2021.08.11

애플 아이클라우드 사진 검사 계획으로 정부 데이터 접근에 대한 새로운 우려 확산

Cynthia Brumfield | CSO
애플이 새롭게 발표한 ‘어린이를 위한 확장된 보호(Expanded Protections for Children)’를 두고 촉발된 논란이 주말 내내 이어졌다. 어린이를 위한 확장된 보호는 애플 플랫폼 전반에서 아동 성적 학대 자료(CSAM)를 강력하게 단속하기 위한 일련의 조치다. 새로운 보호 조치는 부모를 위한 커뮤니케이션 툴과 시리 업데이트, 어린이와 부모가 안전하지 않은 상황에 대처하는 데 도움이 되는 검색을 포함한 세 가지 영역으로 구성된다. 
 
ⓒ Getty Images Bank

암호화 전문가, 사이버 보안 전문가, 프라이버시 옹호자가 논쟁을 벌이는 부분은 “새로운 암호화를 적용해 사용자 프라이버시를 보호하면서 온라인에서 CSAM의 확산을 억제한다”는 애플의 계획이다. 이 계획은 사용자의 사진 라이브러리를 스캔한 다음 새로운 형식의 암호화를 적용해 기존 CSAM 라이브러리의 이미지와 비교한다. 

애플은 iOS와 아이패드OS의 새로운 암호화 애플리케이션을 통해 사용자의 전체 사진 라이브러리를 스캔해서 애플 디바이스에서 아이클라우드 사진으로 업로드된 알려진 CSAM 이미지를 찾은 다음, 이를 국립 실종 및 착취 아동 센터(NCMEC)에 보고할 수 있다. 애플은 “뉴럴해시(NeuralHash)라는 해시 기술은 이미지를 분석해 고유한 숫자로 변환하고, 이를 통해 시스템은 “NCMEC 및 기타 어린이 안전 기관이 제공한 알려진 CSAM 이미지 해시의 데이터베이스를 사용해서 디바이스에서 바로 대조할 수 있다”고 설명했다. 

이에 대해 유명 암호화 전문가인 매튜 그린이 트위터에 “아주 나쁜 아이디어”라는 글을 올렸고, 이를 시작으로 격렬한 논쟁이 이어졌다. 문제는 이 시스템이 미국을 비롯한 여러 국가의 정부가 1990년대부터 원했던 암호화 백도어를 제공하는 시발점이 될 수 있다는 부분이다. 그린은 “이와 같은 종류의 툴은 사용자 휴대폰에서 아동 포르노물을 찾는 데 유용하겠지만, 독재 정권의 손에서 그 툴이 어떻게 이용될지 상상해 보라”고 지적했다. 

애플의 계획이 시사하는 의미가 명확해지면서 보안 및 프라이버시 전문가, 암호 전문가, 연구원, 교수, 법률 전문가와 애플 고객 등 4,000명 이상이 ‘애플의 프라이버시 침해 콘텐츠 스캔 기술에 반대하는 공개 서한’에 서명했다. NSA 내부고발자인 에드워드 스노든도 포함된 서명인들은 “애플의 제안은 모든 애플 제품 사용자의 근본적인 프라이버시 보호를 약화시킬 위험이 있는 백도어를 만들자는 것”이라고 주장한다. 

일부 IT 업체도 애플의 계획을 비판했다. 페이스북의 왓츠앱(WhatsApp) 대표 윌 캐스카트는 트윗으로 “애플이 사용자 휴대폰에서 공유되지 않은 사진을 포함한 모든 개인 사진을 스캔할 수 있는 소프트웨어를 만들었다. 프라이버시에 반하는 행위”라고 말했다. 

에픽 게임즈(Epic Games) CEO 팀 스위니는 “애플 관점에서 보려고 노력했지만, 어떻게 봐도 정부 스파이웨어를 유죄 추정을 기반으로 애플이 설치하는 것이다. 코드는 애플이 쓰지만 개인 데이터를 스캔해서 보고하는 기능은 정부가 원하는 기능”이라고 말했다. 
 

