애플 대 FBI: 암호화 해제, 인권의 ‘판도라의 상자’ 여는 것
미국 연방수사국(FBI)이 거대 IT기업 애플(Apple)에 아이폰(iPhone)의 암호화 해제 프로그램을 제공하라고 명령한 것에 대해 애플이 소송을 제기한 가운데, 국제앰네스티는 22일 공개한 브리핑을 통해 온라인 통신 보안을 해제하려는 정부의 공격으로 전세계 인권이 위협받고 있다고 밝혔다.
보안장치와 인권에 대한 공식적인 입장을 처음으로 밝힌 국제앰네스티는 이번 브리핑 <암호화, 인권의 문제>를 통해, 모든 사람은 사생활의 자유와 표현의 자유를 보호받기 위해 어디서든 반드시 통신 기록과 개인정보를 암호화할 수 있어야 한다고 했다.
“암호화 기술을 금지하는 것은 봉투와 커튼을 금지하는 것과 같이, 사생활을 사생활로 간직하기 위해 필요한 기본적인 수단을 박탈하는 것”
– 셰리프 엘세이드 알리(Sherif Elsayed-Ali), 국제앰네스티 글로벌이슈 부국장
셰리프 엘세이드 알리(Sherif Elsayed-Ali) 국제앰네스티 글로벌이슈 부국장은 “암호화 기술은 디지털 시대에 사생활의 자유와 표현의 자유가 존재하기 위한 가장 기본적인 전제 조건이다. 암호화 기술을 금지하는 것은 봉투와 커튼을 금지하는 것과 같이, 사생활을 사생활로 간직하기 위해 필요한 기본적인 수단을 박탈하는 것”이라며 “암호화 기술을 해제하려는 정부는 판도라의 상자를 열기에 앞서 재차 숙고해야 할 것이다. 온라인 사생활의 자유를 약화시킨다면 자유사회에 엄청난 결과를 초래할 수 있으며, 특히 인권활동가와 기자 등 지도층에 책임을 물을 사람들이 큰 피해를 입을 것”이라고 말했다.
‘백도어(Backdoor)’ 요구, 인권 침해 소지 있어
이번 브리핑에서는 암호화 프로그램에 ‘백도어’(뒷문)를 설치하게 하려는 정부의 시도에 대해 경고하고 있다. 백도어는 프로그램 사용자 누구든 통신기록과 개인정보의 보안을 무차별적으로 약화시키므로 이는 국제인권법 위반에 해당한다는 것이다.
이번 애플과 FBI의 법적 공방에서, 문제가 되는 휴대전화의 데이터에 접근하려는 것은 정당한 시도일 수 있다. 그러나 문제가 되는 것은 데이터에 접근하는 방법이다. 기업은 보안장치를 해제하기 위해 프로그램을 수정해야 하는데, 그럴 경우 미국 정부는 물론 잠재적으로 다른나라의 정부도 보안장치를 약화시키거나 피할 수 있도록 프로그램을 수정할 것을 기업에 강제할 위험이 있다.
이러한 ‘백도어’는 온라인 사생활을 위협할 뿐만 아니라 자유로운 표현의 활동을 경직시키고, 신용카드 정보를 빼돌리려는 범죄자 등의 보안 위협에 사용자의 온라인 통신기록과 개인정보를 노출시킬 수도 있다.
“미국 정부가 세계 최대 IT기업들을 상대로 제품의 보안을 약화시키도록 강요한다면, 세계 각국 정부 역시 비슷한 수순을 따라 사생활 보호 기술을 개발하는 중소기업 수백 곳에 강압적인 요구를 하게 될 것”
– 셰리프 엘세이드 알리
셰리프 엘세이드 알리 부국장은 “애플의 소송은 암호화 논란에서 무엇이 중요한 것인가를 보여준다. 중요한 것은 휴대전화 한 대의 문제가 아니라, 수백만 명의 사생활을 지키는 프로그램의 보안을 정부가 좌지우지할 수 있다는 것이다”라고 말했다.
이어 “정부가 보안 ’백도어’를 열게 되면 휴대전화를 해킹하려는 사이버 범죄자들과, 비판세력을 사찰하고 억압하려는 세계 각국 정부에게도 기회가 열리게 될 위험이 있다”며 “미국 정부가 세계 최대 IT기업들을 상대로 제품의 보안을 약화시키도록 강요한다면, 세계 각국 정부 역시 비슷한 수순을 따라 사생활 보호 기술을 개발하는 중소기업 수백 곳에 강압적인 요구를 하게 될 것”이라고 말했다.
위협받는 암호화 장치
국제앰네스티는 온라인 검열과 감시로 인권에 대한 위협이 증가하는 만큼, 암호화 장치를 약화시키는 것은 전세계의 정부에 맞서는 인권활동가, 부패를 폭로하는 기자, 힘있는 정부에 책임을 추궁하려는 변호사 등이 자유롭게 소통하고 인터넷을 사용할 역량을 위협할 수 있다고 지적했다.
쿠바, 파키스탄, 인도 등 다수의 국가는 이미 통신 암호화 기술자와 보안 수준을 제한하고 있다. 러시아, 모로코, 카자흐스탄, 파키스탄, 콜롬비아 등은 아예 암호화 적용을 금지하기까지 했다.
