2014.05.19

글로벌 칼럼 | 시스코 제품에 NSA 백도어가 있다...스노든

Bill Snyder | InfoWorld
만약 IT 영업 쪽에서 일해봤다면, 해외 고객들로부터 자신이 판매한 하드웨어에 정부가 감시할 수 있는 백도어가 설치되어있다는 의혹을 받을 때 얼마나 곤란해질지, 과연 이런 상황을 상상할 수 있나?

이 질문은 상상 속에서 나온게 아니다.

믿기지 않겠지만, 미국 국가 안보국(National Security Agency, NSA)에서 시스코와 아마 다른 기업들이 수출용으로 제작한 라우터 제품에 시스코 측에서는 알지 못하는 상태에서 일상적으로 감시 툴을 심어뒀다.

이 사실은 최근 저널리스트 글렌 그린월드가 출판한 <더 이상 숨을 곳이 없다(No Place to Hide)>에서 드러난 NSA의 막대한 데이터 수집 프로그램에 대한 새로운 세부 사항들을 통해 알게되었다.

그린월드는 과거 국가 안보국에서 일하며 수천 건의 비밀 문서를 유출한 에드워드 스노든의 이야기를 폭로한 언론인이다.

NSA의 데이터 수집 작업의 규모가 우리가 상상해왔던 수준보다 훨씬 막대하다는 점을 알게되었다. 그린월드는 "2012년 중반 시점에 NSA는 매일 인터넷과 전화 통신 양쪽에서 200억 건이 넘는 전세계 커뮤니케이션 내역을 처리하고 있었다"고 자신의 책에 썼다.

그린월드는 엑스-키스코어(X-KEYSCORE)라는 프로그램이 한 사람의 온라인 활동을 '실시간'으로 모니터링할 수 있어 NSA가 즉각적으로 이메일 열람과 브라우징 활동을 키보드 타자 입력 하나하나까지 파악할 수 있게 한다는 점을 공개했다.

이 프로그램의 검색은 너무 특정적이어서 모든 NSA 분석가들이 한 사람이 어느 웹사이트를 방문한 것뿐만 아니라 특정 컴퓨터에서 특정 웹사이트를 방문한 모든 방문자들 목록도 만들 수 있을 정도다.

누군가의 온라인 활동을 이렇게 밀접하게 감시하고자 하는 분석가가 있다면 NSA 고위직의 재가가 있어야 가능했을 것이라고 생각하겠지만, 실제론 그렇지 않았다. 모든 분석가들은 자신들의 감시 활동을 '정당화'하는 온라인 서류만 작성해 제출하면 시스템에서 그 요청에 맞는 정보를 다 내줬다.

그럼 영장 발부 절차는? 그들은 신경도 안썼다.

NSA는 어떻게 시스코의 라우터를 감염시켰나
중국의 산업 스파이 활동이 많아지면서 미국 정부는 기업들에게 중국에서 구입한 기술을 신뢰하지 말라고 반복적으로 경고해왔다. 어쩌면 중국과 다른 국가들이 미국 제품에 대해 그런 경고를 해야할 것이다.

그린월드는 이 책에서 "NSA는 일상적으로 미국에서 수출되는 라우터, 서버, 그리고 기타 컴퓨터 네트워크 기기들이 해외 고객들에게 배송되기 이전에 중간에 가로채왔다"며, "NSA는 이때 백도어 감시 툴을 심고 다시 포장한 후 공장 봉인을 붙이고 그대로 배송시켰다. NSA는 그래서 그 제품의 모든 사용자와 네트워크에 대한 접속권을 취득했다"고 전했다.

시스코에서 제작한 라우터, 스위치, 서버에는 기기에서 처리하는 트래픽을 가로채고 그 NSA 네트워크로 복제본을 보내는 감시 장치라는 덫이 설치됐다. 그린월드는 시스코나 다른 업체들이 이 프로그램에 대해 알고 있었다는 증거는 없다고 한다.

