글로벌 칼럼 | “노트북과 스마트폰 휴대 금지” 출장에 위기를 가져올 비행기 탑승 정책 변화 조짐

기업 IT부서는 워너크라이(WannaCry) 등 새로운 데이터 보안 위협에 초점을 맞추고 있다. 그런데 누구도 대비하지 않고 있는 더 큰 위협의 암운이 드리우고 있다.

바로, 출장 때 휴대하는 노트북 컴퓨터와 태블릿, 스마트폰에 대한 새로운 법과 규정에 관한 이야기다. 항공기를 이용한 출장에서 발생할 새로운 데이터 위험 노출은 2가지 형태다. 노트북 금지와 스마트폰 데이터 추출과 관련된 정책이다.

노트북 금지
노트북이 금지될 확률은 생각보다 높고, 이와 관련된 보안 위험도 끔찍할 것이다. 먼저 앞으로 닥칠 일을 조금 더 자세히 알아보자.

필자는 지금 국토안보부(DHS)가 3월 노트북 컴퓨터 기내 휴대 금지 대상 국가로 지정한 국가인 모로코에서 이 칼럼을 쓰고 있다. 두바이, 이집트, 요르단, 쿠웨이트, 모로코, 카타르, 사우디 아라비아, UAE의 10개 주요 공항에서 미국으로 출발하는 항공기의 경우, 기내 휴대 가방에 노트북을 휴대할 수 없다. 영국도 유사한 조치가 내려졌지만, 정도가 훨씬 덜하다.

노트북이 터졌을 때의 위험성은 화물칸에 있을때보다 객실에 있을 때 더 위험한 것으로 분석된다. 노트북을 직접 폭발 시키는 노트북 폭탄은 대량 생산이 가능하고, 보안 검색대의 감지를 더 쉽게 피할 수 있다.

반면 화물칸에 있어 원격으로 폭발 시켜야 하는 노트북 컴퓨터 폭탄은 만들기가 더 힘들고, 엑스레이 검색 기기로 훨씬 더 쉽게 발견할 수 있다. 쉽게 검색되는 타이머나 원격 폭발을 위한 배선 등이 필요하기 때문이다.

지금 당장은 일부 지역만 노트북 컴퓨터 기내 휴대가 금지되어 있다. 즉 몇몇 공항에 국한되어 있다. 출장차 비행기를 타는 직장인들은 가방을 검색 받아야 하지만, 그래도 노트북 가방을 가져올 수 있다. 그러나 향후 규제로 인한 데이터 노출 위험은 아주 크다.

이달 초, 미국과 유럽의 관련 당국은 유럽에서 출발하는 항공편 기내에 노트북을 휴대하지 못하도록 규제하는 방안을 논의하는 긴급 회의를 열었다. ISIS가 공항 보안 검색을 피할 수 있는 노트북 컴퓨터 폭탄을 만들었다는 확실한 정보가 입수되었기 때문이다.

트럼프 대통령은 러시아 대사, 미국 주재 대사와 노트북 폭탄이 초래할 위험에 대해 이야기를 나눴다.

이런 규제가 더 광범위하게 시행되면, 여행객은 노트북과 태블릿을 위탁 수화물 가방에 넣어야 한다. 이는 문제의 소지가 있다. 노트북이 들어있는 가방과 그 안의 노트북이 수화물을 노리는 도둑들의 표적이 될 수 있기 때문이다.

필자는 인도 뭄바이 비즈니스 출장 중 공항에서 수화물 가방을 잃어버리는 사고를 당했다. 나중에 가방을 찾아 호텔로 배달해줬지만, 플라스틱 선으로 잠겨 있었고, 비닐 랩이 덮여 있었다. 가방을 열자 카메라를 넣어 두었던 옷에 카메라 모양의 구멍이 뚫려 있었다. 수화물 가방 도둑이 한 짓이다.

비즈니스 여행객에 초래될 수 있는 끔찍한 문제이지만, 아무도 이야기 하지 않는 문제도 있다. 가까운 장래에 기내 휴대 가방이든 수화물 가방이든 노트북과 태블릿을 전면 휴대하지 못하게 될 수도 있다는 점이다.

현재 수 많은 승객들이 여러 전자 장치를 휴대하고 있다. 그런데 그 안의 리튬 이온 배터리로 인한 화재가 발생할 확률이 있다.

과거에는 대부분 기내에서 화재가 발생했으며, 승무원들이 소화기로 재빨리 화재를 진압했다. FAA에 따르면, 지난 해 기내 사용 또는 미사용 전자 장치로 초래된 기내 화재는 33건이다.
만약 수하물 화물칸에서 화재가 발생했다면 화재를 진압하지 못해 기체가 손상되고, 어쩌면 추락으로 이어졌을 지 모른다.