데이터 접근 의무화하는 각국 정부 

인터로스(Interos)의 연구 및 분석 부문 부사장 안드레 리틀 림바고는 지난 주 블랙 햇(Black Hat) 브리핑에서 애플이 독재 정부와 민주 정부를 불문하고 사용자 데이터에 대한 접근권을 부여하는 프론트 도어를 설치한다면, 이미 전 세계적으로 확산 중인 추세를 더욱 가속화하게 될 것이라고 지적했다.

림바고는 ‘정부 지시에 따른 프론트 도어? 합법화된 정부의 데이터 접근에 대한 글로벌 평가’라는 제목의 대담에서, 연구 결과 전 세계 인구의 절반 이상이 정부가 암호화된 데이터에 대한 정부의 접근 권한을 의무화하거나 의무화를 고려 중인 국가에 거주하고 있다고 말했다. 더욱 우려되는 점은 이러한 프론트 도어가 암호화를 깨는 것만으로 발생하는 것이 아니라, 방대한 수집 데이터에 대한 접근 권한을 얻도록 정부 정책을 변경함으로써 발생하게 된다는 점이다. 

림바고는 전 세계의 데이터 접근 정책을 살펴본 결과, “암호 전쟁은 이 분야에서 여전히 확실하고 큰 우려지만 다른 종류의 변화도 일어나고 있다. 데이터에 대한 정부의 접근과 함께 감시 및 기술 인프라도 상승세”라고 말했다. 

또한 “정부 데이터 접근의 최종 단계는 노골적인 데이터 접근성 요구다. 이 모든 것이 일반적으로 국가적 보안 요구 사항을 명분으로 한다. 독재 정부와 민주 정부를 불문하고 전 세계적으로 똑 같은 이야기를 들을 수 있다. 다양한 종류의 국가 보안을 이유로 데이터에 대한 접근 권한을 요구한다. 데이터 보호와 접근 위험에 관한한 전 세계적으로 정부의 개입이 더 확대됐다”고 설명했다. 
 

디지털 독재와 민주주의가 하나의 스펙트럼에 존재 

북한, 중국, 러시아와 같은 디지털 독재 정부는 현 시점에서 잘 연구되어 있다. 이들 국가는 접근의 의무화뿐만 아니라 검열과 조작, 허위 정보와 같은 공격적인 방법으로 최대한 많은 정보와 데이터를 수집해 통제하고자 하는 것으로 알려져 있다.

스펙트럼의 반대쪽에는 유럽 연합과 같은, 디지털 민주주의가 있다. 유럽 연합 국가의 정부는 개방적이고 안전하고 탄력적인 인터넷을 운영하며 개인의 데이터 권리, 개인 데이터 보호, 이 데이터에 대한 정부의 접근 금지 또는 정보 접근에 대한 투명한 가이드라인 내에서 최소한의 접근에 초점을 둔다. 디지털 독재에 대한 정립된 교본은 등장하고 있는데, 디지털 민주주의에 관한 교본은 아직 없다. 

에콰도르를 비롯한 많은 국가가 이 두 가지 극단의 중간에 위치한다. 에콰도르의 경우 서비스 업체가 데이터, 심지어 해독 데이터까지 넘겨야 한다는 정부 요구사항이 발효된 후 심각한 데이터 침해가 발생하자 개인정보 보호 법을 통과시켰다. 림바고는 “많은 국가가 이 중간 지대에 속한다. 일종의 하이브리드 방식으로, 각자의 정부 목표를 달성하기 위해 독재의 일부 측면과 민주주의의 일부 측면을 채택한다”고 설명했다. 
 

데이터 접근성 의무화에 민주주의도 예외는 아니다 

오스트레일리아는 암호화된 콘텐츠에 대한 접근성을 의무화하는 암호화 법을 통과시켰다. 또 다른 민주 정부인 영국의 ‘엿보기 헌장(Snooper's Charter)’은 유럽 인권재판소에서 프라이버시 권리를 위반한 것으로 밝혀졌다. 림바고는 “민주주의라고 해서 이러한 종류의 프라이버시 침해로부터 자유롭다고 할 수 없다”고 지적했다. 

