영국은 전 세계의 안전을 약화시키고 있다

2 weeks ago 7

이번 주, 영국은 전 세계를 위험에 빠뜨렸음
2016년 ’조사 권한법(Investigatory Powers Act)’이 통과되어 영국의 전자 감시 권한이 크게 확대됨
최근, 영국은 Apple에 iCloud에 대한 암호화 백도어를 삽입하도록 명령했으며, 공개적으로 이를 밝히지 못하도록 했음
Apple은 정부의 백도어 요청을 거부해왔으나, 이번에는 영국 사용자를 위한 iCloud 암호화를 완전히 제거하기로 결정

고급 데이터 보호

암호화는 데이터를 인가되지 않은 사람들이 읽을 수 없도록 만드는 기술임
대부분의 현대 기기와 인터넷 트래픽은 암호화되어 있지만, 서비스 제공자는 여전히 접근할 수 있음
일부 제공자는 ’종단 간 암호화(E2EE)’를 구현하여 데이터가 사용자 기기에서만 접근 가능하도록 함
Apple의 ‘고급 데이터 보호(ADP)’ 프로그램은 2022년에 출시되어, 이메일, 연락처, 캘린더를 제외한 거의 모든 iCloud 데이터를 E2EE로 암호화
그러나 영국의 요청으로 인해, Apple은 영국에서 ADP를 제거했음

백도어 & Salt Typhoon

백도어란?
- 백도어는 암호화 또는 소프트웨어 내에서 개발자가 직접 접근할 수 있도록 만든 숨겨진 경로를 의미함
- 보통 사용자 동의 없이 조용히 작동하며, 이는 자발적으로 제공하는 기술 지원 접근과는 다름
백도어는 '좋은 사람들'만 사용할 수 있을까?
- 정치인과 정부 관계자들은 종종 백도어를 "선한 목적"을 위해 필요하다고 주장하지만, 현실적으로 불가능한 개념임
- 물리적 백도어와 마찬가지로, 소프트웨어 백도어도 악의적인 침입자를 막을 수 없음
- 악성 행위자는 소프트웨어 취약점을 찾거나 피싱 공격을 통해 사용자 계정을 탈취하는 등의 방법으로 우회 가능
백도어는 누구나 악용할 수 있음
- 내부 위협(insider threat)은 실제로 존재하며, 신뢰할 수 없는 직원이 백도어를 남용할 가능성이 있음
- 예를 들어, Yahoo의 한 엔지니어는 사용자 계정을 해킹하여 개인 사진을 훔친 사건이 있었음
Salt Typhoon 사건 (2024년 미국 통신망 해킹 사건)
- 2024년, 중국 정부가 미국 및 여러 국가의 통신망을 해킹한 사건이 밝혀짐
- 미국 내 최소 9개의 주요 통신사(Verizon, T-Mobile, AT&T 등)가 공격을 받았으며, 이 해킹에는 법 집행기관을 위한 백도어가 악용됨
- 이 백도어는 원래 법원의 승인을 받은 감청을 위해 설계된 것이었지만, 결국 중국 정부 해커들에게도 똑같이 사용됨
- 이 과정에서 도널드 트럼프 대통령, 카말라 해리스 부통령 등 고위 관리들의 통화 기록 및 메시지가 유출됨
'선한 사람들만 사용할 백도어'라는 개념은 허구
- Salt Typhoon 사건은 백도어가 악용될 수밖에 없다는 결정적인 증거임
- 정치인들이 '백도어는 안전하다'고 주장하는 것은 현실적으로 유니콘과 오크가 존재한다고 말하는 것과 다름없음

