2019.11.06

글로벌 칼럼 | 미국 법무부의 암호화 백도어 추진은 미 수정헌법 제1조 위반일 수 있다

Cynthia Brumfield | CSO
지난 10월 22일, 미국 FBI의 전직 법률 자문역인 짐 베이커는 ‘암호화를 다시 생각하다’라는 장문의 놀라운 글을 발표했다. R 스트리트 연구소에서 현재 국가안보 및 사이버보안 국장을 맡고 있는 보수주의 성향의 베이커는 이 글에서 암호화된 통신에 관해 법무부와 법 집행기관이 현실을 수용해 대처해야 한다고 조언했다. 
 
ⓒ Getty Images Bank 
 
암호화된 통신에 접근할 수 있도록 해주는 백도어에 대해 법무부와 법 집행기관이 수십 년 동안 온갖 노력을 기울이며 추구해 온 것에 반해, 베이커는 암호화는 “미국과 동맹국들이 실존적 사이버보안 위협, 특히 중국으로부터 스스로를 보다 효과적으로 보호하기 위해 사용할 수 있는 몇 안 되는 메커니즘 가운데 하나다. 암호화가 사회, 특히 다른 유형의 범죄 피해자들에게 비용을 부과하더라도 이것은 사실이다”라고 전했다. 
 
베이커가 이 글을 쓰게 된 계기는 최근 윌리엄 바 휘하의 법무부가  E2E(End to End) 통신 암호화의 등장으로 인해 테러리스트나 사이버범죄자들의 악행을 추적할 수 없어 법집행기관이 마비되고 있다는 생각을 하면서 최근에 암호화 백도어를 다시 추진하려는 움직임이다. 

미연방 법집행당국의 3년 간의 오랜 침묵 끝에, 바 장관은 7월 23일 연설을 했는데, 바는 소위 ‘워런트-프루프(warrant-proof)’ 암호화가 “국내외 테러리스트들을 감시하고 전투를 치르는 우리의 능력을 심각하게 손상시키고 있다”고 말하면서 암호화된 통신에 ‘합법적인 접근’을 요구했다. 바는 조만간 중대한 사건이 발생해 암호화에 반대하는 여론이 ‘추동’할 것이라고 경고하면서, 실리콘 밸리에 기술적 솔루션을 내놓을 것을 요구했다.

미국이 영국과 합의해 두 나라의 법 집행기관들이 중대한 범죄에 관한 전자 자료를 요구할 수 있도록 허용한 후, 10월 초 미 법무부는 페이스북이 메신저 서비스에 대한 E2E 암호화 계획을 진행시키지 말아 달라는 서한을 마크 저커버그에게 보냈다. 

다음날, 미 법무부는 이른바 ‘합법적 접근에 관한 총회(Summit on Lawful Access)’을 개최했는데, 이 기간 동안 윌리엄 바 장관과 FBI 국장인 크리스토퍼 레이는 법 집행기관이 보안 통신에 접근하도록 하는 일부 암호화 솔루션의 필요성을 다시 제기했다.

베이커는 자신의 글에서 FBI가 암호화 백도어 개념을 포기해야 한다고 생각하는 여러 가지 타당한 이유를 설명했다. “정부 실무자들이 장비 제조업체 및 서비스 제공업체 등과 같은 서드파티를 강제해 정부가 안드로이드나 아이폰이나 아이메시지 혹은 와츠앱을 통해 전송된 메시지와 같은 평문(즉, 암호가 해제된) 콘텐츠를 얻을 수 있게 하기 위해 시스템을 구성하도록 법원의 명령을 받을 수 있게 명시적으로 권한을 부여하는 법은 없다”고 정곡을 찔렀다. 


암호화는 수정 헌법 제1조가 보호하는 것에 해당되는가

베이커는 명시적으로 인용하지는 않지만, 서드파티가 그들의 시스템을 바꾸도록 강요하는 정부의 능력에 대한 중요한 방해물 중 하나는 수정헌법 제1조상 언론의 자유, 특히 장비 제조업체와 서비스 제공업체 자체의 언론의 자유에 대한 권리 발언권이다. 그가 수정헌법 제1조에 대한 분석을 누락했음에도 불구하고, 암호화가 수정헌법 제1조의 보호를 받을 자격이 있는지, 그리고 암호화 코드나 기술이 정부의 간섭으로부터 보호받을 자격이 있는 ‘언론’의 자격을 갖는지에 대한 논쟁은 복잡한 법률 발전의 오랜 역사 위에 있다. 