여객기 화물칸에는 할론 가스를 사용하는 화재 진압 시스템이 설치되어 있다. 그러나 이 시스템은 온도가 화씨 1,400도 이상인 배터리 화재와 함께 발생하는 프로세스인 열폭주에는 무용지물이다.
FAA는 2년 전 배터리 화재는 현재 항공기 화물칸에 이용되고 있는 화재 진압 시스템을 무력화 시키고, 그 결과 항공기에 재앙이 발생할 수 있다고 발표했다.

이런 이유로 미국의 항공기 승객들은 기내 휴대 가방에 배터리를 휴대해야 한다. 또 지난 해 UN ICAO(International Civil Aviation Organization)는 리튬 이온 배터리를 여객기 화물로 싣는 것을 금지했다.

화물칸에 수 많은 배터리 장치를 싣고 비행하는 것은 아주 위험하다. 항공기 화물칸의 수 많은 노트북과 태블릿이 사고를 초래할 경우, 두 전자 장치 반입이 금지될 것이다.

전면적으로 노트북 및 태블릿 기내 휴대 및 수화물 적재가 금지될 수도 있다. 거의 경고가 없는 상태에서 이런 조치가 시행될 가능성도 있다.

현재는 항공사가 정부 통보 후 96시간 이내에 반입 금지령을 적용하도록 되어 있다. 그러나 앞으로는 당면한 위협에 대한 정보가 입수되는 즉시 또는 사고 발생 즉시 반입 금지령이 적용될 수 있다.

4개월 전, 모가디슈-지부디 항공기에서 공항 보안 검색대를 무사 통과한 노트북 컴퓨터 폭탄을 폭발 시킨 사건이 발생했다. 비행기에 구멍이 뚫렸고, 폭파범이 그 구멍 밖으로 빨려 나갔던 사건이었다. 다행히 조종사가 비행기를 안전하게 착륙 시켰다. 이륙 중에 발생한 사건이었는데, 비행 고도였다면 탑승객 전원이 사망했을 것이다.

더 큰 테러 공격, 특히 유럽-미국 항공편 사고는 그 즉시 전세계적으로 노트북 및 태블릿 기내 휴대 및 수화물 적재를 금지시키게 될 것이다. 다시 말해 폭발 테러나 사고가 단 한 차례만 발생해도 전면적인 노트북 컴퓨터 반입(수화물 및 기내 휴대 가방) 금지 조치가 시행될 수 있다.

그런데 기업들은 여기에 전혀 준비가 되어 있지 않다.

앞으로 닥칠 스마트폰 위기
출장 및 스마트폰 관련 문제를 이야기하는 사람은 더 적다. 올해 초, 미국 출입국 당국 공무원들이 출장 여행객의 스마트폰을 검색할 수 있는 오랜 법적 권한과 권리를 갖고 있다는 사실이 알려졌다. 지난 2월, 미국에서 출생한 나사(NASA) 과학자 시드 비카나바르(Sidd Bikkannavar)는 남미 여행을 마치고 미국으로 돌아왔다. 그런데 미국 세관 및 국경보호국(CBP : Customs and Border Patrol) 소속 공무원이 휴대폰 잠금을 해제할 것을 요구했다.

원칙적으로 휴대폰을 풀 수 있는 PIN이나 암호 제공을 거부할 수 있다. 그러나 이 경우, 공무원은 해당자를 구금할 권한을 갖고 있다.

NASA의 비밀 정보, 더 나아가 국가 안보와 직결된 비밀 정보가 들어있는 정부 지급 휴대폰이었다. NASA는 비카나브라에게 휴대폰 암호를 알려주지 말라고 지시했었다. 그는 암호를 알려줬고, 공무원은 30분 간 자리를 비웠다. 비카나바르는 공무원이 어떤 정보를 빼냈는지, 그 정보를 가지고 무엇을 했는지 알지 못한다.

이후 존 캘리 국토안보부(DHS) 장관은 해외 방문객이 휴대폰 암호 및 소셜 미디어 계정 암호를 제공하도록 강제하는 조치를 검토 중이라고 말했다. 이 경우, 담당 공무원은 공개 게시물은 물론 비밀 게시물, 팔로워를 확인할 수 있다.

