2014.11.11

"프라이버시는 스스로 지켜야 한다" : 스탠 스톨 인터뷰

Tom Kaneshige | Network World
미국 빌 클린턴 전 대통령이 영국에 머무르는 동안 마리화나를 피웠다는 소문이 떠돌면서 클린턴의 대권 도전에 최대 위기가 닥쳤다. 이미지 타격을 최소화하려는 클린턴은 마리화나를 피워보려고 시도만 했을 뿐, 실제로는 ‘들이마시지는 않았다’고 인정했다. 만약 흐리멍덩한 눈으로 입술 사이에 마리화나를 문 클린턴의 유튜브 영상이 공개됐다면 역사가 어떻게 바뀌었을지 모를 일이다.

20년이 지난 지금, 개인의 프라이버시는 존재하지 않는다. 온라인에 공유되는 낯뜨거운 사진과 비디오, 불법 행위를 저지르는 장면을 찍는 감시 카메라, 중2병에 심취해 작성했던 오글거리는 블로그 게시물, 페이스북과 트위터에 작성한 터무니 없는 댓글 등 인터넷은 사용자의 모든 것을 기억하며, 한 개인의 평판을 깎아내리기도 한다.

밀레니엄 세대 가운데 누리꾼의 사전 검증을 통과하여 무탈하게 미래의 대통령이 될 수 있는 사람이 있을지 의문이 든다. 인터넷 프라이버시의 실태에 대한 의견을 묻기 위해 Private.me의 CISO(Chief Information Security Officer) 스탠 스톨과 이야기를 나눴다.

스톨은 첨단 보안 기술의 단면과 이중 거래, 허위 프라이버시에 대해 연구하는 사람이다. 스톨은 수학과 교수 출신으로, 백악관에서 화상회의, 샤이엔산(Cheyenne Mountain)의 데이터베이스, 미국의 핵무기고를 통제하는 통신 네트워크의 보안을 담당했다.

인터넷 프라이버시에 대한 걱정이 날이 갈수록 높아지고 있는데, 이에 대한 진실과 허구에 대해서 구분해 줄 수 있는가?
항공우주 업계에서 근무하던 당시에 일급기밀에 접근할 수 있었는데, 그때 "알고 있는 사람은 말이 없고 말이 많은 사람은 아는 것이 없다”는 말을 들은 적이 있다.

이제 그곳에서 일하지 않기 때문에, 스노든 사건을 비롯한 공식 보도된 것 외에 알고 있는 것은 더 이상 없지만, 그 속뜻을 이해할 수 있는 사람은 있기 마련이다. 내 생각으로는, 정부는 자신들의 뜻에 반하는 사람을 감시할 수 있는 법과 기술력을 충분히 갖추고 있다.

하지만 그 정도로도 충분하지 않을 수 있다. NSA가 토르(Tor, 정부 지원 온라인 익명성 도구)를 어떻게 해킹했는지에 관한 일화는 모두가 알고 있다. 토르는 웹에서 익명성을 위한 일종의 표준으로 여겨져 왔다. NSA가 RSA에 비용을 지불했을 가능성이 있는데, 그 대가가 무엇을 위한 것인지 아무도 모른다. 그 내용은 기밀 사안일 것이다. 최소한, 정부가 접근할 수 있는 암호화 및 신원 결과물에 백도어가 있을 수 있다는 의혹을 제기할 수 있다.

우리는 미국 정부가 제로데이(Zero Day) 공격을 사주하고, 그 가운데 시리아의 ISIS 등을 대상으로 사용되고 있다는 것을 알고 있다. 물론, 이런 정보에 접근할 수 있는 권한은 없다. 하지만 이런 공격이 미국 내의 특정 집단에게도 적용될 수 있다고 생각하면 섬뜩하다. 정부는 엄청난 자금력과 인력을 보유하고 있으며, 나 또한 명석한 NSA 직원들과 함께 근무한 적이 있다.

“진정한 프라이버시는 없다”는 가정에서 출발해야 한다.

꽤 무서운 이야기이다.
 범법을 한 게 아니라면 굳이 프라이버시 침해를 우려할 필요가 없다고 생각하는 사람들이 있는데, 여기에 의견을 달리한다.