다행스러운 점은 100개 이상의 국가가 데이터 보호법을 제정했고, 데이터 보호법을 통과시켰지만 아직 제정하지 않은 국가는 그보다 더 많다는 것이다. 그럼에도 불구하고 림바고는 “검열과 조작에서 다음 단계인 데이터 접근의 의무화 단계로 넘어가는 경우가 많다. 이는 우려되는 점이다. 검열과 조작으로 효과를 봤으니 이것도 해보자는 것이다. 법과 규제를 바꿔 그냥 데이터를 바로 집어내겠다는 이야기다. 많은 국가가 독재 모델의 일부 측면과 민주주의 모델의 일부 측면을 동시에 추구하고 있다”고 말했다. 

법과 정책은 빠르게 변화 중이며, 전 세계적으로 그 변형도 진화하고 있다. 림바고는 “여기서 많이 이야기하지는 않았지만 소스 코드를 넘기도록 IT 업체를 압박하는 미국부터 인도에 이르기까지, 민주주의의 큰 부분이 이 하이브리드 모델에 속한다. 일부 데이터 보호 절차를 두지만 이와 동시에 다양한 소셜 미디어 업체에 데이터 접근성을 요구한다. EU에는 강력한 GDPR이 있지만 헝가리 정부는 GDPR의 일부 조항을 보류하고 있다”고 설명했다. 

각 국가에서 의무적 데이터 접근 정책을 계속 다듬고 있기 때문에 앞으로 어떤 추세가 주도적인 추세가 될지는 아직 알 수 없다. 림바고는 “스펙트럼의 양쪽 중에서 어느 쪽이 우세하게 될까? 데이터 수집의 승리가 될지, 데이터 보호의 승리가 될지 알 수 없다”고 덧붙였다. editor@itworld.co.kr


2021.08.11

애플 아이클라우드 사진 검사 계획으로 정부 데이터 접근에 대한 새로운 우려 확산

Cynthia Brumfield | CSO
애플이 새롭게 발표한 ‘어린이를 위한 확장된 보호(Expanded Protections for Children)’를 두고 촉발된 논란이 주말 내내 이어졌다. 어린이를 위한 확장된 보호는 애플 플랫폼 전반에서 아동 성적 학대 자료(CSAM)를 강력하게 단속하기 위한 일련의 조치다. 새로운 보호 조치는 부모를 위한 커뮤니케이션 툴과 시리 업데이트, 어린이와 부모가 안전하지 않은 상황에 대처하는 데 도움이 되는 검색을 포함한 세 가지 영역으로 구성된다. 
 
ⓒ Getty Images Bank

암호화 전문가, 사이버 보안 전문가, 프라이버시 옹호자가 논쟁을 벌이는 부분은 “새로운 암호화를 적용해 사용자 프라이버시를 보호하면서 온라인에서 CSAM의 확산을 억제한다”는 애플의 계획이다. 이 계획은 사용자의 사진 라이브러리를 스캔한 다음 새로운 형식의 암호화를 적용해 기존 CSAM 라이브러리의 이미지와 비교한다. 

애플은 iOS와 아이패드OS의 새로운 암호화 애플리케이션을 통해 사용자의 전체 사진 라이브러리를 스캔해서 애플 디바이스에서 아이클라우드 사진으로 업로드된 알려진 CSAM 이미지를 찾은 다음, 이를 국립 실종 및 착취 아동 센터(NCMEC)에 보고할 수 있다. 애플은 “뉴럴해시(NeuralHash)라는 해시 기술은 이미지를 분석해 고유한 숫자로 변환하고, 이를 통해 시스템은 “NCMEC 및 기타 어린이 안전 기관이 제공한 알려진 CSAM 이미지 해시의 데이터베이스를 사용해서 디바이스에서 바로 대조할 수 있다”고 설명했다. 

