Citizen Lab Summer Institute 2015 참가 후기

글 | 김가연(오픈넷 변호사)

* 일시: 2015. 6. 24(수) – 26(금), 3일간

* 장소: 캐나다 토론토대학교 뭉크스쿨(Munk School of Global Affairs)

* 참석자: 박경신(고려대학교 로스쿨 교수, 오픈넷 이사), 김가연(오픈넷 변호사), 손지원(한국인터넷투명성보고, 연구원)

* Agenda 보기

Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다.

오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다.

CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조).

첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.

<CLSI 첫 날 1세션 패널들의 모습>

먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다.

둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다.

그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다.

연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.

<CLSI 마지막 날 Wrap-up Session>

그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다.

오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.

한국의 청소년들을 위험에 빠뜨리는 스마트보안관 서비스는 즉시 중단되어야

- 캐나다 시티즌랩, MOIBA의 스마트보안관 앱에 대한 보안 감사 보고서 발표

한국시간으로 오늘 새벽 4시, 캐나다 토론토 대학교의 시티즌랩은 새로운 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표했다. 이 보고서는 방송통신위원회(이하“방통위”)의 지원으로 개발된 스마트보안관에 대해 행해진 두 건의 보안 감사 결과와 법·정책적 검토 결과를 담고 있으며 해당 앱 서비스를 즉시 중단할 것을 권고하였다.

이번 보고서는 지난 6월 24일부터 26일까지 3일 동안 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 협업 제안의 결과물이다. 오픈넷에서는 동시에 진행된 3개 세션 중 “조준된 공격의 위협 및 감시(Targeted Threats and Surveillance)” 세션에서 공동작업을 할 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대해 연구할 것을 제안한 바 있다.

지난 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 동 법령에 의하면 이통사는 계약체결시 단순히 차단수단에 대한 정보를 제공할 뿐만 아니라 강제로 설치를 해야 하며, 설치 후에는 차단수단이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 게다가 더 큰 문제는 부모의 거부권(opt-out)이 인정되지 않는다는 점이다. 오픈넷은  해당 법령의 청소년의 프라이버시와 부모의 교육권 침해 문제를 지속적으로 지적해왔다(http://opennet.or.kr/8853).

이번에 문제된 스마트보안관은 방통위가 개발 및 홍보예산을 지원해 한국무선인터넷산업연합회(MOIBA)에서 개발해 2012년부터 보급해오고 있었던 스마트폰용 애플리케이션이다. 무료일 뿐만 아니라 방통위가 권장하는 앱으로 차단수단 강제 설치가 시작된 이후 가장 널리 사용되고 있는 앱이다. MOIBA의 S-안심존 홈페이지에 의하면 스마트보안관을 “스마트폰 상에서의 음란, 폭력 등 불법·유해정보(앱, 인터넷사이트)를 차단하여 우리 자녀를 보호하고, 부모가 자녀의 올바른 스마트폰 이용을 지도하고 관리할 수 있는 서비스”라고 소개하고 있다.

하지만 시티즌랩 연구진에 의하면 스마트보안관은 “실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있”으며, “프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것이 입증”되었다. 보안 감사에서 발견된 26건의 보안 취약점들을 보면 스마트보안관은 이용자 정보의 저장 및 전송시 제대로 암호화를 하지 않아 공격자가 청소년의 정보를 모니터링하거나, 서버와 프로그램으로 위장하여 청소년의 정보를 변조하는 것을 가능하게 한다고 하며, 계정의 등록과 관리가 적절한 확인절차나 암호 없이도 가능하여 이용자 계정이 쉽게 도용되거나 탈취되어 스마트보안관이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다고 한다. 또 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 한다. 시티즌랩은 이러한 문제 때문에 즉시 스마트보안관서비스를 중단할 것을 권고하였다. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반인 것으로 판단된다.

물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 하지만 스마트보안관은 “선한 의도가 어떻게 매우 잘못된 결과를 초래할 수 있는지 정확하게 보여”준다. 정부는 유해정보 차단에만 집중한 나머지 이러한 감시앱이 우리의 아이들을 얼마나 큰 다른 위험에 노출시키는지에 대해서는 전혀 고려하지 않았다.

지금이라도 방통위는 당장 스마트보안관 서비스를 중단하고, 스마트보안관뿐만 아니라 방통위가 권장하고 있는 다른 차단수단에 대한 철저한 보안 감사를 거쳐야 할 것이다.

뿐만 아니라 궁극적으로는 개인의 통신기기를 타인이 감시할 수 있는 소프트웨어를 설치하도록 국가가 법으로 강제하겠다는 발상 자체가 심각한 보안상의 위험을 발생시킨다는 사실을 겸허히 받아들이고, 과연 청소년들이 단지 성인물에 접근하는 것을 막기 위해 청소년들이 이와 같은 보안상의 위험 및 프라이버시 침해를 감수하도록 하고 학부모들의 교육권을 교란하는 것이 현명한 일인지를 판단해보아야 할 것이다. 특히 빠른 시일 내에 전 세계적으로 유래가 없는 감시앱 강제화법인 전기통신사업법 및 법 시행령의 관련 조항들을 폐기하거나 개정해야 할 것이다. 사단법인 오픈넷은 진보네트워크센터와 함께 관련 조항들에 대한 헌법소원을 준비 중이다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

나머지 보기

 고객 개인정보 불법 수집·판매에 대한 반성과 책임 없이,