[대담 후기] 인터넷의 아버지들, 인터넷의 지금과 미래를 말하다 (5/15, 공공그라운드)
익명 (미확인) 님|화, 2018/05/29- 17:33
인터넷의 아버지들,
인터넷의 지금과 미래를 말하다
글 | 안상욱
인터넷의 현재와 미래: 빈트서프, 전길남 박사와의 대담
○ 일시: 2018. 5. 15(화) 저녁 7:00 ~ 8:30
○ 장소: 대학로 공공그라운드 지하 1층 001스테이지
○ 주최: 사단법인 코드, 오픈넷
○ 후원: 구글 코리아, 메디아티
5월15일 스승의 날 저녁 7시 서울시 혜화동 공공그라운드에서 뜻깊은 행사가 열렸다. 100명이 들어올 수 있는 001스테이지가 가득찼다. 사단법인 코드(CODE)와 오픈넷이 인터넷의 아버지로 불리는 두 거장을 한 자리에 초청했기 때문이다.
TCP-IP 프로토콜을 설계해 인터넷의 아버지로 불리는 빈트 서프(Vint Cerf) 구글 부사장과 미국 다음, 세계에서 두 번째로 한국에서 인터넷을 연결한 한국 인터넷의 아버지 전길남 박사가 10년 만에 한국에서 만났다. 인터넷의 탄생에 크게 기여한 두 거장은 지금 인터넷에서 벌어지는 여러 현상을 어떻게 보는지, 앞으로 어떤 변화를 기대하는지 신중하면서도 과감히 논했다. 이 자리에는 김기창 고려대학교 법학전문대학원 교수와 문수복 한국과학기술원(KAIST) 전산학과 교수도 함께 해 논의를 이끌었다.
“우리 모두도 인터넷의 일부. 책임감 나누고 스스로 해결책이 되자”
빈트 서프 부사장은 모두 발언에서 “올해 말이면 전 세계 인구 50%가 인터넷을 사용하게 된다”라며 “인터넷이 확산되며 좋은 점도 있지만 부작용도 있다”라고 지적했다.
그는 대담을 참관하는 이도 “사용자이자 콘텐츠를 생산∙유포∙전달하며 하드웨어(HW)와 소프트웨어(SW)를 만드는 사람으로서 인터넷을 구성하는 사람이기에 우리 모두에게 책임이 있다고 생각한다”라며 “우리가 이 자리에서 모든 해결책을 마련할 수는 없지만… 여러분도 해결책의 일부가 될 수 있다는 사실을 알고 토론을 마치길 바란다”라며 참관객을 독려했다.
블록체인, 신중히 접근해야
첫 번째 의제는 지난해부터 한국 IT업계에서 가장 큰 이슈가 된 블록체인(Blockchain)이었다. 빈트 서프 부사장과 전길남 박사 모두 요즘 블록체인이 과도하게 주목받는다고 비판하며 신중히 접근해야 한다고 강조했다.
빈트 서프 부사장은 “블록체인은 기술적 한계가 확실하다고 생각한다”라며 “블록체인이 대중이 생각하듯 대단한, 지금껏 존재하지 않던 마술 같은 기술은 아니다”라고 말했다.
“블록체인을 분산 데이터베이스(DB) 정도로 볼 수 있습니다. 기존에도 분산 DB는 많습니다. 구글도 구글 문서도구에서 활용하죠. 그래서 데이터를 기화를 유지하면서도 여러 복제본을 만들어 동시에 여러 사용자가 (같은 문서를) 사용할 수 있습니다. 제 생각에 블록체인은 마케팅 쪽에서 나온 용어가 아닌가 싶어요. 블록체인 기술도 그것의 유용성도 정확히 이해 못하는 것 같아요.”
전길남 박사 역시 “블록체인 기술이 어떤 문제를 갖고 있는지도 모른다”라며 “잠재력을 지녔다 정도로 얘기해야 할 것 같다”라며 신중한 입장을 밝혔다. 전 박사는 블록체인 기술을 세상에 처음 선 보인 사토시 나카모토의 논문을 읽고 느낀 블록체인의 실용적 한계를 지적했다.
“제가 사토시 논문을 보고 이 사람은 이론 차원은 잘 하는데 업계에서 일하는 개발자는 아닌 것 같다고 느꼈습니다. 그래서 어떤 문제가 생기냐면 블록체인 기술은 굉장히 안정적인데, 세상과 접촉(interface)하는 부분은 (보안이) 안 되는 겁니다. 지난 2~3년 사이 암호 화폐 관련 사고 보니 그래요. 실전 개발자라면 이런 쪽을 신경 쓸 텐데 사토시는 그 쪽 경험은 별로 없는 사람 같아요.”
인터넷이 제2의 인터넷 혹은 가치의 인터넷으로 발전할 가능성이 보이냐는 조산구 코자자 대표 질문에 전길남 박사는 블록체인과 인터넷은 층위가 잘못된 비교라고 답했다. 전 박사는 블록체인은 인터넷이 아니라 웹에 비교해야 한다고 설명했다. 인터넷 위에서 작동하는 인프라 스트럭쳐라는 얘기다. 전 박사는 5~10년 뒤에야 블록체인의 가능성을 확인할 수 있을 것이라며 결론을 미뤘다.
빈트 서브 부사장은 블록체인 기술 자체보다 어떤 기능을 하는지를 봐야 한다고 말했다. 거래를 안정적으로 기록하는 기술은 블록체인 말고도 여럿 있기에, 이 기술 자체에 매몰되지 말고 이런 기능을 어떻게 활용할 것인지에 집중하라고 그는 조언했다. “우리가 지금 사업할 때 인터넷이 연결될 지, 전기가 들어올 지 걱정하지 않잖아요.”
