거대 웹 기업 ‘페이스북’과 ‘구글’은 흔히 프라이버시 옹호자들로부터 수많은 비판을 받는다. 하지만 최근, 호주 정부가 두 기업에 종단간 암호화 사용을 중단하라고 요구하고 있다. 그리고 이는 평상시라면 두 기업에 우호적이지 않았을 많은 사람이 이들의 편에 서게 했다.
미국, 영국, 호주, 뉴질랜드, 캐나다, 인도, 일본 정부가 지난달 페이스북을 포함한 기술 기업에 종단간 암호화 사용을 중단하라고 요청하는 공동 성명을 발표했다. 호주의 내무부 장관 마이크 페줄로는 이를 두고 스타워즈의 반란군 연합이 사악한 제국에 대항하는 것이라고 비유하면서, “우리는 국제 사회로부터 자신을 분리하려는 은하 제국에 맞서고 있다”라고 말했다.
물론 영국, 미국, 호주, 캐나다, 뉴질랜드 5개국으로 이뤄진 상호첩보동맹, 일명 ‘파이브 아이즈(Five Eyes)’는 글자 그대로 제국으로부터 태어났고, 이들은 스스로를 제국으로부터 자유롭게 했던 국가들이다. 인도는 파이브 아이즈에 속해 있진 않지만 한때 이 제국의 일부였다. 일본은 그렇지 않더라도 이 나라의 국가원수는 실제로 천황이다. 이를 감안할 때 어쩌면 이들을 ‘세븐 아이즈(Seven Eyes)’라고 칭할 수 있을 것이다.
아마도 당연하게, 이 문제에서는 오히려 ‘세븐 아이즈’가 페이스북보다 은하 제국에 더 가깝다고 보는 시각이 있다. 특히, 호주 정부는 자국의 기술 기업들이 정부에서 요청할 때마다 고객을 염탐할 뿐만 아니라 그러한 사실을 비밀로 유지하도록 강제하는 최근의 입법 때문에 엄청난 비난을 받았다. 대부분의 주요 국가에서 이와 유사한 규정을 두고 있기 때문에 이는 전 세계 기술 기업들에게 문제가 되고 있지만, 호주와 뉴질랜드는 더 진통을 겪고 있다.
‘다크 사이드(Dark Side)’의 위력
호주 시드니에 본사를 둔 안쿠라(Ankura)의 사이버 보안 컨설턴트 새넌 세지위크는 더 오스트레일리안 파이낸셜 리뷰(Australian Financial Review)와의 인터뷰에서 페줄로의 발언을 평가하면서, “스타워즈의 시스 군주(Sith Lord), 즉 악의 축이라면 암호화를 약화시킬 것”이라고 지적했다.
종단간 암호화는 정보를 취급하는 회사가 사용자 프라이버시를 보호하는 동시에 신뢰할 수 있는 기업이라는 평판을 유지하기 위해 사용하는 보편적인 수단이다. 비대칭 암호화를 사용하면 두 엔드포인드 기기 사이에서 송수신되는 모든 정보를 다른 사람이 읽을 수 없도록 할 수 있다. 따라서 엔드포인트를 서로 연결하고 정보를 전달하는 이를테면 페이스북이나 그 자회사인 왓츠앱 등이 이를 사용한다.
종단간 암호화는 기본 옵션으로 빠르게 자리 잡고 있다. 2020년 11월 말 구글은 차세대 문자 메시지 서비스 RCS(Rich Communication Service)를 전 세계에서 사용할 수 있다고 발표했다. 이는 종단간 암호화를 제공할 것이다. 당연한 말이지만 중국, 쿠바, 이란, 러시아 사용자는 이를 사용할 수 없다. 아마도 오늘날의 세계에서 누가 진정한 시스 군주인지를 알 수 있는 대목이다.
호주 국민의 온라인 인권을 보호하고 증진하는 단체 저스트소시앨(JustSociale)의 사라 리버티는 이번 움직임과 관련해 “구글을 강력하게 지지한다”라고 언급했다.
리버티는 종단간 암호화에 대해 “이는 은행 정보, 의료 기록을 비롯한 개인 데이터를 안전하게 공유할 수 있도록 한다. 나아가 UN 인권위원회의 2017년 결의안에서 명시된 바와 같이 언론인, 인권운동가, 기타 취약한 사람들을 보호하는 데 기여한다”라고 설명했다.
이어서 그는 “테러리스트, 소아성애자 등이 자신의 범죄를 숨기는 데 종단간 암호화를 사용할 수 있다는 논리는 타당하지만 암호화된 데이터에 접근하기 위해 백도어를 만드는 건 범죄자가 악용할 수 있는 ‘의도치 않은 취약점’이 될 수 있다는 것도 사실이다”라고 덧붙였다.
