 쉬운 일이기 때문이다.

실제로 일부 국가에서는 CSAM 감시 기능을 다른 범죄로 확장하는 방안을 검토하고 있다고 최근 뉴욕타임즈가 보도했다. 

CSS 도입 원하는 EU
연구진은 CSAM 감시 기능을 검토해온 유럽연합(EU)의 행보에 대응해 애플 발표 이전부터 CSS 기술에 대해 조사하기 시작했다. 연구진은 EU에서 사용자 기기의 사진 검사를 의무화하는 법안이 빠르면 올해 내로 나올 것이라고 내다봤다. 또 EU가 조직 범죄 및 테러 활동의 증거물을 탐지하기 위해 CSAM보다 더 확대된 기능을 활용할 가능성을 제기했다.

EU가 사용자 기기에서 검색 영역을 확장하려고 하는 움직임에 대해 전문가들은 위험한 조짐이라고 진단했다.

가장 큰 우려는 다수의 국가에서 통상적인 것으로 간주되는 행동이 다른 국가에서 범죄 행위일 수 있다는 점이다. 범죄와 관련된 증거를 검색하는 기능이 일부 국가에서 동성애의 증거를 포착하는 도구로 활용될 수 있다. 국가에 따라 동성애가 중대한 위법행위이기도 하기 때문이다.
 
CSAM 스캔 시스템을 도입을 원하고 다른 불법 행위에 대해서도 이 기능을 검토 중인 EU처럼, 다른 독재국가들도 원하는 것을 찾아내기 위해 애플을 압박할 가능성이 있다. 애플은 이러한 요구에 대해 저항할 것이라고 밝혔지만 실제로 그렇게 하기 어려운 것이 현실이다.

한 가지 흥미로운 점은 사기, 탈세, 조세 회피 영역으로 감시 기능이 쉽게 확대될 수 있음에도 불구하고, 아직까지 사용자 기기 감시 대상에 이러한 범죄 행위가 포함되지 않았다는 것이다.

전문가들의 경고
애플은 CSAM 탐지 기능 도입에 대해 반발이 일었을 때, 메시지를 전달하는 과정에서 혼선이 있었던 것처럼 해명했다. 애플 옹호 진영에선 인터넷 상의 행동이 여타 기술을 통해서도 감지될 수 있는 현실을 언급하며 비판을 희석하려 하기도 했다(그러나 이러한 해명은 오히려 온라인 결제 시스템에 대한 불신을 조장할 뿐이다).

일각에선 국제적으로 합의된 디지털 인권법이 없는 상황에서 그동안 강력한 프라이버시를 자부해온 애플이 위와 같은 해명을 내놓은 것은 문제라고 비판했다. 많은 사람들은 애플의 계획이 과잉 감시와 국가의 과도한 개입으로 이어질 수 있다고 보고 있다. 특히 연구진은 불법적인 행위가 일어나지 않아도 당국이 사용자 장치를 스캔할 가능성을 크게 우려했다.

터프츠대학 사이버보안 및 정책 담당 교수 수잔 란다우는 “굉장히 위험한 발상이다. 기업과 국가안보, 공공안전, 개인 사생활에 위협이 된다”고 말했다. 캠브리지대학 보안 엔지니어링 담당 교수 로스 앤더슨도 “국가의 감시 권한의 확대가 ‘금지선(red line)’을 넘고 있다”고 지적했다.

‘순기능’보다 ‘역기능’ 우려
보고서는 특히 기업 사용자에 대해 큰 위협이 도사리고 있다고 분석했다. 연구진은 “대부분의 사용자 기기가 취약점을 갖고 있다”라며 “CSS가 제공하는 감시 및 통제 기능이 적성국가와 범죄조직, 사용자 주변인 등에 의해 악용될 수 있다”라고 경고했다.

이어 해당 보고서는 “모바일 운영 시스템의 불투명성으로 인해, 향후 CSS 정책이 논란의 여지가 없는 불법 콘텐츠만 검열할 것임을 입증하기 어렵다”라고 지적했다.