망중립성
두 번째 의제는 망중립성(net neutrality)이었다. 빈트 서프 부사장은 미국에서 망중립성이라는 이슈가 어떻게 대두됐는지 역사적 맥락을 짚으며, 현재 논란이 불거진 이유를 설명했다. 전길남 박사는 국가 간 망사용료 분담 문제인 피어링 프랙티스(peering practice) 문제를 제기했다. 마지막으로는 무선 통신이 유선을 능가하는 5G 시대를 맞이해 망중립성의 정의가 바뀔 수 있는지를 간략히 짚고 넘어갔다.
망중립성의 역사를 간단히 요약하면 이렇다. 90년대 중반 미국에서 다이얼 모뎀으로 인터넷 접속 서비스를 제고하는 인터넷서비스제공업체(ISP)는 8000여 곳에 달했다. 거대 자본력이 필요한 광대역 서비스가 21세기 초반 상용화되며 인터넷 사용자의 선택 폭은 급격히 쪼그라들었다. 도심이 아니면 1~2개 업체 중 한 곳을 선택해야 할 지경이 됐다. 독과점 시장을 형성한 ISP가 타사 서비스에서 오는 트래픽을 의도적으로 느리게 만드는 일도 생겼다. 미국 연방통신위원회(FCC)는 이런 세태가 미국 소비자가 선택할 자유를 침해하는 반경쟁 행위로 판단하고 모든 사용자에게 같은 대역폭을 제공하라는 망중립성 규제를 마련했다.
여기에 갈등의 씨앗이 심겼다. ISP에는 통신사만 있는 게 아니다. 지역 케이블 방송을 제공하던 케이블 회사도 광대역 망을 활용해 인터넷 서비스를 제공한다. FCC는 두 가지 회사가 모두 똑같이 인터넷 서비스를 제공하는 ISP로 보고 통신사와 방송사를 같은 미규제 부문으로 분류했다. 그런데 독과점 ISP가 인터넷 트래픽을 차별하는 문제가 생기자 FCC는 케이블사와 통신사 양쪽에 똑같이 망중립성을 지키라는 의무를 부여했다. 그런데 미국 법원은 인터넷 서비스를 미규제 부문으로 설정했던 FCC가 이제 와서 ISP에 망중립성을 강제할 권한은 없다고 판결했다. 그래서 오는 6월11일 FCC는 ISP에 다시 미규제 지위를 주려 한다. 인터넷 업계는 이를 망중립성 폐기로 보고 반대하고 나섰다. 미국 정부가 반독점 규제를 포기한다는 지적이다.
전길남 박사는 국경을 넘는 인터넷 트래픽 처리 비용을 어느 쪽이 부담하는지 문제를 제기했다. 전 박사는 미국과 한국 사이 인터넷 연결 비용이 1년에 100억 원에 달한다며 이를 모두 한국 ISP가 부담한다고 지적했다. 비용은 한국 회사가 100% 부담하는 반면, 국제 트래픽 70~80%는 유튜브 등 미국 서비스를 사용하기에 일방적으로 유리하다고 전 박사는 꼬집었다.
구글 부사장인 빈트 서프는 미국이 한국과 미국 사이 심해 통신 케이블을 구축했으며, 구글이 한국뿐 아니라 여러 나라에 캐시 서버 센터를 구축해 유튜브 등 서비스에서 자주 발생하는 트래픽을 처리해 국제망 트래픽을 억제하고 있다고 해명했다. 전길남 박사도 구글이 50여개국에 미러링 기술을 제공하고, 15~20개국에 국제 트래픽 비용을 기부한다며 “구글에 감사하다”라고 말했다.
“5G 시대에는 국제 트래픽 새로 정의해야”
세 번째 의제는 차세대 무선통신 규격인 5G였다. 빈트 서프 부사장은 5G가 현존 인터넷 접속 도구를 대체하는 무선 통신으로서 흥미로운 기술이라고 평했다. 또 한국이 세계 최초로 5G를 상용화하며 실험실로서 역할을 하고 있다며 “한국에서 어떤 일이 생길지 지켜보면 좋겠다”라고 말했다. 망중립성 원칙은 5G 시대에도 유효하다고 전망했다.
전길남 박사는 유선에서 무선으로 넘어가는 5G 시대를 계기로 국제 트래픽을 새로 정의해야 한다고 주장했다. 전 박사는 무선 인터넷이 기본값이 되는 5G 시대에 “국제 트래픽을 새로 정의하는 일이 국제적 기여가 될 거 같다”라고 말했다.
김기창 교수는 5G 시대에 국제 망사용료 문제가 역전될 가능성을 제기했다. 5G 기술은 한국이 주도해 개발하고 상용화했기에 네트워크 인프라를 투자한 한국 통신사가 해외 ISP에 추가 비용을 징수하는 일이 타당한지 새로 논의해야 한다는 논지였다. 하지만 구축한 무선망에서 콘텐츠를 소비하는 사람 역시 한국 사용자이기에 누구에게 얼마만큼 비용을 부과하는 것이 합당한지는 신중하게 결정해야 한다고 말했다.
빈트 서프 부사장은 이런 의사 결정를 위해 ISP가 주장하는 통신 원가를 분석해야 한다고 덧붙였다. 캐시 서버와 콘텐츠분산네트워크(CDS)가 많이 구축된 요즘은 국제 트래픽이 거의 균형을 이루기에 어느 쪽에 일방적으로 비용을 부담시키는 일이 합당한 주장인지 따져봐야한다는 지적이다.