1993년부터 미국 국가안전보장국(NSA)은 백도어가 내장된 암호화 칩인 클리퍼 칩(Clipper Chip)이라는 것을 홍보했다. NSA는 통신업체들이 잠재적인 국제 범죄자와 테러리스트 조직원들을 감청하기 위해 클리퍼 칩을 음성 통신에 사용하기를 원했다. 클린턴 행정부는 법 집행당국이 범죄자와 테러리스트를 추적하기 위해 이런 백도어가 필요하다고 말하면서 클리퍼 칩을 옹호했다.

비록 클리퍼 칩의 궁극적인 소멸을 초래한 문제들은 통신사들이 그와 같은 칩을 채택하지 못한 것은 말할 것도 없고 주로 기술적이고 프라이버시와 관련된 것이었지만, 법학자들과 심지어 그 당시 일부 정부 변호사들까지 기술에 대해 제1차, 제4차, 제5차 수정헌법에 따른 위헌을 제기했다. 

그 후, 번스타인 대 미국(Bernstein v. United States)이라는 유명한 판례가 1995년에 제기되었다. 이 사건은 암호 코드를 공개하고자 했던 UC 버클리 학생 다니엘 번스타인과 관련된 것으로, 결국 4년 후에 제9 항소 순회법원에서 소프트웨어 소스코드가 실제로 수정헌법 제1조에 의해 보호되는 언론이라는 판결을 내렸다.

2016년 애플은 샌버나디노 총격범이 사용하는 아이폰의 보안 기능을 우회하는 시스템을 개발해야 한다는 FBI의 요구를 놓고 FBI와 치열한 공방을 벌였다. 미 연방 판사는 FBI를 지지하면서 애플에 FBI를 도울 것을 명령했다.

판사의 명령과 다투면서, 무엇보다도 애플은 FBI의 요구를 들어주지 않는 강력한 수정헌법 제1조를 제시하면서, 애플에게 안전 기능을 무력화하는 소프트웨어를 만들도록 강요하는 것은 정부가 강요하는 언론이나 마찬가지로 이는 수정헌법 제1조에 대한 명백한 위반이라고 주장했다. 애플 측 변호인단은 연방 판사의 명령을 철회하기 위해 제출한 의견서에서 ‘정해진 법률 하에서 컴퓨터 코드는 수정헌법 제1조의 의미 내에서 언론으로 취급된다’고 밝혔다.


언론 강요는 언론 금지와 동일하다

이 문제를 둘러싼 법학의 역사에서 특히 중요한 것은 FBI가 애플에 독점적인 암호화 방법을 암호화 방식으로 사용하면서 자사의 안전 회피 코드에 서명하도록 명령했다는 사실이다. 애플은 “이는 수정헌법 제1조에 위배되는 강요된 언론과 견해 차별에 해당된다”고 주장하면서 “대법원은 이처럼 정부가 언론을 강요하려고 하는 곳에서 수정헌법 제1조의 보호를 작동된다는 점을 분명히 했다”고 말했다.

비록 FBI가 샌버나디노 총격범의 전화에 접근하기 위해 다른 방법을 사용하면서 애플에 대한 강제를 포기했기 때문에 애플의 주장은 더 깊이 시험되지 않았지만, 바 장관의 이번 백도어 추진으로 인해 의문이 다시 제기된다. 미 연방정부가 IT 업체들에게 암호화 백도어를 만들도록 강요하는 어떠한 노력도 수정헌법 제1조에 따라 실패할 것인가? 

이 질문에 대한 답을 알기 위해 본지는 미국에서 최고의 수정헌법 제1조 전문 변호사인 데이비스 라이트 트레메인(Davis Wright Tremaine)의 밥 콘리비어와 이야기를 나눴는데, 그는 이 문제에 관여한 역사는 번스타인 판례까지 거슬러 올라간다고 전했다. 콘리비어는 번스타인을 대표하는 일렉트로닉 프론티어 재단(Electronic Frontier Foundation)과 함께 일했다.