시스코 대변인은 월스트리트저널을 통해 "우리는 시스코가 자사 제품을 착취해 경쟁력을 약화시키는 정부와 협조하지 않는다고 이야기해왔다"며, "우리는 물론 우리의 제품이나 고객의 네트워크의 상태에 피해를 줄 수 있는 모든 것들에 대해 심각한 우려를 가지고 있다"고 말했다.

프라이버시에 대해 국민이 가질 모든 걱정과는 별개로, 이런 식으로 주목받는 것은 미국 기업 전반에 아주 좋지 않은 일이다. 기기에 감시 장치가 심어져 있는 판에 어느 누가 민감한 기업이나 정부 데이터를 다룰 때 미국 제품을 구입하겠는가?

시스코의 라우터와 서버 도청이 드러나기 이전에도, 시스코는 NSA의 스파이 활동이 해외 고객들의 자사 제품을 판매하는데 '어느 정도의 우려'를 자아냈다는 점이다.

클라우드 제공업체들 역시 고객들로부터 같은 유형의 역풍을 맞고 있으며, IBM은 긴장한 해외 고객들을 달래기 위해 더욱 안전한 클라우드 데이터센터를 해외에 구축하기 위해 12억 달러를 투자하고 있는 상태다.

거의 놓칠뻔한 특종
비록 이 유출 문서에 대해 지난해 한해동안 수많은 미디어 보도를 통해 낱낱이 분석되어 왔지만, 그린월드의 책에서는 많은 세부 내역, 전후 상황, 흥미로운 내용, 왜 스노든이 이 문서들을 유출하기로 마음먹었는 지에 대한 인간적인 이해, 그리고 두 곳의 주요 언론에서 전통을 깨고 백악관의 격한 반대에도 불구하고 이 문서 내역을 어떻게 보도했는 지에 대한 실상이 담겨있다.

겸손함은 찾아보기 힘든 그린월드는 자신이 너무 게을러서 스노든이 사용해보라고 주장한 보안 툴인 PGP 암호화를 설치하지 않는 바람에 10년만의 최대 특종을 놓칠뻔 했다고 시인했다.

이런 그린월드에 화가 난 스노든은 "지금 나는 내 자유 어쩌면 내 목숨까지 잃을 위험을 무릎쓰고 미국의 가장 비밀스러운 정부기관에서 특급 비밀 문서 수천 건을 넘겨주려고 한다. 아마도 이 문건을 통해 수백 건의 엄청난 특종이 나올 것이다. 그런데 그린월드는 내가 말한 암호화 툴 하나조차 설치하기 귀찮아 하느냐"고 꾸짖었다.

자존심하면 빠지지 않는 스노든은 그린월드에게 보내는 첫 이메일에서 자신을 기원전 5세기 로마에 대한 침략을 방어하기 위해 사령관으로 임명된 로마 농부 신시나투스(Cincinnatus)라고 썼다.

스노든은 "신시나투스는 로마 침략자들을 격퇴시키고 난 후의 행동으로 가장 유명하다. 그는 적을 격퇴시킨 후 즉각적으로 스스로 자신의 정치력을 포기하고 농부의 삶으로 돌아갔다"고 전했다.

이후 이어지는 이메일들에서 스노든은 스스로를 라틴어로 진실된 자를 의미하는 '베락스(Verax)'라고 불렀다.

그린월드와 그의 동료 기자인 로라 포이트라(Laura Poitras)가 스노든을 만나기 위해 홍콩으로 날아갔을 때, 그들은 스노든이 어떻게 생겼는지 전혀 알지 못했다. 스노든은 이들과 호텔 레스토랑에서 만나자고 약속했고, 이들에게 거대한 플라스틱 악어 옆에 앉으라고 말했다. 스노든은 그들 옆을 루빅스 큐브를 손에 들고 지나갈테니 알아볼 것이라고 말했다.

이후 그린월드는 잠도 거의 자지 않고 거의 10일간이나 쉬지않고 스노든을 인터뷰했고, 새벽 4시 택시 귀가, 끝나지 않는 피해 망상, 언제 이 기사를 내보낼지, 내보내야 할지 말지 등을 놓고 가디언지의 편집장과 오랜 싸움을 이어갔다.