사생활 보호와 독과점
네 번째 의제는 사생활 보호와 독과점 등 인터넷의 부작용이었다. 김기창 교수는 누리꾼 대다수가 서비스 약관에 동의하면서도 무엇에 동의하는지 정확히 모른다며 동의 매커니즘이 실효성이 없어 보인다고 꼬집었다.
빈트 서프 부사장은 누리꾼 교육, 소비자 보호 규제, 사물인터넷(IoT) 등 세 가지로 나눠 사생활 보호 문제를 파악하자고 제안했다. 유럽연합(EC)이 5월25일부터 소비자 데이터 보호 규제 GDPR을 도입해 인터넷 서비스가 사용자에게 어떤 정보를 수집하고 어떻게 가공해 어디에 활용∙제공하는지 더 명백하게 알려주듯 누리꾼을 교육하고, 자기 정보가 어디에 쓰이는지 알려줘야 한다고 주장했다. 또 사물인터넷 시대에 각종 기기가 수집한 데이터를 암호화하고 네트워크를 보호해야 한다고 말했다.
전길남 박사는 한국 사회가 과도하게 기술친화적이라고 지적하며 윤리 교육을 강화해야 한다고 주장했다. 인공지능(AI) 등 기술이 근본적으로 인간이 원하는 방향으로 발전하는지 확인하고 견제할 역량을 갖춰야 한다는 얘기였다. 빈트 서프 부사장 역시 모든 SW에는 버그가 있기에, SW로 구성된 인터넷 역시 필연적으로 오류를 안고 있다며, 이를 끊임 없이 보완하려면 프로그래밍과 비즈니스 수업 시간에도 윤리 과정을 반드시 넣어 자체 생태계에 보호 장치를 마련해야 한다고 주장했다.
인터넷이 소수 글로벌 업체에 종속돼 간다는 지적에 빈트 서프 부사장은 “지금 거대 기업이 내일까지 거대하리라는 보장은 없다”라며 노파심이라고 일축했다.
전길남 박사는 인터넷을 처음 만들 당시에는 HW 원가가 너무 비싸 보안보다 성능을 중시할 수 밖에 없었다고 고백하며, 인터넷의 유용성과 보안에서 균형을 잘 맞춰야 한다고 말했다. 그는 2025~2030년이면 사이버 범죄 시장이 5조 달러로 세계 경제 3~5%를 차지한다는 연구결과를 인용하며, 시장의 힘이 비윤리적 이윤을 좇는 쪽으로 발현하지 않도록 예방해야 한다고 주장했다.
가짜뉴스는 기술이 아니라 사람이 낳은 문제. 사람으로 풀어야
가짜뉴스(fake news) 역시 최근 주목 받는 주제였다. 지난 2016년 미국 대선과 2017년 한국 대선 모두에 가짜뉴스를 생산해 여론에 영향을 미쳤다는 조사 결과가 속속 드러나기 때문이다. 김기창 교수는 이런 경향이 발전하면 선거철이 “대선 후보가 아니라 심리 분석 기술(알고리즘)을 보유한 컨설팅 회사 사이 싸움이 되는 게 아닌가”라고 우려했다.
빈트 서프 부사장은 가짜뉴스나 AI 오남용 등 인터넷의 부작용을 낳는 것은 기술 자체가 아니라 기술의 잠재력을 그릇된 방향으로 발현시키는 인간이라고 지적했다. 그는 기술 발전 자체에 역행할 수는 없으니, 사용자의 비판적 수용력을 키워야 한다고 강조했다.
“인터넷 콘텐츠를 볼 때 콘텐츠 작성자의 의도가 무엇인지, 입증할 증거가 있는지 평가할 능력을 키워야 합니다. 자녀에게 비판적 사고를 어릴 때부터 가르쳐야 합니다. 노력이 필요하지요. 하지만 비판적 사고는 온라인에서 여러 정보를 접하는데 치러야 할 비용이라고 생각합니다.”
빈트 서프 부사장은 사용자가 나쁜 콘텐츠를 걸러낼 능력을 보유했다고 생각한다며, 이런 능력을 발현할 도구를 제공하고, 활용하도록 독려하면 문제를 해결할 수 있다고 봤다.
전길남 박사는 빈트 서프 부사장보다 회의적인 입장을 밝혔다. 기술이 더 강해지는 반면 이에 대응할 사회는 빈약한 상태기 때문이다. 전 박사는 지난 1년 동안 AI의 사회적 영향력을 비판적으로 연구하는 모임 AI & Society를 개설하려 했으나, 사람을 모을 수 없었다고 토로했다. AI 영향력을 연구한 논문도 영국이나 미국 학계는 활발히 발표하나 한국은 전무한 실정이라고 그는 지적했다. 일본과 중국 역시 마찬가지라고 전했다.
“한국을 비롯해 일본과 중국 등이 다소 과도하게 기술 친화적입니다. 기술을 너무 쉽게 포용합니다. 한중일이 세계적으로 경제 규모나 기술 규모도 큰데, 그 효과를 어떻게 통제할지는 연구가 빈약합니다. 우리도 해야 합니다. 그래서 아직 저는 AI & Society를 아직 포기하지 않았습니다.”