더 넓은 맥락에서 본 백도어 문제

영국이 Apple에 백도어를 강요한 것이 잘못되었음을 인정하더라도, 이는 단순히 영국 사용자들에게만 영향을 미치는 것이 아님
이번 사건은 단순한 개별 사례가 아니라, 더 큰 패턴 속에서 이해해야 함
PGP와 암호화 전쟁(Crypto Wars)
- PGP(Pretty Good Privacy)는 1991년 출시 이후 미국 정부로부터 무기 취급을 받으며 규제 대상이 되었음
- 법정에서 "코드는 표현의 자유"라는 판결이 내려지면서, 암호화 기술이 널리 확산될 수 있었음
- 이 판결 덕분에 오늘날 TLS, AES 등의 기술이 보편화되었으며, 안전한 온라인 쇼핑과 데이터 저장이 가능해짐
- 이 사건은 EFF(Electronic Frontier Foundation)를 유명하게 만든 계기였으며, 당시 법률 대리인은 현재 EFF의 대표 Cindy Cohn이었음
암호화 전쟁은 계속되고 있음
- 미국에서도 백도어 도입 논란은 계속됨
  - 트럼프 행정부 당시 법무장관 William Barr는 강력히 백도어를 지지
  - 바이든 행정부도 2022년 "Kids Online Safety Act"로 암호화 약화를 간접적으로 지원
  - EARN IT Act, STOP CSAM Act 등 더 강력한 규제 법안에 대한 바이든의 입장은 불분명
유럽에서도 디지털 안전 위협 증가
- Chat Control: 유럽에서는 메신저 앱(WhatsApp 등)에서 아동 성착취 자료(CSAM) 탐지를 의무화하는 법안이 제안됨
- Apple도 과거 유사한 시스템을 도입하려 했으나, 기술적 결함과 남용 가능성으로 인해 철회함
- 그러나 이러한 시도는 계속 반복되며 부활하고 있음
영국 정부는 #NoPlaceToHide 캠페인을 통해 암호화 사용자를 범죄자로 묘사하려는 시도까지 함
- 온라인 익명성을 없애려는 움직임, 광범위한 소셜 미디어 감시 프로그램 등 프라이버시 침해 정책이 전 세계적으로 확산 중
- Apple에 대한 영국의 요구는 단순히 자국민을 위한 것이 아니라, 글로벌 디지털 프라이버시에 대한 또 하나의 공격이자 성공적인 사례가 될 가능성이 있음

대응 방안

Salt Typhoon과 데이터 유출 사례를 고려할 때, 백도어를 추진하는 사람들은 기술적 이해가 부족하거나, 또는 고의적으로 이를 강행하려는 의도를 가진 것으로 보임
- 영국 정부가 암호화를 위협으로 간주하고 이를 약화시키려는 것은 결국 사용자 데이터를 취약하게 만들며, 이는 다른 국가들에게도 비슷한 시도를 할 명분을 제공함
Apple의 영국 시장 철수가 법적 대응을 위한 전략일 수 있다는 추측이 있으나, 신뢰할 만한 근거는 없음
- 만약 Apple이 법적 싸움을 벌여 승리한다면, 이는 프라이버시 보호의 중요한 전환점이 될 것임
- 과거 PGP 암호화와 Phil Zimmermann 사례처럼, 법적 승리가 디지털 프라이버시 보호를 위한 선례가 될 수 있음
- 한 국가(특히 강대국)의 조치는 다른 국가들에게도 영향을 미치며, 보통은 부정적인 방향으로 작용함
사용자들이 취할 수 있는 조치
- iCloud 사용 중단 :
  - Apple의 Advanced Data Protection(ADP)이 여전히 일부 국가에서는 제공되지만, 클라우드에 모든 데이터를 맡기는 것은 신뢰할 수 없는 선택임
  - 사진, 캘린더, 노트, 드라이브 저장소 등은 보다 신뢰할 수 있는 대체 서비스로 옮길 수 있음
  - 프라이버시와 보안을 우선하는 대체 서비스 목록
- 쉽게 복제가 불가능 가능한 데이터는 기기 내 저장 또는 사용하지 않기
  - 건강 데이터, 알림, 디지털 지갑과 같은 서비스는 기기에 저장하거나 아예 사용하지 않는 것도 고려할 만함
  - Apple Wallet의 편리함은 인정하지만, 현금 사용이 예산 관리에 더 효과적이라는 연구 결과도 있음
  - 수면 데이터 분석 없이도, 기본적인 수면 위생을 지키는 것만으로 충분한 경우가 많음
- 정치적 참여
  - 프라이버시 보호 법률은 데이터 보호의 중요한 방어막이 될 수 있음 (예: GDPR이 적용되는 EU에서는 개인정보 검색 사이트가 거의 존재하지 않음)
  - 영국 시민이라면 의원에게 연락하여, Apple의 Advanced Data Protection 관련 “기술적 역량 공지(technical capability notice)“에 반대하는 의견을 전달해야 함
  - 영국 기반 단체(Big Brother Watch, Privacy International 등)를 통해 지원받을 수도 있음

결론

프라이버시를 중시하는 사람들 중에서 범죄를 옹호하는 이는 없음
하지만 소수의 범죄자를 막기 위해 시민의 자유를 희생하는 것은 균형을 잃은 접근 방식임
많은 프라이버시 침해 정책이 "아이들을 보호한다"는 명목으로 추진되지만, 이는 진정한 보호가 아님
- 어린이와 청소년이 자유롭게 성장하고 실수를 통해 배우는 환경이 필요함
- 디지털 환경에서의 실수가 영원히 남아 개인의 자유를 억압하는 세상이 되어서는 안 됨
- 정책이 아니라 기술적 보호 조치가 실질적인 해결책이어야 함
암호화 금지는 보호가 아니라 오히려 위험을 초래함
영국 정부의 프라이버시 침해에 대응하는 방법:
- 영국 법률이 미치지 않는 안전한 서비스로 이동
- 유권자로서 정부에 반대 의견 전달