실제로 사용자 기기 탐지 시스템이 본격 도입되면, 범죄 단체가 해당 시스템을 악용하는 것은 시간 문제다. 개인 및 기업의 중요 데이터를 몰래 들여다보거나, 정적을 겨냥해 거짓 정보를 심어 놓는 등 사용자 기기 탐지 기능이 악용될 소지가 있다.

이번에 발간된 보고서 ‘주머니 속 벌레: 사용자 기기 스캔의 위험(Bugs in our Pockets: The Risks of Client-Side Scanning)’ 원본 파일은 여기에서 볼 수 있다.

* Jonny Evans는 1999년부터 애플과 기술에 대해 기고해온 전문 저술가다. ciokr@idg.co.kr



2021.10.18

블로그 | 14인의 보안 전문가 가세··· 애플 CSAM 논란 '재점화'

Jonny Evans | Computerworld
애플이 사용자 기기를 감시하는 기술(client-side scanning, CSS)의 도입을 철회했다. 그러나 이 기술 전반에 대한 우려가 또다시 제기됐다. 적성국가나 범죄조직, 사용자 주변인에 의해 악용될 수 있다는 지적이다.
 
ⓒ Getty Images

얼마 전 애플이 CSAM(Child Sexual Abuse Material ; 아동 성착취물) 감지 기능 도입을 연기하기로 결정한 것은 적절한 조치다. 그런데 최근 보고서에 따르면 유럽연합(EU)이 CSAM(아동 성 착취물) 자동 탐지 기능 활용을 검토했다.

“위험한 기술”
최근 국제적으로 저명한 보안 전문가 14인이 보고서를 발표했다. 애플의 CSAM 철회 발표가 있기 전부터 해당 기술에 대한 연구를 시작한 이들은, EU가 CSAM 탐지 기능을 도입해 개인 휴대전화에서 불법 자료를 찾아내려는 계획에 대해 정부의 감시 능력만 강화하는 "위험한 기술"이라고 비판했다.

이들은 CSS 시스템이 실제로 활용될 경우, 지난 6월 EU가 제안한 암호화 약화 방법보다 프라이버시 침해 소지가 훨씬 더 크다고 경고했다. 해당 보고서에 따르면 CSS를 활용할 경우 사법당국이 암호화된 대화 기록을 읽는 것을 넘어, 사용자 기기에 저장된 정보까지 원격으로 검색할 수 있다.

이에 앞서 시민 자유 운동가, 프라이버시 옹호가, 기술 업계 관계자들도 CSAM 탐지 기능을 도입하려는 정부들의 계획이 기본 인권을 위협한다고 경고한 바 있다.

애플이 발표한 시스템은 악의가 없는 것으로 보였지만, 사용자 기기에서 숫자로 된 해시 데이터 형태의 이미지 데이터베이스를 스캔하는 기능이 우려를 불러일으켰다. 어떤 것을 감시하는 시스템을 한번 만들어 놓으면, 이후 감시 범위나 대상을 늘리는 것은 매우 쉬운 일이기 때문이다.

실제로 일부 국가에서는 CSAM 감시 기능을 다른 범죄로 확장하는 방안을 검토하고 있다고 최근 뉴욕타임즈가 보도했다. 

CSS 도입 원하는 EU
연구진은 CSAM 감시 기능을 검토해온 유럽연합(EU)의 행보에 대응해 애플 발표 이전부터 CSS 기술에 대해 조사하기 시작했다. 연구진은 EU에서 사용자 기기의 사진 검사를 의무화하는 법안이 빠르면 올해 내로 나올 것이라고 내다봤다. 또 EU가 조직 범죄 및 테러 활동의 증거물을 탐지하기 위해 CSAM보다 더 확대된 기능을 활용할 가능성을 제기했다.