콘리비어는 그 전에는 프리티 굿 프라이버시(PGP)를 만든 필 짐머맨(Phil Zimmerman)을 대표했다. PGP는 처음으로 널리 이용가능한 공개키 암호화를 구현하는 프로그램이었다. 1990년대 초 짐머맨은 당시 군수품으로 간주되었기 때문에 암호 소프트웨어 수출을 금지한 무기수출통제법(Arms Export Control Act)을 위반했다는 이유로 크게 이슈가 되었다. 정부는 결국 소송을 취하했다. 

콘리비어는 “이것은 매우 복잡한 주제다. 이 문제는 시간이 흐르면서 다양한 형태로 다시 제기된다”라고 말했다.

샌버나디노 사건에서 애플의 주장에도 불구하고 “수정헌법 제1조 전문가들 사이에서도 애플에 휴대폰의 비밀번호를 해독하는 프로그램을 만들도록 강요하는 것이 수정헌법 제1조의 문제인지 아닌지에 대해 의견이 상당히 엇갈렸다. 이 문제는 해결되지 않았다.”

그러나 콘리비어의 관점에서, 누군가에게 프로그램을 만들도록 강요한다면, 당신은 언론을 강요하는 것이고, 언론 강요는 수정헌법 제1조에서 언론을 금지하는 것과 다를 바가 없다.

콘리비어는 "그러나 다른 이들은 암호화는 기능적인 면이며, 일부 활동이 그 조문의 언론 부분과는 반대로 그 조문의 행동 측면에 가까워질수록 사람들은 수정헌법 제1조의 보호를 덜 받게 될 것이라고 주장할 것이다"고 말했다.


미 정부, 수정헌법 제4조를 인용하다

콘리비어는 "바 장관은 적법한 접근 개념을 옹호하면서, 불합리한 수색과 체포에 대한 수정헌법 제4조에 크게 의존하고 있다"고 말했다. 이 조항은 “사적으로 특정한 일을 행하는 데 대한 개별 시민의 관심과 가능한 범죄 활동을 조사하는 데 대한 일반 대중의 관심의 본질적인 균형을 추구한다"고 7월 연설에서 그는 말했다. 이런 이유들로 인해, IT 업체들은 대중을 보호할 필요성과 대비해 불안전한 통신의 위험성을 따져보고 타협을 할 필요가 있다고 바 장관은 말했다.

그러나 콘리비어는 수정헌법 제4조와 달리 수정헌법 제1조 및 자기차별에 대한 수정헌법 제5조는 적혀 있는 바와 같이 균형 요건이 없다고 주장한다. 예를 들어, 누군가에게 말을 하도록 강요하고, 누군가에게 선서를 하도록 강요하는 것은 적어도 헌법의 평이한 언어로 볼 때, 의심의 여지없이 그리고 균형 요소도 없이 위헌이다.

미 정부와 법원은 수정헌법 제1조의 권리, 특히 방송과 케이블 TV에 관한 새로운 기술의 도입에 고심했지만, 인터넷에 관한 한 법원은 수정헌법 제1조의 완전한 보호를 인정했다. 콘리비어는 르노 대 ACLU(Reno v. ACLU) 판례를 언급하면서 "인터넷이 흥미로운 것은 그것이 최초의 기술이었다는 점이고, 대법원이 그것을 처음 보았을 때, 그것은 ‘아, 잘됐다, 완전한 보호를 받는다’고 말했다”고 말했다. 

