- 이번 주, 영국은 전 세계를 위험에 빠뜨렸음
- 2016년 ’조사 권한법(Investigatory Powers Act)’이 통과되어 영국의 전자 감시 권한이 크게 확대됨
- 최근, 영국은 Apple에 iCloud에 대한 암호화 백도어를 삽입하도록 명령했으며, 공개적으로 이를 밝히지 못하도록 했음
- Apple은 정부의 백도어 요청을 거부해왔으나, 이번에는 영국 사용자를 위한 iCloud 암호화를 완전히 제거하기로 결정
고급 데이터 보호
- 암호화는 데이터를 인가되지 않은 사람들이 읽을 수 없도록 만드는 기술임
- 대부분의 현대 기기와 인터넷 트래픽은 암호화되어 있지만, 서비스 제공자는 여전히 접근할 수 있음
- 일부 제공자는 ’종단 간 암호화(E2EE)’를 구현하여 데이터가 사용자 기기에서만 접근 가능하도록 함
- Apple의 ‘고급 데이터 보호(ADP)’ 프로그램은 2022년에 출시되어, 이메일, 연락처, 캘린더를 제외한 거의 모든 iCloud 데이터를 E2EE로 암호화
- 그러나 영국의 요청으로 인해, Apple은 영국에서 ADP를 제거했음
백도어 & Salt Typhoon
-
백도어란?
- 백도어는 암호화 또는 소프트웨어 내에서 개발자가 직접 접근할 수 있도록 만든 숨겨진 경로를 의미함
- 보통 사용자 동의 없이 조용히 작동하며, 이는 자발적으로 제공하는 기술 지원 접근과는 다름
-
백도어는 '좋은 사람들'만 사용할 수 있을까?
- 정치인과 정부 관계자들은 종종 백도어를 "선한 목적"을 위해 필요하다고 주장하지만, 현실적으로 불가능한 개념임
- 물리적 백도어와 마찬가지로, 소프트웨어 백도어도 악의적인 침입자를 막을 수 없음
- 악성 행위자는 소프트웨어 취약점을 찾거나 피싱 공격을 통해 사용자 계정을 탈취하는 등의 방법으로 우회 가능
-
백도어는 누구나 악용할 수 있음
- 내부 위협(insider threat)은 실제로 존재하며, 신뢰할 수 없는 직원이 백도어를 남용할 가능성이 있음
- 예를 들어, Yahoo의 한 엔지니어는 사용자 계정을 해킹하여 개인 사진을 훔친 사건이 있었음
-
Salt Typhoon 사건 (2024년 미국 통신망 해킹 사건)
- 2024년, 중국 정부가 미국 및 여러 국가의 통신망을 해킹한 사건이 밝혀짐
- 미국 내 최소 9개의 주요 통신사(Verizon, T-Mobile, AT&T 등)가 공격을 받았으며, 이 해킹에는 법 집행기관을 위한 백도어가 악용됨
- 이 백도어는 원래 법원의 승인을 받은 감청을 위해 설계된 것이었지만, 결국 중국 정부 해커들에게도 똑같이 사용됨
- 이 과정에서 도널드 트럼프 대통령, 카말라 해리스 부통령 등 고위 관리들의 통화 기록 및 메시지가 유출됨
-
'선한 사람들만 사용할 백도어'라는 개념은 허구
- Salt Typhoon 사건은 백도어가 악용될 수밖에 없다는 결정적인 증거임
- 정치인들이 '백도어는 안전하다'고 주장하는 것은 현실적으로 유니콘과 오크가 존재한다고 말하는 것과 다름없음
더 넓은 맥락에서 본 백도어 문제
- 영국이 Apple에 백도어를 강요한 것이 잘못되었음을 인정하더라도, 이는 단순히 영국 사용자들에게만 영향을 미치는 것이 아님
- 이번 사건은 단순한 개별 사례가 아니라, 더 큰 패턴 속에서 이해해야 함
-
PGP와 암호화 전쟁(Crypto Wars)
- PGP(Pretty Good Privacy)는 1991년 출시 이후 미국 정부로부터 무기 취급을 받으며 규제 대상이 되었음
- 법정에서 "코드는 표현의 자유"라는 판결이 내려지면서, 암호화 기술이 널리 확산될 수 있었음
- 이 판결 덕분에 오늘날 TLS, AES 등의 기술이 보편화되었으며, 안전한 온라인 쇼핑과 데이터 저장이 가능해짐
- 이 사건은 EFF(Electronic Frontier Foundation)를 유명하게 만든 계기였으며, 당시 법률 대리인은 현재 EFF의 대표 Cindy Cohn이었음
-
암호화 전쟁은 계속되고 있음
- 미국에서도 백도어 도입 논란은 계속됨
- 트럼프 행정부 당시 법무장관 William Barr는 강력히 백도어를 지지