국가정보원이 이탈리아 “해킹팀”의 스파이웨어인 RCS(Remote Control System)를 구매하여 사용한 사실이 드러나면서, 해당 프로그램이 우리 국민을 불법적으로 사찰하는 데 사용되었는지 여부가 초미의 관심사이다. 오픈넷은 최소한의 방책으로서 이번 회기에 기 발의된 사이버사찰 방지법안들이 조속히 통과될 것을 요구한다.
우선 가장 중요한 방책은 피감시자에 대한 통지의 개선이다. 국정원이 RCS를 내국인에게 사용하였다면 피감시자에게 통지할 의무가 있는데, 선진국 중에서 거의 우리나라만 유일하게 통지가 수사가 완전히 종료된 후에야 이루어진다. 현행법에서는 기소 또는 불기소 처분을 한 날부터 30일 이내 통지라고 되어 있어 처분이 없는 경우는 통지가 아예 행해지지 않고 있으며, 검사장의 승인 하에 무기한 유예하는 것도 가능해 통지를 못 받는 경우가 훨씬 많다. 오픈넷은 이에 따라 통신비밀보호법 개정안이 감청, 통신사실확인, 전기통신 압수수색 등 감시가 이루어졌다면 그 종료 후 90일 이내에 당사자에게 집행 내역을 통지하도록 하였다(정청래 의원 발의). 현행법상의 피감시자 통지 자체가 부실하였기 때문에 피감시자 몰래 하는 감시의 궁극이라고 할 수 있는 RCS에 대해서도 도덕적 해이가 있었을 것으로 보인다. 다시 확인컨대 “영장이 있다고 해서 증거를 훔칠 수는 없다.”
두 번째 문제는 피감시자의 신원확인이 영장이나 통지 없이 이루어진다는 것이다. 2014년 10월에는 노동당 정진우 부대표의 카톡 압수수색 사건으로 인해 대규모 ‘사이버 망명’ 사태가 벌어지기도 했는데 이때도 사람들이 분노한 것은 정 부대표의 단체카톡방의 카톡 내용에 대해 이루어진 합법적인 압수수색보다도 그 방에 참가한 수천 명의 사람들의 신원정보를 당사자에게 아무런 통지 없이 취득했었기 때문이다. 지난 2014년 한 해 동안 통신자료 제공(가입자 이름, 주소, 주민번호 등)은 10,771,978건(전화번호/ID 수 기준)이 이루어졌는데, 이 수치에 의하면 한 해에만 우리 국민 5명 중 1명은 통신에 관련된 정보를 수사기관에 털린 경험이 있다고 해도 과언이 아니다. 더 큰 문제는 대부분의 경우 통지를 받지 못해 털린 것도 모른다는 것이다. 현행 전기통신법 제83조 3항이 통신자료가 민감한 개인정보임에도 불구하고 수사기관이 영장 없이 기업들을 통해 손쉽게 취득하는 것을 허용하고 있어, 오픈넷은 전기통신사업법 개정안은 해당 조문을 삭제하여 영장주의의 적용을 받게 하였다(정청래 의원 발의). RCS와 같이 개인의 통신기기의 통제권을 완전히 잠탈하게 된다면 앞으로도 정진우 부대표의 사례와 같이 엄청난 수의 무고한 통신상대방의 신원정보도 모두 취득될 것이다.
위의 통신비밀보호법과 전기통신사업법의 개정은 19대 국회에서 반드시 해결해야 한다. 19대 국회가 개원한 2012년 6월 이후 위 두 가지 사안에 대해 2015년 6월까지 3년간 발의된 관련 법안만 무영장 통신자료제공 제도 개선 10개, 피감시자통지제도 개선 총 17개나 된다. (참여연대, 이슈리포트 <국회 통과 기다리는 사이버사찰방지 법안 17개>)
여기에는 오픈넷이 정청래 의원과 함께 발의한 전기통신사업법 개정안과 통신비밀보호법 개정안도 포함되어 있는데(http://opennet.or.kr/7900), 그 골자는 통신자료 제공 제도 폐지 및 감시 현황에 대한 투명성 강화 그리고 감청, 전기통신압수수색, 통신사실확인에 대한 통지제도 보완이다. 추가적으로 전기통신사업자들이 감시협조 현황에 대해 보고하고 국민에게 공개하도록 하는 투명성 보고 제도를 신설했다.
오픈넷은 위의 두 가지 핵심법안 외에도 RCS에 대한 대응의 일환으로서 피싱에 의한 감청 및 압수수색의 금지를 법으로 금지할 것인가에 대한 논의도 제안한다. (오픈넷은 7월30일 저녁 7시, 스타트업 얼라이언스에서 “디지털시대 감시의 한계는 어디인가? 피싱, 기지국수사, 프리즘”이라는 주제로 포럼을 개최할 예정이다.)
눈부신 정보통신기술 발전의 혜택은 일반인뿐만 아니라 범죄자도 동일하게 누리고 있으며, 날로 고도화되는 범죄 수법을 따라가기 위해서는 어느 정도의 사이버 사찰은 필요악이다. 하지만 사찰은 개인의 기본권, 특히 프라이버시를 지대하게 침해하는 행위이기 때문에 국민의 통제 없이 이루어져서는 안 된다. 또한 사찰의 필요성이 없어진 경우에는 대상자에게 반드시 통지를 해서 사찰의 대상자에게 기본권이 제한되었던 사실을 알리고 대응을 할 수 있는 기회를 주어야 할 것이며, 이런 절차가 있어야만 수사기관이 태생적으로 가질 수밖에 없는 끝없는 감시 욕구를 견제할 수 있을 것이다.