콘리비어는 “새롭고 복잡한 영역이다. 나는 법원이 정부가 결코 X나 Y를 해서는 안된다고 말하는 정확한 선을 긋기를 꺼리고 있다고 생각한다”라고 말한다. 순수한 수정헌법 제4조의 관점에서 보면, 정부는 암호화된 통신 접속을 요구할 수 있는 더 좋은 기회를 가지고 있다. “이것은 복잡한 문제고 현 시점에서 법정에서 비교적 검증되지 않은 문제다.” editor@itworld.co.kr 


2019.11.06

글로벌 칼럼 | 미국 법무부의 암호화 백도어 추진은 미 수정헌법 제1조 위반일 수 있다

Cynthia Brumfield | CSO
지난 10월 22일, 미국 FBI의 전직 법률 자문역인 짐 베이커는 ‘암호화를 다시 생각하다’라는 장문의 놀라운 글을 발표했다. R 스트리트 연구소에서 현재 국가안보 및 사이버보안 국장을 맡고 있는 보수주의 성향의 베이커는 이 글에서 암호화된 통신에 관해 법무부와 법 집행기관이 현실을 수용해 대처해야 한다고 조언했다. 
 
ⓒ Getty Images Bank 
 
암호화된 통신에 접근할 수 있도록 해주는 백도어에 대해 법무부와 법 집행기관이 수십 년 동안 온갖 노력을 기울이며 추구해 온 것에 반해, 베이커는 암호화는 “미국과 동맹국들이 실존적 사이버보안 위협, 특히 중국으로부터 스스로를 보다 효과적으로 보호하기 위해 사용할 수 있는 몇 안 되는 메커니즘 가운데 하나다. 암호화가 사회, 특히 다른 유형의 범죄 피해자들에게 비용을 부과하더라도 이것은 사실이다”라고 전했다. 
 
베이커가 이 글을 쓰게 된 계기는 최근 윌리엄 바 휘하의 법무부가  E2E(End to End) 통신 암호화의 등장으로 인해 테러리스트나 사이버범죄자들의 악행을 추적할 수 없어 법집행기관이 마비되고 있다는 생각을 하면서 최근에 암호화 백도어를 다시 추진하려는 움직임이다. 

미연방 법집행당국의 3년 간의 오랜 침묵 끝에, 바 장관은 7월 23일 연설을 했는데, 바는 소위 ‘워런트-프루프(warrant-proof)’ 암호화가 “국내외 테러리스트들을 감시하고 전투를 치르는 우리의 능력을 심각하게 손상시키고 있다”고 말하면서 암호화된 통신에 ‘합법적인 접근’을 요구했다. 바는 조만간 중대한 사건이 발생해 암호화에 반대하는 여론이 ‘추동’할 것이라고 경고하면서, 실리콘 밸리에 기술적 솔루션을 내놓을 것을 요구했다.

미국이 영국과 합의해 두 나라의 법 집행기관들이 중대한 범죄에 관한 전자 자료를 요구할 수 있도록 허용한 후, 10월 초 미 법무부는 페이스북이 메신저 서비스에 대한 E2E 암호화 계획을 진행시키지 말아 달라는 서한을 마크 저커버그에게 보냈다. 

다음날, 미 법무부는 이른바 ‘합법적 접근에 관한 총회(Summit on Lawful Access)’을 개최했는데, 이 기간 동안 윌리엄 바 장관과 FBI 국장인 크리스토퍼 레이는 법 집행기관이 보안 통신에 접근하도록 하는 일부 암호화 솔루션의 필요성을 다시 제기했다.

베이커는 자신의 글에서 FBI가 암호화 백도어 개념을 포기해야 한다고 생각하는 여러 가지 타당한 이유를 설명했다. “정부 실무자들이 장비 제조업체 및 서비스 제공업체 등과 같은 서드파티를 강제해 정부가 안드로이드나 아이폰이나 아이메시지 혹은 와츠앱을 통해 전송된 메시지와 같은 평문(즉, 암호가 해제된) 콘텐츠를 얻을 수 있게 하기 위해 시스템을 구성하도록 법원의 명령을 받을 수 있게 명시적으로 권한을 부여하는 법은 없다”고 정곡을 찔렀다. 


암호화는 수정 헌법 제1조가 보호하는 것에 해당되는가

베이커는 명시적으로 인용하지는 않지만, 서드파티가 그들의 시스템을 바꾸도록 강요하는 정부의 능력에 대한 중요한 방해물 중 하나는 수정헌법 제1조상 언론의 자유, 특히 장비 제조업체와 서비스 제공업체 자체의 언론의 자유에 대한 권리 발언권이다. 그가 수정헌법 제1조에 대한 분석을 누락했음에도 불구하고, 암호화가 수정헌법 제1조의 보호를 받을 자격이 있는지, 그리고 암호화 코드나 기술이 정부의 간섭으로부터 보호받을 자격이 있는 ‘언론’의 자격을 갖는지에 대한 논쟁은 복잡한 법률 발전의 오랜 역사 위에 있다. 