- 바이든 행정부도 2022년 "Kids Online Safety Act"로 암호화 약화를 간접적으로 지원
- EARN IT Act, STOP CSAM Act 등 더 강력한 규제 법안에 대한 바이든의 입장은 불분명
-
유럽에서도 디지털 안전 위협 증가
-
Chat Control: 유럽에서는 메신저 앱(WhatsApp 등)에서 아동 성착취 자료(CSAM) 탐지를 의무화하는 법안이 제안됨
- Apple도 과거 유사한 시스템을 도입하려 했으나, 기술적 결함과 남용 가능성으로 인해 철회함
- 그러나 이러한 시도는 계속 반복되며 부활하고 있음
- 영국 정부는 #NoPlaceToHide 캠페인을 통해 암호화 사용자를 범죄자로 묘사하려는 시도까지 함
- 온라인 익명성을 없애려는 움직임, 광범위한 소셜 미디어 감시 프로그램 등 프라이버시 침해 정책이 전 세계적으로 확산 중
- Apple에 대한 영국의 요구는 단순히 자국민을 위한 것이 아니라, 글로벌 디지털 프라이버시에 대한 또 하나의 공격이자 성공적인 사례가 될 가능성이 있음
대응 방안
- Salt Typhoon과 데이터 유출 사례를 고려할 때, 백도어를 추진하는 사람들은 기술적 이해가 부족하거나, 또는 고의적으로 이를 강행하려는 의도를 가진 것으로 보임
- 영국 정부가 암호화를 위협으로 간주하고 이를 약화시키려는 것은 결국 사용자 데이터를 취약하게 만들며, 이는 다른 국가들에게도 비슷한 시도를 할 명분을 제공함
- Apple의 영국 시장 철수가 법적 대응을 위한 전략일 수 있다는 추측이 있으나, 신뢰할 만한 근거는 없음
- 만약 Apple이 법적 싸움을 벌여 승리한다면, 이는 프라이버시 보호의 중요한 전환점이 될 것임
- 과거 PGP 암호화와 Phil Zimmermann 사례처럼, 법적 승리가 디지털 프라이버시 보호를 위한 선례가 될 수 있음
- 한 국가(특히 강대국)의 조치는 다른 국가들에게도 영향을 미치며, 보통은 부정적인 방향으로 작용함
- 사용자들이 취할 수 있는 조치
- iCloud 사용 중단 :
- Apple의 Advanced Data Protection(ADP)이 여전히 일부 국가에서는 제공되지만, 클라우드에 모든 데이터를 맡기는 것은 신뢰할 수 없는 선택임
- 사진, 캘린더, 노트, 드라이브 저장소 등은 보다 신뢰할 수 있는 대체 서비스로 옮길 수 있음
- 프라이버시와 보안을 우선하는 대체 서비스 목록
- 쉽게 복제가 불가능 가능한 데이터는 기기 내 저장 또는 사용하지 않기
- 건강 데이터, 알림, 디지털 지갑과 같은 서비스는 기기에 저장하거나 아예 사용하지 않는 것도 고려할 만함
- Apple Wallet의 편리함은 인정하지만, 현금 사용이 예산 관리에 더 효과적이라는 연구 결과도 있음
- 수면 데이터 분석 없이도, 기본적인 수면 위생을 지키는 것만으로 충분한 경우가 많음
- 정치적 참여
- 프라이버시 보호 법률은 데이터 보호의 중요한 방어막이 될 수 있음 (예: GDPR이 적용되는 EU에서는 개인정보 검색 사이트가 거의 존재하지 않음)
- 영국 시민이라면 의원에게 연락하여, Apple의 Advanced Data Protection 관련 “기술적 역량 공지(technical capability notice)“에 반대하는 의견을 전달해야 함
- 영국 기반 단체(Big Brother Watch, Privacy International 등)를 통해 지원받을 수도 있음
결론
- 프라이버시를 중시하는 사람들 중에서 범죄를 옹호하는 이는 없음
- 하지만 소수의 범죄자를 막기 위해 시민의 자유를 희생하는 것은 균형을 잃은 접근 방식임
- 많은 프라이버시 침해 정책이 "아이들을 보호한다"는 명목으로 추진되지만, 이는 진정한 보호가 아님
- 어린이와 청소년이 자유롭게 성장하고 실수를 통해 배우는 환경이 필요함
- 디지털 환경에서의 실수가 영원히 남아 개인의 자유를 억압하는 세상이 되어서는 안 됨
- 정책이 아니라 기술적 보호 조치가 실질적인 해결책이어야 함
- 암호화 금지는 보호가 아니라 오히려 위험을 초래함
- 영국 정부의 프라이버시 침해에 대응하는 방법:
- 영국 법률이 미치지 않는 안전한 서비스로 이동
- 유권자로서 정부에 반대 의견 전달