지난 10월 4일 뉴욕타임스(New York Times)에 "우리는 프라이버시를 원하지만, 공유를 멈출 수 없다"는 기사가 실렸다. 여기서 핵심은, 모든 행동이 정부, 페이스북, 구글 등을 통해 일반에 공개된다는 사실을 알게 된다면, 스스로 조심할 수밖에 없게 될 것이라는 점이다. 자신이 감시를 받게 될 것이라는 사실을 알면서도 세인트루이스(St. Louis)의 한 경관이 젊은 흑인에게 총을 발사한 사건과 관련된 시위에 참가할 수 있을까? 헌법상으로는 시위에 참여하는 게 범법 행위가 아닐지라도 사람들의 의욕은 상실될 수 있다.

리차드 닉슨이 대통령이던 시절이 기억난다. HBO는 닉슨 대통령에 관한 프로그램을 특별 편성했다. 해당 프로그램에는 사람들을 시켜 IRS와 협력해 원로 언론인 대니얼 쇼어의 소득 신고서를 감사하도록 지시한 닉슨 대통령의 모습이 그려졌다. 미국에서는 합법적인 일을 하더라도 정부가 감시하거나 개입했던 사건이 여러 번 있었다.

우리는 정당한 이유로 의심을 받는다.

대기업들도 사용자 프라이버시를 위반하는가?
대다수 사용자는 기업들이 가능한 모든 것을 수집한다는 사실을 인지하고 있다. 인터넷의 비즈니스 모델은 사용자 정보를 통제하고 마케팅 또는 판매를 위해 이 정보를 이용하는 것이 핵심이다. 그 가운데 일부 정보가 가치를 제공한다. 아마존에서 주기적으로 상품을 구매하는데, 사용자 구매 이력 데이터를 바탕으로 괜찮은 상품을 추천해주는 편리함 때문이다.

하지만 정부가 해당 기업에 소환장을 내밀거나, 정보를 사들이려고 할 때, 우리는 기업이 수집하는 정보를 제한하거나, 재정적인 이익을 추구할 권리를 막을 방법이 없다. 월가 시위(Occupy Wall Street)와 티파티(Tea Party)의 공통적인 배경은 거대 정부와 기업이 한패가 되었다는 점이다.

그렇다. 미국 정부의 데이터 접근 요청을 거부한 대표적인 기업에는 야후가 있지만, 정부가 원하는 정보를 그대로 제공하는 통신업체도 있다. 이 같은 상황에서 대기업이 사용자 정보를 수집하고 있다면, 프라이버시는 대체 어디에 있는 것인지 의문이 든다.

밀레니엄 세대들이 생각하는 프라이버시에 관한 대조 보고서를 읽어본 적이 있다. 밀레니엄 세대들은 프라이버시를 추구하는가, 아니면 무모하게 신상정보와 사진을 공유하고 있는가?
 아이들은 사진을 찍어 스냅챗(Snapchat)에 올린다. 스냅챗은 서버에 사진을 저장하지 않지만, 스냅챗에 연결된 서드파티 앱이 사진을 저장하는 것으로 보인다. 그리고 여기에 저장된 사진으로는 유명인들의 누드가 있다.

우리는 현재 인터넷 프라이버시와 관련돼 있다. 분명 공유하고자 하는 욕구가 존재한다. 1 세대는 파티에서 물담배를 돌리던 사진을 공유했다. 이제 사람들은 '잠깐만’이라고 외치며 공유에 대해 한 번 더 고민한다. 밀레니엄 세대와 프라이버시에 관한 글을 읽을 때면, 마치 ‘탄광 속의 카나리아’ 같다는 생각이 든다. 즉, 밀레니엄 세대들은 프라이버시와 관련된 문제를 직시하고, 여기에 직접 대응한다.

스냅챗을 비롯한 개인 정보 유출 사건들은 밀레니엄 세대가 프라이버시를 강화하려는 의지에 영향을 미친다. 일정 기간만 사진을 제공하고 삭제하는 과정에서 서버가 해킹되어 모든 것들이 다른 기기로 복사된다면 어떻게 될까? 타겟(Target)에서는 모든 신용카드 정보가 도난당하는 일이 발생했다. RAM 스크래퍼(Scraper)가 이런 정보를 수집하여 다른 곳으로 보냈다.