정부의 첩보 기술을 범죄자가 훔쳐 간다?!
백도어 지원이 악용될 수 있다고 우려하는 데는 그럴 만한 이유가 있다. 지난 2017년, 영국 국립의료원(NHS)을 비롯해 스페인의 은행과 통신사 등을 마비시켰던 ‘워너크라이(WannaCry)’ 랜섬웨어는 美 국가안보국(NSA)이 정보 수집 용도로 만든 해킹 도구 ‘이터널블루(Eternal Blue)’를 활용해 개발됐다.
또한 세계 각국 정부는 수년 전에 근본적으로 강력한 종단간 암호화에 대한 액세스를 제한하려는 전투에서 패배했다. 필 짐머만이 1991년 ‘프리티 굿 프라이버시(Pretty Good Privacy, PGP)’라는 전자우편 암호화 프로그램을 무료로 배포했던 때를 기억하는가?
그 당시 미국 정부는 적어도 이론적으로는 이러한 암호화 기술에 대해 국무부의 허가를 받아 미국에서만 수출할 수 있는 군사 기밀 기술로 취급하고 있었다(1970년대 초반 英 정보기관(GCHQ)에 의해 비대칭 암호화가 처음 발명됐고, 美 NSA로 비밀리에 전달됐다. 이는 MIT 연구원 론 리베스트, 애디 샤미르, 레너드 애들먼에 의해 독자적으로 재발명될 때까지 일반적으로 사용되지 않았다. 이는 연구진 이름의 첫 글자를 따서 RSA라고 불렸다).
PGP와 다른 무료 도구들은 여전히 누구나 사용할 수 있고 따라서 만약 세븐 아이즈 국가들이 페이스북, 구글 등으로 하여금 어떻게든 종단간 암호화 사용을 강제로 중단시키더라도, 이를 사용할 수 없게 되지는 않는다. 국제앰네스티(Amnesty International)는 이와 관련해 다음과 같이 언급해 왔다.
“정부가 소비자 앱에서 특정 종류의 암호화를 금지한다고 해도, 범죄자들의 암호화 기술 사용을 막지 못할 것이다. 이는 널리 배포돼 사용되고 있고 무료이기 때문이다. 이러한 조치는 법을 준수하는 모든 사람의 보안을 약화시킬 뿐이다.”
대화 내용은 몰라도 대화 상대는 알 수 있다
어떤 면에서 종단간 암호화는 순전히 속임수라고 말하는 사람들도 있다. 물론 종단간 암호화를 사용하면 통신회사를 비롯해 그 누구도 메시지 내용을 모니터링하지 못하게 할 수 있다. 하지만 암호화는 두 엔드포인트가 서로 커뮤니케이션하고 있다는 사실은 숨기지 않는다.
호주 첩보기관이 페이스북으로부터 백도어를 받을 수 없고 왓츠앱 메시지를 읽진 못하더라도 누가 누구와 대화하는지, 얼마나 자주 대화하는지 등은 알아낼 수 있다는 말이다.
그리고 만약 호주 첩보기관(ASIO)의 전용 커뮤니케이션 플랫폼으로 들어가는 특별 채널이 있고, 누군가가 여기에 어떻게든 접근하게 된다면 무슨 일이 발생할지 모른다. 마치 NSA의 이터널블루 기술이 이에 절대로 접근해선 안 되는 사람들에 의해 악용됐던 것과 같다.
우리 가운데 테러리스트, 소아성애자, 범죄자는 많지 않다. 그리고 일반적인 비즈니스 관점에서 보자면 우리가 줌이나 스카이프에서 누구와 대화했는지를 경쟁사에서 알아낼 수 있다면 굉장히 곤란할 것이다. 대부분은 연락처가 비공개로 유지되길 그리고 누구와 거래할지, 어떤 헤드헌터와 이야기하는지 등이 노출되지 않길 바란다.
물론 이를 고려할 때 줌, 스카이프, 페이스북, 왓츠앱 등을 다시 한번 바라볼 필요가 있다. 줌, 스카이프, 페이스북, 왓츠앱 등은 이런 정보를 얻기 위해 특별한 백도어를 만들지 않는다. 이미 알고 있어서다. 이들은 이 정보를 팔아 막대한 수익을 거두고 있다.
리버티는 “정부가 거대 기술 기업을 상대로 불리한 싸움을 하기보다는 대중의 인식을 높이기 위해 더 노력해야 한다”라면서, “호주 정부는 국민들이 다른 사람에 의해 자신의 디지털 흔적(digital footprints)이 어떻게 모니터링될 수 있는지를 더욱더 잘 알 수 있도록 해야 한다”라고 말했다. ciokr@idg.co.kr