1993년부터 미국 국가안전보장국(NSA)은 백도어가 내장된 암호화 칩인 클리퍼 칩(Clipper Chip)이라는 것을 홍보했다. NSA는 통신업체들이 잠재적인 국제 범죄자와 테러리스트 조직원들을 감청하기 위해 클리퍼 칩을 음성 통신에 사용하기를 원했다. 클린턴 행정부는 법 집행당국이 범죄자와 테러리스트를 추적하기 위해 이런 백도어가 필요하다고 말하면서 클리퍼 칩을 옹호했다.

비록 클리퍼 칩의 궁극적인 소멸을 초래한 문제들은 통신사들이 그와 같은 칩을 채택하지 못한 것은 말할 것도 없고 주로 기술적이고 프라이버시와 관련된 것이었지만, 법학자들과 심지어 그 당시 일부 정부 변호사들까지 기술에 대해 제1차, 제4차, 제5차 수정헌법에 따른 위헌을 제기했다. 

그 후, 번스타인 대 미국(Bernstein v. United States)이라는 유명한 판례가 1995년에 제기되었다. 이 사건은 암호 코드를 공개하고자 했던 UC 버클리 학생 다니엘 번스타인과 관련된 것으로, 결국 4년 후에 제9 항소 순회법원에서 소프트웨어 소스코드가 실제로 수정헌법 제1조에 의해 보호되는 언론이라는 판결을 내렸다.

2016년 애플은 샌버나디노 총격범이 사용하는 아이폰의 보안 기능을 우회하는 시스템을 개발해야 한다는 FBI의 요구를 놓고 FBI와 치열한 공방을 벌였다. 미 연방 판사는 FBI를 지지하면서 애플에 FBI를 도울 것을 명령했다.

판사의 명령과 다투면서, 무엇보다도 애플은 FBI의 요구를 들어주지 않는 강력한 수정헌법 제1조를 제시하면서, 애플에게 안전 기능을 무력화하는 소프트웨어를 만들도록 강요하는 것은 정부가 강요하는 언론이나 마찬가지로 이는 수정헌법 제1조에 대한 명백한 위반이라고 주장했다. 애플 측 변호인단은 연방 판사의 명령을 철회하기 위해 제출한 의견서에서 ‘정해진 법률 하에서 컴퓨터 코드는 수정헌법 제1조의 의미 내에서 언론으로 취급된다’고 밝혔다.


언론 강요는 언론 금지와 동일하다

이 문제를 둘러싼 법학의 역사에서 특히 중요한 것은 FBI가 애플에 독점적인 암호화 방법을 암호화 방식으로 사용하면서 자사의 안전 회피 코드에 서명하도록 명령했다는 사실이다. 애플은 “이는 수정헌법 제1조에 위배되는 강요된 언론과 견해 차별에 해당된다”고 주장하면서 “대법원은 이처럼 정부가 언론을 강요하려고 하는 곳에서 수정헌법 제1조의 보호를 작동된다는 점을 분명히 했다”고 말했다.

비록 FBI가 샌버나디노 총격범의 전화에 접근하기 위해 다른 방법을 사용하면서 애플에 대한 강제를 포기했기 때문에 애플의 주장은 더 깊이 시험되지 않았지만, 바 장관의 이번 백도어 추진으로 인해 의문이 다시 제기된다. 미 연방정부가 IT 업체들에게 암호화 백도어를 만들도록 강요하는 어떠한 노력도 수정헌법 제1조에 따라 실패할 것인가? 

이 질문에 대한 답을 알기 위해 본지는 미국에서 최고의 수정헌법 제1조 전문 변호사인 데이비스 라이트 트레메인(Davis Wright Tremaine)의 밥 콘리비어와 이야기를 나눴는데, 그는 이 문제에 관여한 역사는 번스타인 판례까지 거슬러 올라간다고 전했다. 콘리비어는 번스타인을 대표하는 일렉트로닉 프론티어 재단(Electronic Frontier Foundation)과 함께 일했다.