미국도 EU를 따라 "잊혀질 권리(Right to be Forgotten)"를 추구할 것으로 생각하는가?
웨이백 머신(Wayback Machine)과 같은 것을 살펴보면, "잊혀질 권리"에 관해 기술적인 문제가 있다고 생각한다. 최근 수천 명의 사용자가 구글에 정보 삭제를 요청하고 있으며, 구글은 이 가운데 42%의 요청을 완료했다고 보고한 바 있다. 그렇다면 나머지 58%는 왜 삭제되지 못했을까? 화요일에 한 일에 대한 잊혀질 권리가 있다면, 수요일에도 적용될까? 잊혀질 권리에 대한 범위나 기준 등 ‘잊혀질 권리’에 대한 명확한 의미를 정의해야 할 필요가 있다.

프라이버시가 존재하기는 하는가? 이런 문제를 어떻게 극복하고 있는가?
어려운 문제이다. Private.me는 정보가 해킹된다 하더라도 프라이버시를 보존할 수 있는 인프라를 구축하기 위해 노력하고 있다. 그 비밀은 자사 사이트로 유입되는 모든 정보를 사용자 브라우저 수준에서 조각으로 나누어 여러 서버로 전송하고 나서, 여러 서버로부터 모든 조각을 모든 위데 유의미한 것들을 이끌어낸다.

디지털 흔적을 거의 남기지 않았을 것처럼 보인다. 그렇지 않은가?
반은 맞고, 반은 틀렸다. 디지털 흔적 가운데서도, 특히 금융 쪽은 매우 신중한 편이다. 하지만 비즈니스 종사자이기 때문에 트윗을 날리거나 블로그를 작성하는 등 대부분 인터넷을 통해 소통하며, 회사 정보도 웹으로 제공하고 있다. 프라이버시의 관점에서 중요한 것들과 그렇지 않은 것들에 주의하고 있다. 프라이버시는 자신이 지켜야 한다고 본다.

인터넷은 아마도 인쇄기 이후로 가장 훌륭한 발명품일 것이다. 우리가 인터넷을 통해 할 수 있는 것 가운데 놀라운 것으로는 온라인 뱅킹이 있다. 모든 것에는 의도하지 않은 결과가 따르게 마련이고, 항상 어두운 면이 존재한다. 인터넷을 사용하는 사용자에게 그 책임이 있을 뿐이다. editor@itworld.co.kr


2014.11.11

"프라이버시는 스스로 지켜야 한다" : 스탠 스톨 인터뷰

Tom Kaneshige | Network World
미국 빌 클린턴 전 대통령이 영국에 머무르는 동안 마리화나를 피웠다는 소문이 떠돌면서 클린턴의 대권 도전에 최대 위기가 닥쳤다. 이미지 타격을 최소화하려는 클린턴은 마리화나를 피워보려고 시도만 했을 뿐, 실제로는 ‘들이마시지는 않았다’고 인정했다. 만약 흐리멍덩한 눈으로 입술 사이에 마리화나를 문 클린턴의 유튜브 영상이 공개됐다면 역사가 어떻게 바뀌었을지 모를 일이다.

20년이 지난 지금, 개인의 프라이버시는 존재하지 않는다. 온라인에 공유되는 낯뜨거운 사진과 비디오, 불법 행위를 저지르는 장면을 찍는 감시 카메라, 중2병에 심취해 작성했던 오글거리는 블로그 게시물, 페이스북과 트위터에 작성한 터무니 없는 댓글 등 인터넷은 사용자의 모든 것을 기억하며, 한 개인의 평판을 깎아내리기도 한다.

밀레니엄 세대 가운데 누리꾼의 사전 검증을 통과하여 무탈하게 미래의 대통령이 될 수 있는 사람이 있을지 의문이 든다. 인터넷 프라이버시의 실태에 대한 의견을 묻기 위해 Private.me의 CISO(Chief Information Security Officer) 스탠 스톨과 이야기를 나눴다.

스톨은 첨단 보안 기술의 단면과 이중 거래, 허위 프라이버시에 대해 연구하는 사람이다. 스톨은 수학과 교수 출신으로, 백악관에서 화상회의, 샤이엔산(Cheyenne Mountain)의 데이터베이스, 미국의 핵무기고를 통제하는 통신 네트워크의 보안을 담당했다.

인터넷 프라이버시에 대한 걱정이 날이 갈수록 높아지고 있는데, 이에 대한 진실과 허구에 대해서 구분해 줄 수 있는가?
항공우주 업계에서 근무하던 당시에 일급기밀에 접근할 수 있었는데, 그때 "알고 있는 사람은 말이 없고 말이 많은 사람은 아는 것이 없다”는 말을 들은 적이 있다.