물론 기사는 나왔고, 그린월드가 미국에 있어서는 영웅인지, 반역자인지 판단은 국민들이 하겠지만, 그린월드는 이 보도를 통해 퓰리처상을 받았다. 또한 워싱턴포스트의 기자들, 그리고 이후에는 뉴욕타임즈 기자들까지 합세해 프라이버시에 대한 국가적인 여론을 바꿔놓았다는 데는 의심의 여지가 없다.

더 이상 숨을 곳이 없다
필자는 지난주 화요일 하루종일 <더 이상 숨을 곳이 없다>를 읽었는데, 읽은 후 머리 속이 복잡해졌다. 한편으론 우리의 프라이버시가 얼마나 침해당하고 있는 지에 대해 오싹해져 자신의 컴퓨터와 아이폰의 인터넷 연결을 해제하고 싶어졌다.

그린월드는 사실 이런 방법으로 자신에 대한 기관의 스파이 행위를 피했다. 하지만 스노든의 폭로 이후 들고 일어난 연이은 시위에 용기를 얻었고, 명성에 타격을 입은 기자 정신이 이런 용기를 내고 이렇게 큰 사회적 영향력을 미칠 수 있음에 자부심이 생겼다.

마지막으로 책의 제목이 어디서 유래한 것인지 아는데도 의미가 있다.
1975년 당시 상원의원으로 정보 위원회의 의장이었던 프랭크 처치는 현재 기준으로 보면 아주 기초적이고 제한적인 정부 도청에 대해 파악하게 됐다.

처치는 "미국 정부가 무선으로 전파되는 메시지를 모니터링할 수 있는 기술적 능력을 완벽히 구비했다"고 말했다. "이런 기술력은 언제든지 자국민을 위협하는 방식으로 사용될 수 있으며, 그 기술이 전화 통화, 전보 등등 모든 통신 내역을 감청할 수 있게 된다면 미국인들은 모든 프라이버시가 박탈될 것이다. 더 이상 숨을 곳이 없다"고 언급한 바 있었다.

예언은 현실화됐다. editor@itworld.co.kr

2014.05.19

글로벌 칼럼 | 시스코 제품에 NSA 백도어가 있다...스노든

Bill Snyder | InfoWorld
만약 IT 영업 쪽에서 일해봤다면, 해외 고객들로부터 자신이 판매한 하드웨어에 정부가 감시할 수 있는 백도어가 설치되어있다는 의혹을 받을 때 얼마나 곤란해질지, 과연 이런 상황을 상상할 수 있나?

이 질문은 상상 속에서 나온게 아니다.

믿기지 않겠지만, 미국 국가 안보국(National Security Agency, NSA)에서 시스코와 아마 다른 기업들이 수출용으로 제작한 라우터 제품에 시스코 측에서는 알지 못하는 상태에서 일상적으로 감시 툴을 심어뒀다.

이 사실은 최근 저널리스트 글렌 그린월드가 출판한 <더 이상 숨을 곳이 없다(No Place to Hide)>에서 드러난 NSA의 막대한 데이터 수집 프로그램에 대한 새로운 세부 사항들을 통해 알게되었다.

그린월드는 과거 국가 안보국에서 일하며 수천 건의 비밀 문서를 유출한 에드워드 스노든의 이야기를 폭로한 언론인이다.

NSA의 데이터 수집 작업의 규모가 우리가 상상해왔던 수준보다 훨씬 막대하다는 점을 알게되었다. 그린월드는 "2012년 중반 시점에 NSA는 매일 인터넷과 전화 통신 양쪽에서 200억 건이 넘는 전세계 커뮤니케이션 내역을 처리하고 있었다"고 자신의 책에 썼다.

그린월드는 엑스-키스코어(X-KEYSCORE)라는 프로그램이 한 사람의 온라인 활동을 '실시간'으로 모니터링할 수 있어 NSA가 즉각적으로 이메일 열람과 브라우징 활동을 키보드 타자 입력 하나하나까지 파악할 수 있게 한다는 점을 공개했다.

