보안 / 프라이버시

글로벌 칼럼 | 보안 대 프라이버시, "우리는 강력한 보안을 만들고 사용할 권리가 있다"

Kenneth van Wyk | Computerworld 2016.03.24
미국 대통령 버락 오바마는 최근 미국인들에게 보안을 위해 얼마간의 사생활은 포기해야 한다고 말했다. 이런 정부의 요구는 타당한 것일까? 정부 입장에서 보안과 프라이버시에 대해 생각해 보고 그 타당성 여부를 판단해 보자.

통신 시스템이 등장한 이래 미국 정부는 통신을 도청하고 대화 내용을 수집하는 능력을 계속 보유해왔다. 그러나 미 수정 헌법 4조 덕분에 그 과정에는 항상 엄격한 확인과 균형이 뒤따랐다.

미국에서 통신을 도청하려면 행정부 소속의 수사 기관은 영장 형식으로 사법부의 승인을 받아야 한다. 또한 수사 기관이 영장의 범위를 벗어나는 데이터를 수집한 경우, 해당 정보는 법원에서 증거로 채택되지 않았다. 불법적으로 수집한 정보에서 단서를 포착할 경우 그 정보 역시 "금지된 나무에서 딴 열매"로 취급되어 증거로 인정되지 않았다.

이런 체계는 오랜 시간 동안 프라이버시와 보안 사이에서 적절한 균형을 유지하는 역할을 했다. 그러나 상황이 바뀌었다.

먼저 암호화가 등장했고, 이후 스노든의 폭로로 인해 모든 것이 "터무니없는 속도"로 바뀌기 시작했다.
컴퓨터의 성능이 높아지면서 과학자들은 하드웨어뿐만 아니라 소프트웨어를 사용하는 암호화 시스템을 만들었다. 이런 시스템이 수행하는 역할 가운데 하나는 프라이버시다. 그러나 처음부터 정부는 발전 속도를 조절하기 위해 가능한 모든 수단을 동원했다. 암호화는 수학이고 따라서 지식이므로 그 자체를 막을 수는 없었지만 도입 속도를 늦추는 것은 가능했다.

정부가 암호화 기능의 수출이나 키 길이 등을 제한한 것도 이를 위해서였다. 아마도 정부는 이런 방법을 통해 범죄자들보다 한 걸음 앞선 상태를 유지할 수 있었을 것이다.

1990년대 들어서 인터넷을 통한 상거래가 생겼고 이에 따라 통신 보호에 대한 필요성도 더 높아졌으며, 이런 요구에 부응해 SSL, 이후 TLS가 등장했다. 덕분에 우리는 지금 안전한 통신을 이용하고 있다. 그런데, 정말 안전한 걸까?

사람들은 SSL을 신뢰하지만 이에 대한 신뢰는 대부분 근거가 없는 것으로 드러났다. 암호화 분야의 한 유명 교수는 전에 필자에게 "보안 프로토콜 개발의 제1 원칙은 '개발하지 말라!'는 것"이라고 말한 적이 있다. 당시 필자는 이 교수에게 편집증이 있다고 생각했다. 그런데 2년 전 스노든 폭로가 터졌고 당시 편집증으로 보였던 것이 지금 관점에선 지극히 합리적인 생각이었다.

스노든의 폭로는 대중에게 우리가 했던 안전한 통신이 사실은 정부 손바닥 위의 놀이에 불과했음을 알려주었다. SSL을 비롯한 여러 보안 프로토콜은 암호화 분야의 아마추어들이 개발했는데 프로들이 보기엔 그 결과물은 가소로운 수준이다. 전세계 대부분의 사람들은 안전하다고 믿었던 통신 역시 쉽게 도청된다는 사실을 알지 못했다.

그런데 여기서 한 가지 변화가 더 발생했다. 과거에는 견고한 확인과 균형의 시스템이 있었지만 스노든의 폭로 덕분에 대중은 무차별적인 감시가 현재 진행 중임을 알게 됐다. 이는 미국 정부가 거의 모든 통신을 수집하고 필요에 따라 그 내용을 분석할 가능성이 있음을 의미했다.

그러자 제품 벤더들도 대처 수위를 높였다. 2007년에서 지금까지 아이폰의 보안 기능이 얼만큼 발전했는지만 살펴봐도 애플을 비롯한 기업들이 프라이버시를 위해 적극적으로 대처하고 있다는 사실을 알 수 있다.

정부가 가장 두려워하는 것은 (합법적이든 그렇지 않든) 정보 수집 능력의 상실이다. 정부는 테러리스트, 납치범 등을 잡지 못하게 된다고 주장한다. 그런데 이 두려움은 타당한 것일까?

정부가 이 문제에서 정부의 입장을 관철시키기 위해 샌버너디노 테러리스트의 아이폰을 선택했다는 사실이 흥미롭다. 우선 정부가 잠금을 해제하려고 하는 문제의 폰의 소유자는 테러리스트의 고용주다. 즉, 이 고용주는 문제의 기기에 대한 관리 기능을 확보하고 있으므로 필요하다면 바로 잠금을 해제할 수 있었을 것이다.

수사를 시작한 날, 잠금을 해제할 수 있었는데도 수사 기관이 사법부를 찾아가 업체에게 자사 제품의 잠금을 해제하도록 강제하려 했다는 점은 정말 이해하기 어려운 행태다. 물론 테러리스트가 사망했으므로 정부는 심문을 통해 키를 알아낼 수 없었다. 그래서 대신 선택한 방법이 법원을 찾는 것이었다.

이 사건을 정부 입장 관철을 위한 수단으로 선택했다는 사실에서 유추할 수 있는 것은 정부가 절망적인 상황이거나, 절망적인 상황인 척 가장하고 있거나 그것도 아니라면 단순히 무능하다는 것이다.

정부가 정말 절망적인 상황이라면 이런 행태는 "암호화 전쟁"에서 지고 있음을 인지한 정부가 수세에서 극적인 승리를 이끌어내기 위한 최후의 시도일 것이다.

절망적인 척 가장하는 것이라면 정부는 뒤에서 스노든 이후 데이터를 획득하기 위한 새로운 방법을 이미 개발했거나, 개발하고 있으면서 앞에서는 정부도 어찌할 수 없을만큼 시스템이 안전하다는 환상을 심어주기 위해 연기를 하고 있는 것이다.

마지막으로 그저 무능한 것이라면 딱히 할 말이 없다.

그렇다면 우리는 이렇게 프라이버시를 포기해야 할까? 사람들의 비밀을 파악해야 할 책임은 일반 국민이 아닌, 정부에 있다.

합리적인 사람이라면 철저한 감독이 따른다는 전제하에 정부가 이런 능력을 보유하는 것을 반대할 이유는 없을 것이다. 그렇다고 일반 사용자들이 의도적으로 보안이 약화된 제품을 만들도록 강요받아서는 안 된다. 자유가 보장되는 국가에서 우리는 능력이 닿는 데까지 강력한 보안을 갖춘 시스템을 만들 수 있도록 허용되어야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.