이제 그곳에서 일하지 않기 때문에, 스노든 사건을 비롯한 공식 보도된 것 외에 알고 있는 것은 더 이상 없지만, 그 속뜻을 이해할 수 있는 사람은 있기 마련이다. 내 생각으로는, 정부는 자신들의 뜻에 반하는 사람을 감시할 수 있는 법과 기술력을 충분히 갖추고 있다.

하지만 그 정도로도 충분하지 않을 수 있다. NSA가 토르(Tor, 정부 지원 온라인 익명성 도구)를 어떻게 해킹했는지에 관한 일화는 모두가 알고 있다. 토르는 웹에서 익명성을 위한 일종의 표준으로 여겨져 왔다. NSA가 RSA에 비용을 지불했을 가능성이 있는데, 그 대가가 무엇을 위한 것인지 아무도 모른다. 그 내용은 기밀 사안일 것이다. 최소한, 정부가 접근할 수 있는 암호화 및 신원 결과물에 백도어가 있을 수 있다는 의혹을 제기할 수 있다.

우리는 미국 정부가 제로데이(Zero Day) 공격을 사주하고, 그 가운데 시리아의 ISIS 등을 대상으로 사용되고 있다는 것을 알고 있다. 물론, 이런 정보에 접근할 수 있는 권한은 없다. 하지만 이런 공격이 미국 내의 특정 집단에게도 적용될 수 있다고 생각하면 섬뜩하다. 정부는 엄청난 자금력과 인력을 보유하고 있으며, 나 또한 명석한 NSA 직원들과 함께 근무한 적이 있다.

“진정한 프라이버시는 없다”는 가정에서 출발해야 한다.

꽤 무서운 이야기이다.
 범법을 한 게 아니라면 굳이 프라이버시 침해를 우려할 필요가 없다고 생각하는 사람들이 있는데, 여기에 의견을 달리한다.

지난 10월 4일 뉴욕타임스(New York Times)에 "우리는 프라이버시를 원하지만, 공유를 멈출 수 없다"는 기사가 실렸다. 여기서 핵심은, 모든 행동이 정부, 페이스북, 구글 등을 통해 일반에 공개된다는 사실을 알게 된다면, 스스로 조심할 수밖에 없게 될 것이라는 점이다. 자신이 감시를 받게 될 것이라는 사실을 알면서도 세인트루이스(St. Louis)의 한 경관이 젊은 흑인에게 총을 발사한 사건과 관련된 시위에 참가할 수 있을까? 헌법상으로는 시위에 참여하는 게 범법 행위가 아닐지라도 사람들의 의욕은 상실될 수 있다.

리차드 닉슨이 대통령이던 시절이 기억난다. HBO는 닉슨 대통령에 관한 프로그램을 특별 편성했다. 해당 프로그램에는 사람들을 시켜 IRS와 협력해 원로 언론인 대니얼 쇼어의 소득 신고서를 감사하도록 지시한 닉슨 대통령의 모습이 그려졌다. 미국에서는 합법적인 일을 하더라도 정부가 감시하거나 개입했던 사건이 여러 번 있었다.

우리는 정당한 이유로 의심을 받는다.

대기업들도 사용자 프라이버시를 위반하는가?
대다수 사용자는 기업들이 가능한 모든 것을 수집한다는 사실을 인지하고 있다. 인터넷의 비즈니스 모델은 사용자 정보를 통제하고 마케팅 또는 판매를 위해 이 정보를 이용하는 것이 핵심이다. 그 가운데 일부 정보가 가치를 제공한다. 아마존에서 주기적으로 상품을 구매하는데, 사용자 구매 이력 데이터를 바탕으로 괜찮은 상품을 추천해주는 편리함 때문이다.

하지만 정부가 해당 기업에 소환장을 내밀거나, 정보를 사들이려고 할 때, 우리는 기업이 수집하는 정보를 제한하거나, 재정적인 이익을 추구할 권리를 막을 방법이 없다. 월가 시위(Occupy Wall Street)와 티파티(Tea Party)의 공통적인 배경은 거대 정부와 기업이 한패가 되었다는 점이다.