EU가 사용자 기기에서 검색 영역을 확장하려고 하는 움직임에 대해 전문가들은 위험한 조짐이라고 진단했다.

가장 큰 우려는 다수의 국가에서 통상적인 것으로 간주되는 행동이 다른 국가에서 범죄 행위일 수 있다는 점이다. 범죄와 관련된 증거를 검색하는 기능이 일부 국가에서 동성애의 증거를 포착하는 도구로 활용될 수 있다. 국가에 따라 동성애가 중대한 위법행위이기도 하기 때문이다.
 
CSAM 스캔 시스템을 도입을 원하고 다른 불법 행위에 대해서도 이 기능을 검토 중인 EU처럼, 다른 독재국가들도 원하는 것을 찾아내기 위해 애플을 압박할 가능성이 있다. 애플은 이러한 요구에 대해 저항할 것이라고 밝혔지만 실제로 그렇게 하기 어려운 것이 현실이다.

한 가지 흥미로운 점은 사기, 탈세, 조세 회피 영역으로 감시 기능이 쉽게 확대될 수 있음에도 불구하고, 아직까지 사용자 기기 감시 대상에 이러한 범죄 행위가 포함되지 않았다는 것이다.

전문가들의 경고
애플은 CSAM 탐지 기능 도입에 대해 반발이 일었을 때, 메시지를 전달하는 과정에서 혼선이 있었던 것처럼 해명했다. 애플 옹호 진영에선 인터넷 상의 행동이 여타 기술을 통해서도 감지될 수 있는 현실을 언급하며 비판을 희석하려 하기도 했다(그러나 이러한 해명은 오히려 온라인 결제 시스템에 대한 불신을 조장할 뿐이다).

일각에선 국제적으로 합의된 디지털 인권법이 없는 상황에서 그동안 강력한 프라이버시를 자부해온 애플이 위와 같은 해명을 내놓은 것은 문제라고 비판했다. 많은 사람들은 애플의 계획이 과잉 감시와 국가의 과도한 개입으로 이어질 수 있다고 보고 있다. 특히 연구진은 불법적인 행위가 일어나지 않아도 당국이 사용자 장치를 스캔할 가능성을 크게 우려했다.

터프츠대학 사이버보안 및 정책 담당 교수 수잔 란다우는 “굉장히 위험한 발상이다. 기업과 국가안보, 공공안전, 개인 사생활에 위협이 된다”고 말했다. 캠브리지대학 보안 엔지니어링 담당 교수 로스 앤더슨도 “국가의 감시 권한의 확대가 ‘금지선(red line)’을 넘고 있다”고 지적했다.

‘순기능’보다 ‘역기능’ 우려
보고서는 특히 기업 사용자에 대해 큰 위협이 도사리고 있다고 분석했다. 연구진은 “대부분의 사용자 기기가 취약점을 갖고 있다”라며 “CSS가 제공하는 감시 및 통제 기능이 적성국가와 범죄조직, 사용자 주변인 등에 의해 악용될 수 있다”라고 경고했다.

이어 해당 보고서는 “모바일 운영 시스템의 불투명성으로 인해, 향후 CSS 정책이 논란의 여지가 없는 불법 콘텐츠만 검열할 것임을 입증하기 어렵다”라고 지적했다.

실제로 사용자 기기 탐지 시스템이 본격 도입되면, 범죄 단체가 해당 시스템을 악용하는 것은 시간 문제다. 개인 및 기업의 중요 데이터를 몰래 들여다보거나, 정적을 겨냥해 거짓 정보를 심어 놓는 등 사용자 기기 탐지 기능이 악용될 소지가 있다.

이번에 발간된 보고서 ‘주머니 속 벌레: 사용자 기기 스캔의 위험(Bugs in our Pockets: The Risks of Client-Side Scanning)’ 원본 파일은 여기에서 볼 수 있다.

* Jonny Evans는 1999년부터 애플과 기술에 대해 기고해온 전문 저술가다. ciokr@idg.co.kr

X