콘리비어는 그 전에는 프리티 굿 프라이버시(PGP)를 만든 필 짐머맨(Phil Zimmerman)을 대표했다. PGP는 처음으로 널리 이용가능한 공개키 암호화를 구현하는 프로그램이었다. 1990년대 초 짐머맨은 당시 군수품으로 간주되었기 때문에 암호 소프트웨어 수출을 금지한 무기수출통제법(Arms Export Control Act)을 위반했다는 이유로 크게 이슈가 되었다. 정부는 결국 소송을 취하했다. 

콘리비어는 “이것은 매우 복잡한 주제다. 이 문제는 시간이 흐르면서 다양한 형태로 다시 제기된다”라고 말했다.

샌버나디노 사건에서 애플의 주장에도 불구하고 “수정헌법 제1조 전문가들 사이에서도 애플에 휴대폰의 비밀번호를 해독하는 프로그램을 만들도록 강요하는 것이 수정헌법 제1조의 문제인지 아닌지에 대해 의견이 상당히 엇갈렸다. 이 문제는 해결되지 않았다.”

그러나 콘리비어의 관점에서, 누군가에게 프로그램을 만들도록 강요한다면, 당신은 언론을 강요하는 것이고, 언론 강요는 수정헌법 제1조에서 언론을 금지하는 것과 다를 바가 없다.

콘리비어는 "그러나 다른 이들은 암호화는 기능적인 면이며, 일부 활동이 그 조문의 언론 부분과는 반대로 그 조문의 행동 측면에 가까워질수록 사람들은 수정헌법 제1조의 보호를 덜 받게 될 것이라고 주장할 것이다"고 말했다.


미 정부, 수정헌법 제4조를 인용하다

콘리비어는 "바 장관은 적법한 접근 개념을 옹호하면서, 불합리한 수색과 체포에 대한 수정헌법 제4조에 크게 의존하고 있다"고 말했다. 이 조항은 “사적으로 특정한 일을 행하는 데 대한 개별 시민의 관심과 가능한 범죄 활동을 조사하는 데 대한 일반 대중의 관심의 본질적인 균형을 추구한다"고 7월 연설에서 그는 말했다. 이런 이유들로 인해, IT 업체들은 대중을 보호할 필요성과 대비해 불안전한 통신의 위험성을 따져보고 타협을 할 필요가 있다고 바 장관은 말했다.

그러나 콘리비어는 수정헌법 제4조와 달리 수정헌법 제1조 및 자기차별에 대한 수정헌법 제5조는 적혀 있는 바와 같이 균형 요건이 없다고 주장한다. 예를 들어, 누군가에게 말을 하도록 강요하고, 누군가에게 선서를 하도록 강요하는 것은 적어도 헌법의 평이한 언어로 볼 때, 의심의 여지없이 그리고 균형 요소도 없이 위헌이다.

미 정부와 법원은 수정헌법 제1조의 권리, 특히 방송과 케이블 TV에 관한 새로운 기술의 도입에 고심했지만, 인터넷에 관한 한 법원은 수정헌법 제1조의 완전한 보호를 인정했다. 콘리비어는 르노 대 ACLU(Reno v. ACLU) 판례를 언급하면서 "인터넷이 흥미로운 것은 그것이 최초의 기술이었다는 점이고, 대법원이 그것을 처음 보았을 때, 그것은 ‘아, 잘됐다, 완전한 보호를 받는다’고 말했다”고 말했다. 

콘리비어는 “새롭고 복잡한 영역이다. 나는 법원이 정부가 결코 X나 Y를 해서는 안된다고 말하는 정확한 선을 긋기를 꺼리고 있다고 생각한다”라고 말한다. 순수한 수정헌법 제4조의 관점에서 보면, 정부는 암호화된 통신 접속을 요구할 수 있는 더 좋은 기회를 가지고 있다. “이것은 복잡한 문제고 현 시점에서 법정에서 비교적 검증되지 않은 문제다.” editor@itworld.co.kr 


X