그렇다. 미국 정부의 데이터 접근 요청을 거부한 대표적인 기업에는 야후가 있지만, 정부가 원하는 정보를 그대로 제공하는 통신업체도 있다. 이 같은 상황에서 대기업이 사용자 정보를 수집하고 있다면, 프라이버시는 대체 어디에 있는 것인지 의문이 든다.

밀레니엄 세대들이 생각하는 프라이버시에 관한 대조 보고서를 읽어본 적이 있다. 밀레니엄 세대들은 프라이버시를 추구하는가, 아니면 무모하게 신상정보와 사진을 공유하고 있는가?
 아이들은 사진을 찍어 스냅챗(Snapchat)에 올린다. 스냅챗은 서버에 사진을 저장하지 않지만, 스냅챗에 연결된 서드파티 앱이 사진을 저장하는 것으로 보인다. 그리고 여기에 저장된 사진으로는 유명인들의 누드가 있다.

우리는 현재 인터넷 프라이버시와 관련돼 있다. 분명 공유하고자 하는 욕구가 존재한다. 1 세대는 파티에서 물담배를 돌리던 사진을 공유했다. 이제 사람들은 '잠깐만’이라고 외치며 공유에 대해 한 번 더 고민한다. 밀레니엄 세대와 프라이버시에 관한 글을 읽을 때면, 마치 ‘탄광 속의 카나리아’ 같다는 생각이 든다. 즉, 밀레니엄 세대들은 프라이버시와 관련된 문제를 직시하고, 여기에 직접 대응한다.

스냅챗을 비롯한 개인 정보 유출 사건들은 밀레니엄 세대가 프라이버시를 강화하려는 의지에 영향을 미친다. 일정 기간만 사진을 제공하고 삭제하는 과정에서 서버가 해킹되어 모든 것들이 다른 기기로 복사된다면 어떻게 될까? 타겟(Target)에서는 모든 신용카드 정보가 도난당하는 일이 발생했다. RAM 스크래퍼(Scraper)가 이런 정보를 수집하여 다른 곳으로 보냈다.

미국도 EU를 따라 "잊혀질 권리(Right to be Forgotten)"를 추구할 것으로 생각하는가?
웨이백 머신(Wayback Machine)과 같은 것을 살펴보면, "잊혀질 권리"에 관해 기술적인 문제가 있다고 생각한다. 최근 수천 명의 사용자가 구글에 정보 삭제를 요청하고 있으며, 구글은 이 가운데 42%의 요청을 완료했다고 보고한 바 있다. 그렇다면 나머지 58%는 왜 삭제되지 못했을까? 화요일에 한 일에 대한 잊혀질 권리가 있다면, 수요일에도 적용될까? 잊혀질 권리에 대한 범위나 기준 등 ‘잊혀질 권리’에 대한 명확한 의미를 정의해야 할 필요가 있다.

프라이버시가 존재하기는 하는가? 이런 문제를 어떻게 극복하고 있는가?
어려운 문제이다. Private.me는 정보가 해킹된다 하더라도 프라이버시를 보존할 수 있는 인프라를 구축하기 위해 노력하고 있다. 그 비밀은 자사 사이트로 유입되는 모든 정보를 사용자 브라우저 수준에서 조각으로 나누어 여러 서버로 전송하고 나서, 여러 서버로부터 모든 조각을 모든 위데 유의미한 것들을 이끌어낸다.

디지털 흔적을 거의 남기지 않았을 것처럼 보인다. 그렇지 않은가?
반은 맞고, 반은 틀렸다. 디지털 흔적 가운데서도, 특히 금융 쪽은 매우 신중한 편이다. 하지만 비즈니스 종사자이기 때문에 트윗을 날리거나 블로그를 작성하는 등 대부분 인터넷을 통해 소통하며, 회사 정보도 웹으로 제공하고 있다. 프라이버시의 관점에서 중요한 것들과 그렇지 않은 것들에 주의하고 있다. 프라이버시는 자신이 지켜야 한다고 본다.

인터넷은 아마도 인쇄기 이후로 가장 훌륭한 발명품일 것이다. 우리가 인터넷을 통해 할 수 있는 것 가운데 놀라운 것으로는 온라인 뱅킹이 있다. 모든 것에는 의도하지 않은 결과가 따르게 마련이고, 항상 어두운 면이 존재한다. 인터넷을 사용하는 사용자에게 그 책임이 있을 뿐이다. editor@itworld.co.kr


X