이에 대해 유명 암호화 전문가인 매튜 그린이 트위터에 “아주 나쁜 아이디어”라는 글을 올렸고, 이를 시작으로 격렬한 논쟁이 이어졌다. 문제는 이 시스템이 미국을 비롯한 여러 국가의 정부가 1990년대부터 원했던 암호화 백도어를 제공하는 시발점이 될 수 있다는 부분이다. 그린은 “이와 같은 종류의 툴은 사용자 휴대폰에서 아동 포르노물을 찾는 데 유용하겠지만, 독재 정권의 손에서 그 툴이 어떻게 이용될지 상상해 보라”고 지적했다. 

애플의 계획이 시사하는 의미가 명확해지면서 보안 및 프라이버시 전문가, 암호 전문가, 연구원, 교수, 법률 전문가와 애플 고객 등 4,000명 이상이 ‘애플의 프라이버시 침해 콘텐츠 스캔 기술에 반대하는 공개 서한’에 서명했다. NSA 내부고발자인 에드워드 스노든도 포함된 서명인들은 “애플의 제안은 모든 애플 제품 사용자의 근본적인 프라이버시 보호를 약화시킬 위험이 있는 백도어를 만들자는 것”이라고 주장한다. 

일부 IT 업체도 애플의 계획을 비판했다. 페이스북의 왓츠앱(WhatsApp) 대표 윌 캐스카트는 트윗으로 “애플이 사용자 휴대폰에서 공유되지 않은 사진을 포함한 모든 개인 사진을 스캔할 수 있는 소프트웨어를 만들었다. 프라이버시에 반하는 행위”라고 말했다. 

에픽 게임즈(Epic Games) CEO 팀 스위니는 “애플 관점에서 보려고 노력했지만, 어떻게 봐도 정부 스파이웨어를 유죄 추정을 기반으로 애플이 설치하는 것이다. 코드는 애플이 쓰지만 개인 데이터를 스캔해서 보고하는 기능은 정부가 원하는 기능”이라고 말했다. 
 

데이터 접근 의무화하는 각국 정부 

인터로스(Interos)의 연구 및 분석 부문 부사장 안드레 리틀 림바고는 지난 주 블랙 햇(Black Hat) 브리핑에서 애플이 독재 정부와 민주 정부를 불문하고 사용자 데이터에 대한 접근권을 부여하는 프론트 도어를 설치한다면, 이미 전 세계적으로 확산 중인 추세를 더욱 가속화하게 될 것이라고 지적했다.

림바고는 ‘정부 지시에 따른 프론트 도어? 합법화된 정부의 데이터 접근에 대한 글로벌 평가’라는 제목의 대담에서, 연구 결과 전 세계 인구의 절반 이상이 정부가 암호화된 데이터에 대한 정부의 접근 권한을 의무화하거나 의무화를 고려 중인 국가에 거주하고 있다고 말했다. 더욱 우려되는 점은 이러한 프론트 도어가 암호화를 깨는 것만으로 발생하는 것이 아니라, 방대한 수집 데이터에 대한 접근 권한을 얻도록 정부 정책을 변경함으로써 발생하게 된다는 점이다. 

림바고는 전 세계의 데이터 접근 정책을 살펴본 결과, “암호 전쟁은 이 분야에서 여전히 확실하고 큰 우려지만 다른 종류의 변화도 일어나고 있다. 데이터에 대한 정부의 접근과 함께 감시 및 기술 인프라도 상승세”라고 말했다. 

또한 “정부 데이터 접근의 최종 단계는 노골적인 데이터 접근성 요구다. 이 모든 것이 일반적으로 국가적 보안 요구 사항을 명분으로 한다. 독재 정부와 민주 정부를 불문하고 전 세계적으로 똑 같은 이야기를 들을 수 있다. 다양한 종류의 국가 보안을 이유로 데이터에 대한 접근 권한을 요구한다. 데이터 보호와 접근 위험에 관한한 전 세계적으로 정부의 개입이 더 확대됐다”고 설명했다. 
 