이 프로그램의 검색은 너무 특정적이어서 모든 NSA 분석가들이 한 사람이 어느 웹사이트를 방문한 것뿐만 아니라 특정 컴퓨터에서 특정 웹사이트를 방문한 모든 방문자들 목록도 만들 수 있을 정도다.

누군가의 온라인 활동을 이렇게 밀접하게 감시하고자 하는 분석가가 있다면 NSA 고위직의 재가가 있어야 가능했을 것이라고 생각하겠지만, 실제론 그렇지 않았다. 모든 분석가들은 자신들의 감시 활동을 '정당화'하는 온라인 서류만 작성해 제출하면 시스템에서 그 요청에 맞는 정보를 다 내줬다.

그럼 영장 발부 절차는? 그들은 신경도 안썼다.

NSA는 어떻게 시스코의 라우터를 감염시켰나
중국의 산업 스파이 활동이 많아지면서 미국 정부는 기업들에게 중국에서 구입한 기술을 신뢰하지 말라고 반복적으로 경고해왔다. 어쩌면 중국과 다른 국가들이 미국 제품에 대해 그런 경고를 해야할 것이다.

그린월드는 이 책에서 "NSA는 일상적으로 미국에서 수출되는 라우터, 서버, 그리고 기타 컴퓨터 네트워크 기기들이 해외 고객들에게 배송되기 이전에 중간에 가로채왔다"며, "NSA는 이때 백도어 감시 툴을 심고 다시 포장한 후 공장 봉인을 붙이고 그대로 배송시켰다. NSA는 그래서 그 제품의 모든 사용자와 네트워크에 대한 접속권을 취득했다"고 전했다.

시스코에서 제작한 라우터, 스위치, 서버에는 기기에서 처리하는 트래픽을 가로채고 그 NSA 네트워크로 복제본을 보내는 감시 장치라는 덫이 설치됐다. 그린월드는 시스코나 다른 업체들이 이 프로그램에 대해 알고 있었다는 증거는 없다고 한다.

시스코 대변인은 월스트리트저널을 통해 "우리는 시스코가 자사 제품을 착취해 경쟁력을 약화시키는 정부와 협조하지 않는다고 이야기해왔다"며, "우리는 물론 우리의 제품이나 고객의 네트워크의 상태에 피해를 줄 수 있는 모든 것들에 대해 심각한 우려를 가지고 있다"고 말했다.

프라이버시에 대해 국민이 가질 모든 걱정과는 별개로, 이런 식으로 주목받는 것은 미국 기업 전반에 아주 좋지 않은 일이다. 기기에 감시 장치가 심어져 있는 판에 어느 누가 민감한 기업이나 정부 데이터를 다룰 때 미국 제품을 구입하겠는가?

시스코의 라우터와 서버 도청이 드러나기 이전에도, 시스코는 NSA의 스파이 활동이 해외 고객들의 자사 제품을 판매하는데 '어느 정도의 우려'를 자아냈다는 점이다.

클라우드 제공업체들 역시 고객들로부터 같은 유형의 역풍을 맞고 있으며, IBM은 긴장한 해외 고객들을 달래기 위해 더욱 안전한 클라우드 데이터센터를 해외에 구축하기 위해 12억 달러를 투자하고 있는 상태다.

거의 놓칠뻔한 특종
비록 이 유출 문서에 대해 지난해 한해동안 수많은 미디어 보도를 통해 낱낱이 분석되어 왔지만, 그린월드의 책에서는 많은 세부 내역, 전후 상황, 흥미로운 내용, 왜 스노든이 이 문서들을 유출하기로 마음먹었는 지에 대한 인간적인 이해, 그리고 두 곳의 주요 언론에서 전통을 깨고 백악관의 격한 반대에도 불구하고 이 문서 내역을 어떻게 보도했는 지에 대한 실상이 담겨있다.

겸손함은 찾아보기 힘든 그린월드는 자신이 너무 게을러서 스노든이 사용해보라고 주장한 보안 툴인 PGP 암호화를 설치하지 않는 바람에 10년만의 최대 특종을 놓칠뻔 했다고 시인했다.