이제 시간이 별로 남지 않았다. 제19대 국회는 임기가 끝나기 전까지 기 발의된 2개의 법안이라도 통과시켜 한시라도 빨리 선량한 국민들을 무차별적인 사이버사찰로부터 보호하는 것이 국민의 대표로서의 소임을 다하는 길임을 명심하기 바란다.
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는, 국정원이 이용한 해킹팀(Hacking Team)의 스파이웨어(RCS)에 불특정 다수의 우리 국민들까지 감염되었을 우려에 대응하기 위해 RCS 감염 여부를 포착하고 RCS에 의한 감염을 치유 및 예방하는 프로그램을 개발하는 “국민 백신 프로젝트”를 발족한다. 베타버전은 오는 7월 30일 10시에 공개할 예정이다(국회토론회는 별도의 보도자료 배포).
RCS를 식별할 수 있는 프로그램은 이미 배포되어 있지만, 윈도우 PC용으로 제한되어 있고, 성능 보장도 확실하지 않다. 가령 국제인권단체들이 배포한 ‘디텍터(Detekt)’[1], 외국 보안업체가 만든 레드삭스(Redsocks)의 ‘MTD’ (Malware Threat Defender)[2], 루크 시큐리티(Rook Security)의 ‘밀라노’(Milano)[3] 등은 모두 윈도우 PC용이고, 우리 국민 대다수가 사용하는 모바일에는 적용할 수 없다. “국민 백신 프로젝트”로 개발될 프로그램 “오픈백신”(가칭)은 모바일을 포함한 모든 기기에 적용되도록 할 것이다.
오픈백신 프로그램 개발 방식
해킹팀의 스파이웨어를 국정원도 사용하고 있다는 의혹이 제기된지는 무려 1년 6개월이 지났다[4]. 하지만 국내 백신업체들은 아무런 대응도 하지 않았다. 특히 지난 7월 6일에는 해킹팀의 내부 자료가 유례없이 방대한 규모로 공개되어, 국정원이 해당 스파이웨어를 구입하여 내국인을 상대로 사용했다고 믿을만한 정황들이 드러난지도 벌써 한 달이 다 되어간다. 하지만 국내 백신업체들은 여전히 아무런 백신도 내놓지 않고 있다. 해킹팀의 스파이웨어는 소스코드가 기트허브(GitHub)에 이미 공개되어 있어서 백신 프로그램을 얼마든지 만들 수 있는데 말이다(https://github.com/0xPoly/Hacking-Team-Sweeper).
오픈백신은 이처럼 공개된 소소코드드를 기초로, 우리 국민들이 가장 많이 사용하는 안드로이드 모바일, 윈도 PC용 백신 프로그램 개발을 목표로 한다. 초기 개발은 위 3개 단체가 지원하고(이미 RCS 소스 분석은 마쳤다), 이후에는 개방형 개발 방식으로 전환한다. 오픈백신 프로그램 역시 소스코드를 모두 공개하여 기술적 재능이 있는 사람이라면 누구나 익명으로 재능기부를 할 수 있고, 이를 통해 오픈백신을 모든 기기로 확대할 수 있을 것이다. 이러한 개방형 혁신이 백신업체 내부의 개발자들에 의한 폐쇄형 방식보다 성능이나 보안 면에서 더 우수하다는 점은 이미 밝혀졌다. 그리고 국민 감시에 악용되는 스파이웨어에 맞서는 데에는 국민참여형 대응이 가장 훌륭한 방식임을 보여줄 것이다. 그리고 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방될 것이다(이탈리아 해킹팀은 자신의 기술을 이미 국내에 특허출원까지 해 두었다(특허출원번호 제1020137005146호 “네트워크 트래픽을 처리하는 방법 및 장치”).
오픈백신 프로그램 배포 일정 및 운영
안드로이드 모바일, 윈도우 PC용 백신 프로그램 개발 완료 후 베타버전 공개: 2015년 7월 30일 오전 10시, 국회 의원회관 제2소회의실
테스트 진행, 버그 및 수정 작업 후 정식버전 배포: 8월 6일 예정
오픈소스 방식으로 전환하여 다른 기기용 백신 프로그램 개발 및 배포
해킹팀의 스파이웨어 소스코드 분석 보고서 발표
감염된 기기에 대한 디지털 포렌식 분석
해킹팀 이외의 다른 스파이웨어에 대한 패턴 업데이트 진행
국민 누구나 참여하는 소셜펀딩
오픈백신 프로그램을 베타버전에서 완성단계로 발전시키고 다양한 기기나 국내 통신환경에 맞게 개선하고 유지보수하는 데에는 상당한 자원이 소요된다. 이에 따라 진보네트워크센터가 운영해온 소셜펀딩 플랫폼을 이용하여 국민들이 누구나 후원할 수 있도록 할 계획이다.
오픈백신 프로그램과 국정원의 합법적인 해외 정보 수집
스파이웨어를 찾아내는 백신 프로그램이 배포되면 국정원의 정상적인 해외 정보 수집이 방해받는다는 우려가 있을 수 있다. 하지만 이미 해킹팀의 스파이웨어는 소스코드가 공개되어 어떻게 작동하는지 누구나 알 수 있는 상태다. 따라서 오픈백신 프로그램 때문에 우리 정보기관의 합법적인 해외 정보 수집이 타격을 받을 가능성은 거의 없다. 가령 북한은 이미 RCS를 통한 감시를 우회하는 기술을 개발하였을지도 모른다. 국민들을 대상으로 한 스파이웨어의 감염 시도가 이루어졌을 것이라는 우려가 높은 상황에서 우리는 실제로 감염되었을지 모를 해킹팀의 악성코드뿐 아니라 누군지 모르는 제3자의 해킹위험에 처해있을 국민들의 정보인권에 우선을 둘 수밖에 없다.