국제앰네스티는 브리핑을 통해 암호화 기술을 제한할 수 있는 제한적인 상황을 제시했다. 정당한 목적을 달성하기 위해 필요한 경우, 부과된 목적이 온당한 경우 등이다.
국제앰네스티는 각국 정부에 암호화를 막으려 하기보다는 암호화 장치 및 서비스 사용의 편의성을 높이는 등 온라인상의 의사소통을 적극적으로 장려하고 보호할 것을 촉구한다. 이는 모든 사람이 해외, 국제단체, 기업, 개인의 비인가 접속이나 개인정보 감시 및 유출로부터 스스로 보호할 수 있도록 해야하기 위해서이다.
“암호화를 금지하거나 약화시킴으로써 이어질 결과는 자명하다. 모두가 불안해지고 사생활을 침해당하는 것이다.”
– 셰리프 엘세이드 알리
국제앰네스티는 또한 기업에는 개인정보 보호를 위해 적절한 수준의 암호화 기술을 적용할 것을 촉구한다.
셰리프 엘세이드 알리 부국장은 “암호화를 금지하거나 약화시킴으로써 이어질 결과는 자명하다. 모두가 불안해지고 사생활을 침해당하는 것이다. 일부 정부는 표면상으로는 보안을 이유로 암호화를 제한하려 하지만, 이는 암호화 수준이 약화될 경우 온라인 보안에 끼치게 될 심각한 영향에 대해서는 고려하지 않은 것으로, 근시안적이고 잘못된 조치”라고 말했다.
Apple v FBI: Undermining encryption opens a ‘Pandora’s Box’ for human rights
Government attacks on the encryption of online communication threaten human rights around the world, warned Amnesty International in a briefing published today as tech giant Apple challenges the US Federal Bureau of Investigation (FBI) in court over an order to provide software to bypass iPhone encryption.
The briefing, Encryption: A Matter of Human Rights, which is Amnesty International’s first official stance on encryption and human rights, says that people everywhere should be able to encrypt their communications and personal data as an essential protection of their rights to privacy and free speech.
“Encryption is a basic prerequisite for privacy and free speech in the digital age. Banning encryption is like banning envelopes and curtains. It takes away a basic tool for keeping your private life private,” said Sherif Elsayed-Ali, Amnesty International’s Deputy Director for Global Issues.
“Governments trying to undermine encryption should think twice before they open this Pandora’s Box. Weakening privacy online could have disastrous consequences for free societies, particularly for the human rights activists and journalists who hold our leaders to account.”
Demanding ‘backdoors’ can violate human rights
The briefing warns against attempts to make companies create a “backdoor” in encryption software. It says these measures violate international human rights law, because they indiscriminately undermine the security of the communications and private data of anyone using the software.
In the Apple v FBI case, seeking to access the data on the particular phone in question may be legitimate. However, it is the method of accessing it – which would require a company to customize its software in order to defeat its security features – that risks setting the stage for the US government, and potentially other governments, to compel technology companies to modify their products to weaken or otherwise circumvent encryption.
Such “backdoors” not only threaten online privacy, but can also have a chilling effect on the exercise of free expression and expose online communications and individuals’ data to security threats such as criminals stealing credit card data.
“The Apple case shows what is at stake in the encryption debate. It is not just about one phone, but whether governments should be able to dictate the security of software that protects the privacy of millions of people,” said Sherif Elsayed-Ali.
“Opening a “backdoor” in security for governments risks opening the door to both cyber criminals who want to hack your phone and governments around the world who want to spy on and repress critics.”
“If the US authorities force one of the world’s biggest tech companies to make its products less secure, the danger is that governments around the world will follow suit and demand similarly intrusive powers from the hundreds of smaller companies developing privacy technology.”
Encryption under threat
With online censorship and surveillance a growing threat to human rights, undermining encryption could threaten the ability of people around the world to freely communicate and use the internet, such as human rights activists who challenge the authorities, journalists who uncover corruption, and lawyers holding powerful governments to account, Amnesty International said.
Several countries already limit who can encrypt their communication or the strength of encryption allowed, such as Cuba, Pakistan and India. Others, such as Russia, Morocco, Kazakhstan, Pakistan and Colombia, sometimes go as far as banning it altogether.
Amnesty International’s briefing sets out limited circumstances in which encryption can be restricted, such as when restrictions are necessary to achieve a legitimate end, and are proportionate to the aim for which they are imposed.
Instead of blocking encryption, Amnesty International is calling on governments to actively promote and protect online communications, including by facilitating the use of encryption tools and services, so that everyone has to means to defend themselves from unauthorized access to, theft or monitoring of their personal information, be it from foreign states, international organisations, corporations or private individuals.
Amnesty International is also calling on companies to provide an adequate level of encryption to protect their personal data.
“Banning or undermining encryption will have one clear result: making us all less secure and undermining our privacy. Some governments are trying to limit encryption, ostensibly for security reasons, but this fails to take into account the serious ramifications that weakening encryption would have for online security. That is short-sighted and misguided,” said Sherif Elsayed-Ali.