이런 그린월드에 화가 난 스노든은 "지금 나는 내 자유 어쩌면 내 목숨까지 잃을 위험을 무릎쓰고 미국의 가장 비밀스러운 정부기관에서 특급 비밀 문서 수천 건을 넘겨주려고 한다. 아마도 이 문건을 통해 수백 건의 엄청난 특종이 나올 것이다. 그런데 그린월드는 내가 말한 암호화 툴 하나조차 설치하기 귀찮아 하느냐"고 꾸짖었다.

자존심하면 빠지지 않는 스노든은 그린월드에게 보내는 첫 이메일에서 자신을 기원전 5세기 로마에 대한 침략을 방어하기 위해 사령관으로 임명된 로마 농부 신시나투스(Cincinnatus)라고 썼다.

스노든은 "신시나투스는 로마 침략자들을 격퇴시키고 난 후의 행동으로 가장 유명하다. 그는 적을 격퇴시킨 후 즉각적으로 스스로 자신의 정치력을 포기하고 농부의 삶으로 돌아갔다"고 전했다.

이후 이어지는 이메일들에서 스노든은 스스로를 라틴어로 진실된 자를 의미하는 '베락스(Verax)'라고 불렀다.

그린월드와 그의 동료 기자인 로라 포이트라(Laura Poitras)가 스노든을 만나기 위해 홍콩으로 날아갔을 때, 그들은 스노든이 어떻게 생겼는지 전혀 알지 못했다. 스노든은 이들과 호텔 레스토랑에서 만나자고 약속했고, 이들에게 거대한 플라스틱 악어 옆에 앉으라고 말했다. 스노든은 그들 옆을 루빅스 큐브를 손에 들고 지나갈테니 알아볼 것이라고 말했다.

이후 그린월드는 잠도 거의 자지 않고 거의 10일간이나 쉬지않고 스노든을 인터뷰했고, 새벽 4시 택시 귀가, 끝나지 않는 피해 망상, 언제 이 기사를 내보낼지, 내보내야 할지 말지 등을 놓고 가디언지의 편집장과 오랜 싸움을 이어갔다.

물론 기사는 나왔고, 그린월드가 미국에 있어서는 영웅인지, 반역자인지 판단은 국민들이 하겠지만, 그린월드는 이 보도를 통해 퓰리처상을 받았다. 또한 워싱턴포스트의 기자들, 그리고 이후에는 뉴욕타임즈 기자들까지 합세해 프라이버시에 대한 국가적인 여론을 바꿔놓았다는 데는 의심의 여지가 없다.

더 이상 숨을 곳이 없다
필자는 지난주 화요일 하루종일 <더 이상 숨을 곳이 없다>를 읽었는데, 읽은 후 머리 속이 복잡해졌다. 한편으론 우리의 프라이버시가 얼마나 침해당하고 있는 지에 대해 오싹해져 자신의 컴퓨터와 아이폰의 인터넷 연결을 해제하고 싶어졌다.

그린월드는 사실 이런 방법으로 자신에 대한 기관의 스파이 행위를 피했다. 하지만 스노든의 폭로 이후 들고 일어난 연이은 시위에 용기를 얻었고, 명성에 타격을 입은 기자 정신이 이런 용기를 내고 이렇게 큰 사회적 영향력을 미칠 수 있음에 자부심이 생겼다.

마지막으로 책의 제목이 어디서 유래한 것인지 아는데도 의미가 있다.
1975년 당시 상원의원으로 정보 위원회의 의장이었던 프랭크 처치는 현재 기준으로 보면 아주 기초적이고 제한적인 정부 도청에 대해 파악하게 됐다.

처치는 "미국 정부가 무선으로 전파되는 메시지를 모니터링할 수 있는 기술적 능력을 완벽히 구비했다"고 말했다. "이런 기술력은 언제든지 자국민을 위협하는 방식으로 사용될 수 있으며, 그 기술이 전화 통화, 전보 등등 모든 통신 내역을 감청할 수 있게 된다면 미국인들은 모든 프라이버시가 박탈될 것이다. 더 이상 숨을 곳이 없다"고 언급한 바 있었다.

예언은 현실화됐다. editor@itworld.co.kr

X