————————————————-
[1] ‘디텍터’는 클라우디오 과르니에르(Claudio Guarnieri)가 시티즌랩(Citizen Lab)의 기술 지원으로 국제 정보인권 단체들, 프라이버시 인터내셔널(Privacy International), 디지탈레 게젤샤프트(Digitale Gesellschaft), 앰네스티 인터내셔널, 전자개척자재단(EFF)과 함께 해킹팀의 스파이웨어를 탐지하는 프로그램으로 2014년 11월 배포되었다. 사용법은 진보네트워크센터에서 우리말로 제공하고 있다. http://act.jinbo.net/drupal/node/8782
1. 국정원의 해킹사찰 의혹 사건에 대한 국회차원의 조사와 검증이 위기에 처했다. 청문회와 국정조사는 고사하고, 내일(6일)로 예정된 국정원-전문가 기술간담회도 무산될 예정이다. 이렇게 된 것은 두 가지 때문이다. 하나는 아무런 근거자료도 없이 국정원의 말을 무조건 믿고 이번 의혹은 아무런 근거없다고 결론내려버린 집권여당인 새누리당때문이고, 다른 하나는 자료제출을 요구해도 기밀이라며 거부하고 있는 국정원때문이다.
무엇을 근거로 이번 국정원의 해킹사찰 사건이 불법적 요소가 전혀 없는 것이고, 특히 우리 국민에 대해 해킹프로그램을 사용한 바 없다고 새누리당이 믿는지 되묻지 않을 수 없다. 국정원의 설명이라면 무조건 다 믿어야 한다고 생각하는 것이 아니라면 객관적인 검증을 거쳐야 하는 것 아닌가?
객관적이고 충분한 검증에 응하지 않고 있는 국정원의 태도는 더 나쁘다. 불법의 징후가 발견되었다면, 객관적인 자료를 통해 사실을 밝히고 의구심을 해소해야 한다. 정보기관 활동의 특성상 조사된 내용의 일반공개의 범위와 구체성은 사안에 따라 제한될 수 있을지라도, 국회나 독립적인 수사기관에 의한 객관적이고 충분한 검증과 조사 자체를 제한해서는 안 된다.
공안기구감시네트워크 소속 우리 5개 단체들은 국정원이 국민을 상대로 어떤 불법행위도 안했는지를 비롯해 이번 해킹사찰프로그램 사용과 관련한 여러 의혹을 제대로 규명해야 한다고 본다. 근거자료를 제시하지 않고 ‘우리 말을 믿으라’는 식으로 넘어가서는, 국가안보를 위해 존재한다는 국가정보기관에 대한 국민적 신뢰는 계속 침식당할 것이다. 이는 국정원의 발전을 위해서도 바람직하지 않다.
2. 한편 이번 사건은 국정원의 행동을 독립적이고 객관적인 입장에서 감독하고 조사할 수 있는 권한을 행사할 수 있는 곳이 없다는 것을 다시 드러냈다.
사이버심리전단 규모를 점점 확대시키고 정치 및 선거 불법개입 행위까지 하고 있는지도 국정원 바깥에서는 수년동안 아무도 몰랐다. 해킹프로그램을 구매하고 있었는지도 국정원 내부자말고는 아무도 몰랐다. 일반에게 공표될 내용은 아니라고 하더라도 국정원의 상황을 국정원말고는 아무도 모르는, 즉 국정원이 외부감독과 통제 사각지대에 있었기 때문에 빚어진 일들이다.
게다가 불법의 징후가 드러났음에도 객관적이고 독립적인 조사는 벽에 부딪혔고 지금도 그렇다. 대선개입 사건 때에도 국정원 직원의 체포를 국정원장에게 사전 통지하지 않았다고 검찰이 다시 풀어주어야했고, 국정원에 대한 압수수색도 국정원이 협조하지 않았기 때문에 제한적인 범위에 그쳤다.
국정원의 불법정치 및 18대 대선개입 사건이 드러났을 때 국정원에 대한 외부감독체계 강화를 이루어야 했다. 그 때 실패했기에 지금도 국정원이 입을 다물고 자료를 안 내놓겠다고 하면 속수무책일 수 밖에 없다. 이번 불법해킹사찰 의혹사건이 진상규명에만 머물지 않고 국정원에 대한 독립적이고 객관적인 외부감독체계 마련의 계기가 되어야 한다.
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.
오픈 백신 개발의 취지
지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.
해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.
국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.
그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.
국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.
국민 백신 프로젝트
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.
오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.
오픈 백신이 지원하는 운영체제
오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.
당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.
‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.
오픈 백신의 용도 및 다른 백신 프로그램의 이용
오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.
오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.
오픈 백신의 작동 원리
오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.
국정원이 해킹팀으로부터 사들인 스파이웨어(RCS)를 불특정 다수 국민의 스마트폰에 감염시키면 어떤 일이 생길까? 상상하기도 싫지만, 스파이웨어에 감염된 국민이 직접 대응할 수 있는 방법은 많지 않다. 왜? 국정원은 사실상 국내 백신 업체의 ‘갑’ 노릇을 한다. 이런 현실에서 국내 백신 업체들이 국정원이 이용하는 스파이웨어를 감지하는 전용 백신을 개발할 수 있을까? 새정치민주연합의 안철수 국회의원이 안랩을 포함한 10여 개 국내 보안업체에게 도움을 요청했으나 업체들이 이 요청에 적극 나서지 않는다는 말이 벌써부터 들리고 있다.