디지털 독재와 민주주의가 하나의 스펙트럼에 존재 

북한, 중국, 러시아와 같은 디지털 독재 정부는 현 시점에서 잘 연구되어 있다. 이들 국가는 접근의 의무화뿐만 아니라 검열과 조작, 허위 정보와 같은 공격적인 방법으로 최대한 많은 정보와 데이터를 수집해 통제하고자 하는 것으로 알려져 있다.

스펙트럼의 반대쪽에는 유럽 연합과 같은, 디지털 민주주의가 있다. 유럽 연합 국가의 정부는 개방적이고 안전하고 탄력적인 인터넷을 운영하며 개인의 데이터 권리, 개인 데이터 보호, 이 데이터에 대한 정부의 접근 금지 또는 정보 접근에 대한 투명한 가이드라인 내에서 최소한의 접근에 초점을 둔다. 디지털 독재에 대한 정립된 교본은 등장하고 있는데, 디지털 민주주의에 관한 교본은 아직 없다. 

에콰도르를 비롯한 많은 국가가 이 두 가지 극단의 중간에 위치한다. 에콰도르의 경우 서비스 업체가 데이터, 심지어 해독 데이터까지 넘겨야 한다는 정부 요구사항이 발효된 후 심각한 데이터 침해가 발생하자 개인정보 보호 법을 통과시켰다. 림바고는 “많은 국가가 이 중간 지대에 속한다. 일종의 하이브리드 방식으로, 각자의 정부 목표를 달성하기 위해 독재의 일부 측면과 민주주의의 일부 측면을 채택한다”고 설명했다. 
 

데이터 접근성 의무화에 민주주의도 예외는 아니다 

오스트레일리아는 암호화된 콘텐츠에 대한 접근성을 의무화하는 암호화 법을 통과시켰다. 또 다른 민주 정부인 영국의 ‘엿보기 헌장(Snooper's Charter)’은 유럽 인권재판소에서 프라이버시 권리를 위반한 것으로 밝혀졌다. 림바고는 “민주주의라고 해서 이러한 종류의 프라이버시 침해로부터 자유롭다고 할 수 없다”고 지적했다. 

다행스러운 점은 100개 이상의 국가가 데이터 보호법을 제정했고, 데이터 보호법을 통과시켰지만 아직 제정하지 않은 국가는 그보다 더 많다는 것이다. 그럼에도 불구하고 림바고는 “검열과 조작에서 다음 단계인 데이터 접근의 의무화 단계로 넘어가는 경우가 많다. 이는 우려되는 점이다. 검열과 조작으로 효과를 봤으니 이것도 해보자는 것이다. 법과 규제를 바꿔 그냥 데이터를 바로 집어내겠다는 이야기다. 많은 국가가 독재 모델의 일부 측면과 민주주의 모델의 일부 측면을 동시에 추구하고 있다”고 말했다. 

법과 정책은 빠르게 변화 중이며, 전 세계적으로 그 변형도 진화하고 있다. 림바고는 “여기서 많이 이야기하지는 않았지만 소스 코드를 넘기도록 IT 업체를 압박하는 미국부터 인도에 이르기까지, 민주주의의 큰 부분이 이 하이브리드 모델에 속한다. 일부 데이터 보호 절차를 두지만 이와 동시에 다양한 소셜 미디어 업체에 데이터 접근성을 요구한다. EU에는 강력한 GDPR이 있지만 헝가리 정부는 GDPR의 일부 조항을 보류하고 있다”고 설명했다. 

각 국가에서 의무적 데이터 접근 정책을 계속 다듬고 있기 때문에 앞으로 어떤 추세가 주도적인 추세가 될지는 아직 알 수 없다. 림바고는 “스펙트럼의 양쪽 중에서 어느 쪽이 우세하게 될까? 데이터 수집의 승리가 될지, 데이터 보호의 승리가 될지 알 수 없다”고 덧붙였다. editor@itworld.co.kr


X