일부는 트럼프 정부가 스마트폰 잠금 해제에 공격적으로 접근하고 있다고 비난한다. 그러나 이런 입장은 2년 간 조금씩 발전을 했다. 국토안보부 전문가들은 테러 감시 대상 리스트가 효과적이지 못하다는 사실을 깨달었다. 더 효과적으로 악당들을 찾아낼 방법이 필요했다. 스마트폰에서 데이터를 추출하면 큰 도움이 될 것으로 판단했다. 또 공항과 국경 검문소에서 신속하게 데이터를 추출하기 위한 기술 도구들을 모았다.

노트북 금지 및 반입과 함께, 국경 검문 기관들의 스마트폰 데이터 추출과 비밀번호 강제 정책 및 관행도 급변할 수 있다.

기업이 이해해야 할 것
기업은 비즈니스 출장에 미치는 영향 두 가지를 이해 및 고려해야 한다.

첫째, 국경 검문검색에는 부당한 수색과 압수를 금지한 수정 헌법 제 4조가 적용되지 않는다. 정부는 영장이나 타당한 사유 없이도 출입국 비즈니스 여행객 스마트폰에 든 기업 데이터를 액세스, 검색할 수 있다. 미국 출입국 당국 공무원은 범죄 혐의, 수사 진행, 타당한 의심에 상관 없이 스마트폰의 데이터를 빼낼 수 있다. DHS 수중의 데이터가 안전한지 여부도 알 수 없다. 지난 몇 년 동안 수 많은 정부 기관에서 해킹 및 데이터 도난 사고 및 사건이 발생했었다.

둘째, 미국이 하는 일을 다른 국가들도 따라 할 수 있다. 예를 들어, 현재 모바일 장치에서 데이터를 추출하는 도구를 쉽게 구입 또는 입수할 수 있다. 국가가 대테러 활동이라는 명분 아래 정부 주도의 산업 스파이 활동의 일환으로 특정 국가의 기업 비밀을 훔칠 수도 있다는 이야기이다.

현재 노트북 컴퓨터 반입 금지 및 스마트폰 액세스에 대한 대부분의 언론 보도는 항공 산업에 초래될 혼란, 여행 취소, 개인 프라이버시 침해에 초점을 맞추고 있다. 그러나 이런 문제는 기업 데이터에 초래될 위험에 비교하면 아무 것도 아니다.

체계적인 계획이 수립되어 있지 않으면 임직원 스스로 해결책을 마련해야 한다. 이는 안전하지 못할 확률이 높다. 쉽게 침해 당할 수 있는 USB 플래시 드라이브와 하드 드라이브를 휴대할 것이다. 노트북 컴퓨터는 집에 놓아두고, 해외에서 안전하지 못한 퍼블릭 터미널(공용 장치)을 이용할 것이다. 또는 편의를 위해 협력을 할 것이다. 공항에서 노트북을 넘겨주고, 자발적으로 스마트폰 잠금을 풀거나, 암호를 제공할 것이라는 의미이다.

대책 마련이 시급
이 칼럼을 통해 전달하고 싶은 것은 급변하는 항공편 여행 정책 및 규정이 기업 데이터에 초래할 위험을 극복하기 위해 즉시 행동을 해야 한다는 것이다.

다음 문제를 다뤄야 한다.
• 긴급하게 노트북 컴퓨터 반입 및 적재 금지 조치가 내려질 때를 대비한 계획을 수립해야 한다. 클라우드 기반 크롬북 같은 노트북 컴퓨터를 휴대하는 방법을 예로 들 수 있다. 장치에 저장되어 있지 않은 기업 데이터를 안전하게 이용할 수 있는 방법이다. 이는 반입 금지 조치가 내려지기 전에도 유용한 역할을 한다.

• 스마트폰을 중심으로 사용자는 물론 어떤 사람도 핵심 데이터에 액세스 하지 못하도록 만들거나, 정보를 침해하지 못하도록 만드는 정책을 수립해야 한다. '출입국 모드', '해외 출장 모드'라는 표현에 익숙해져야 한다. '에어플레인 모드'에 장치 데이터 액세스를 차단하거나, 데이터를 삭제하는 기능을 도입하는 방법을 예로 들 수 있다. 또는 이제 막 출현하기 시작한 서드파티 제품이나 서비스를 제공하는 방법도 있다. 지금 당장 해결책을 마련해야 한다. 비밀번호나 PIN 코드를 제공하지 않을 경우 구금될 수 있다. 그러나 해당인 스스로 액세스를 할 수 없다면 계속 구금을 할 수 없다.

이는 소프트웨어 구입, 개발, 추가 교육이 필요한 문제이다. 시간이 많지 않다. 규칙이 바뀐다면, 빠르게 바뀔 것이기 때문이다. 그러면 데이터가 위험에 노출된다. 대비를 해야 한다. editor@itworld.co.kr