이에 시민이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족했다. 그리고 어제(2015년 7월 30일) 국회 의원회관에서 발표회를 개최했다. 국민 백신 프로젝트를 주도한 남희섭 오픈넷 이사에게 국민 백신 프로젝트의 이모저모와 향후 계획을 물었다.
남희섭 오픈넷 이사 일문일답
– 이왕에 엠네스트 주도로 ‘디텍트’가 개발됐다. ‘국민 백신’과 디텍트의 차이점은.
디텍트는 PC용인데, 국민 백신은 안드로이드 모바일에 주안점을 두고 프로젝트를 진행하고 있다.
– 모바일 중심이라고 했는데, 특히 안드로이드가 주력인 이유는?
개발자의 증언에 의하면 안드로이드폰이 잘 감염된다고 한다. 아이폰은 애플이 직접 패치를 내놓으면 이용자가 바로 업데이트를 할 수 있으나 안드로이드폰은 구글이 패치를 내놓아도 제조사까지 전달되서 실제 이용자의 스마트폰에 적용되기까지 시간이 걸리기 때문에 보안에 취약성이 있다는 설명이었다. 더불어 우리나라 모바일 사용자의 압도적 다수가 안드로이드폰 이용자기이도 하다.
– 국민 백신은 의미 있는 프로젝트다. 하지만 지속 가능성을 담보할 수 있을지는 걱정이다. 해킹과 백신은 ‘창과 방패’, ‘톰과 제리’의 게임이라서 지속성을 담보하지 못하면 큰 의미가 없지 않나.
당연히 걱정하는 부분이다. 큰 백신 개발업체라면, 상시 인력이 그때그때 바로바로 업데이트할 수 있겠지만, 국민 백신 프로젝트는 참여 개발 인력이 충분하다고 볼 수는 없다.
– 어떻게 이런 난제를 극복할 생각인가.
국민 백신은 ‘오픈소스’로 개발하고 있다. 프로그램 코드를 공개하는 것이다. 현재 개발인력도 최선을 다하겠지만, 국민 백신 프로젝트의 취지에 공감하는 개발자들이 업데이트에 참여할 것으로 기대한다. 이런 참여가 임계점을 넘으면. 지속 가능성을 담보할 수 있으리라 생각한다.
– 기존 보안업체에 협조를 요청했나. 상호 사전 협의가 있었는지 궁금하다.
처음에 프로젝트를 구상할 때 기존 업체의 참여를 전혀 기대할 수 없는 상황이었다. 이제는 널리 알려진 사실이지만, 사실상 국정원이 보안 업체의 ‘갑’ 노릇을 하는 상황이다. 익명을 전제로 보안업체의 분위기를 전한 한 개발자는 이렇게까지 말했다.
“민감한 사안이다. 밥줄 잘린다. 전용 백신 개발 가능성은 전혀 없다.”
기존 보안업체가 전용 백신을 개발한다는 것은 전혀 기대할 수 없는 상황이라고 판단하고, 국민 백신 개발에 착수했다.
– 현재 확보한 개발 인력은 어느 정도인가.
현재 엔진을 만드는 사람 4명이다. 여기에 해외 ‘화이트해커’ 그룹도 참여하고 있다.
– 향후 개발 계획은?
원래는 발표회에서 베타 버전을 발표하고, 다음 주(2015년 8월 첫째 주) 정식 발표하려고 했다. 하지만 일정이 생각보다 좀 늦어지고 있다. 내부적으로 테스트한 뒤에 다음 주 베타 버전을 발표할 계획이다.
– 어떤 방식으로 배포할 계획인지.
우선 안드로이드 모바일 사용자에게는 구글 플레이 스토어에 국민 백신 앱을 업로딩하면 간단하다. PC용으로도 개발할 계획이다.
– PC용은 어떤 방식으로 배포되는가.
안드로이드용은 배포 플랫폼이 있어서 걱정이 없는데, PC용은 홈페이지에 올리면 해커들에게 공격 받을 가능성이 크다고 한다. 그래서 PC용 버전 배포방식을 고민하고 있다. P2P 방식으로 배포하는 것까지 포함해서 현재 논의 중이다.
– 끝으로 당부하고 싶은 말이 있다면.
자기 정보 인권을 스스로 지켜야 한다. 직접 스스로 자신의 권리를 지키는 행동을 해보는 체험이 중요하다. 하지만 해킹이나 감시, 감청 등의 정보 인권 침해에 평범한 개인이 할 수 있는 일은 별로 없다. IT 영역의 전문지식을 모든 국민이 가질 수는 없는 노릇이고, 그럴 필요도 없다.
하지만 선의의 전문가들이 참여하는 국민 백신과 같은 프로젝트에 참여하는 것으로도 충분히 스스로 자기 권리를 지키는 구체적인 ‘행동’에 참여하는 일이다. 이런 체험을 통해 스스로 권리를 자신이 지킨다는 걸 체감할 수 있다면 좋겠다.
참고로 사단법인 오픈넷, 진보네트워크센터, P2P재단코리아준비위원회가 현재 개발 중인 ‘오픈 백신’은 설치된 해킹 프로그램을 치료하는 프로그램은 아니다. 치료보다는 해킹 프로그램의 설치 여부를 진단하는 것이 목표다. (편집자)
시민단체 경실련 소비자정의센터, 진보네트워크센터와 새정치민주연합 장병완, 최원식 의원은 개인정보 비식별화 개념이 갖고 있는 문제점을 진단하는 토론회를 공동으로 개최하고자 합니다. 토론회에서는 관련 문제 진단 뿐만 아니라 빅데이터 산업 활성화를 추진하기 이전에 반드시 최우선적으로 고려해야 할 개인정보 보호에 있어 대안모색 등을 논의하고자 합니다.
우리는 국민적 염원을 담아 국회가 진상규명과 제도개선에 매진하여야 한다고 생각합니다. 이에 기자회견을 갖고, 국회가 국정원의 해킹프로그램 등을 통한 불법사찰 의혹 사건 진상규명을 위해 국정조사를 실시하고 특별검사를 임명하는 한편 국정원에 대한 감독통제제도를 마련할 것을 청원합니다.
우리 13개 시민·소비자단체들은 홈플러스와 테스코의 추악하고 이기적인 행태를 규탄하며, 다시 한 번 고객 개인정보 불법 유상판매에 대한 사죄와 보상 및 배상을 위한 대책을 마련 할 것을 강력하게 촉구한다. 나아가 테스코와 홈플러스는 매각을 추진하는 과정에서 협력업체와의 계약관계, 노동자의 심각한 고용불안, 소비자 권익 침해 등 다양한 문제에 대해 사회적 논란을 회피하지 말고 기업의 사회적 책임을 다해야 할 것이다.
이번 보고서는 지난 6월 24일부터 26일까지 3일 동안 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 협업 제안의 결과물이다. 오픈넷에서는 동시에 진행된 3개 세션 중 “조준된 공격의 위협 및 감시(Targeted Threats and Surveillance)” 세션에서 공동작업을 할 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대해 연구할 것을 제안한 바 있다.
지난 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 동 법령에 의하면 이통사는 계약체결시 단순히 차단수단에 대한 정보를 제공할 뿐만 아니라 강제로 설치를 해야 하며, 설치 후에는 차단수단이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 게다가 더 큰 문제는 부모의 거부권(opt-out)이 인정되지 않는다는 점이다. 오픈넷은 해당 법령의 청소년의 프라이버시와 부모의 교육권 침해 문제를 지속적으로 지적해왔다(http://opennet.or.kr/8853).
이번에 문제된 스마트보안관은 방통위가 개발 및 홍보예산을 지원해 한국무선인터넷산업연합회(MOIBA)에서 개발해 2012년부터 보급해오고 있었던 스마트폰용 애플리케이션이다. 무료일 뿐만 아니라 방통위가 권장하는 앱으로 차단수단 강제 설치가 시작된 이후 가장 널리 사용되고 있는 앱이다. MOIBA의 S-안심존 홈페이지에 의하면 스마트보안관을 “스마트폰 상에서의 음란, 폭력 등 불법·유해정보(앱, 인터넷사이트)를 차단하여 우리 자녀를 보호하고, 부모가 자녀의 올바른 스마트폰 이용을 지도하고 관리할 수 있는 서비스”라고 소개하고 있다.
하지만 시티즌랩 연구진에 의하면 스마트보안관은 “실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있”으며, “프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것이 입증”되었다. 보안 감사에서 발견된 26건의 보안 취약점들을 보면 스마트보안관은 이용자 정보의 저장 및 전송시 제대로 암호화를 하지 않아 공격자가 청소년의 정보를 모니터링하거나, 서버와 프로그램으로 위장하여 청소년의 정보를 변조하는 것을 가능하게 한다고 하며, 계정의 등록과 관리가 적절한 확인절차나 암호 없이도 가능하여 이용자 계정이 쉽게 도용되거나 탈취되어 스마트보안관이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다고 한다. 또 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 한다. 시티즌랩은 이러한 문제 때문에 즉시 스마트보안관서비스를 중단할 것을 권고하였다. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반인 것으로 판단된다.
물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 하지만 스마트보안관은 “선한 의도가 어떻게 매우 잘못된 결과를 초래할 수 있는지 정확하게 보여”준다. 정부는 유해정보 차단에만 집중한 나머지 이러한 감시앱이 우리의 아이들을 얼마나 큰 다른 위험에 노출시키는지에 대해서는 전혀 고려하지 않았다.
지금이라도 방통위는 당장 스마트보안관 서비스를 중단하고, 스마트보안관뿐만 아니라 방통위가 권장하고 있는 다른 차단수단에 대한 철저한 보안 감사를 거쳐야 할 것이다.
뿐만 아니라 궁극적으로는 개인의 통신기기를 타인이 감시할 수 있는 소프트웨어를 설치하도록 국가가 법으로 강제하겠다는 발상 자체가 심각한 보안상의 위험을 발생시킨다는 사실을 겸허히 받아들이고, 과연 청소년들이 단지 성인물에 접근하는 것을 막기 위해 청소년들이 이와 같은 보안상의 위험 및 프라이버시 침해를 감수하도록 하고 학부모들의 교육권을 교란하는 것이 현명한 일인지를 판단해보아야 할 것이다. 특히 빠른 시일 내에 전 세계적으로 유래가 없는 감시앱 강제화법인 전기통신사업법 및 법 시행령의 관련 조항들을 폐기하거나 개정해야 할 것이다. 사단법인 오픈넷은 진보네트워크센터와 함께 관련 조항들에 대한 헌법소원을 준비 중이다.
Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다.
오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다.
CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조).
첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.
<CLSI 첫 날 1세션 패널들의 모습>
먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다.
둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다.
그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다.
연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.
<CLSI 마지막 날 Wrap-up Session>
그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다.
오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.
시민들의 의견
댓글 달기