지난 11월 9일 열린 국회 미래창조과학방송통신위원회 전체회의에 국민의당 황주홍 의원이 발의한 정보통신망 이용촉진 및 정보보호에 관한 법률(“정보통신망법”) 일부개정법률안이 상정되었다. 동 개정안은 개인정보보호관리체계(PIMS, Personal Information Management System) 인증 제도의 활성화를 위해 일정 규모 이상의 정보통신서비스 제공자에게 PIMS 인증의 획득을 강제하는 것을 주요 내용으로 하고 있다. 사단법인 오픈넷은 정부의 “강제적 공인 인증”의 남발은 개인정보 유출 사고의 해결책이 될 수 없음은 물론 기업들이 다양한 개인정보보호 시스템을 개발할 동기를 박탈하고 스타트업들에게 진입장벽을 만들기 때문에 반대한다.
현재 자율적으로 운영되고 있는 PIMS 인증제도는 “공공기관 및 민간기업 등 조직이 수립하여 운영하고 있는 개인정보보호 관리체계가 인증기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도”이다. 2010년 방송통신위원회 의결로 시행되었으며, 2012년 정보통신망법 개정으로 법적 근거를 마련하였다. 이와 별개로 2011년 개인정보보호법의 제정과 함께 도입되어 2013년부터 시행된 개인정보보호(PIPL, Personal Information Protection Level) 인증 제도가 있었다. 그러나 방통위 주관 PIMS 인증과 행정자치부 주관 PIPL 인증이 유사할 뿐만 아니라 중복적인 내용이 많아 2014년 규제개혁위원회의 “범부처 인증제도 개선방안”의 일환으로 PIMS 인증으로 제도가 통합되었다.
2016년 11월까지 유지되고 있는 PIMS 인증서는 총 66건인데, 2014년 6건, 2015년 14건, 2016년 29건으로 발급 건수가 매년 200% 이상 큰 폭으로 늘고 있다. 중복적 제도의 통합 운영과 인증기관인 한국인터넷진흥원(KISA)의 홍보 노력 등이 성과를 나타내고 있는 것이다. 이러한 상황에서 굳이 의무화를 하기보다는 활성화 추세를 지켜보고 인센티브 부여 등으로 자율 규제를 촉진하는 것이 훨씬 효과적일 것이다. 이 편이 자율적인 개인정보 보호 활동의 촉진 및 지원을 인증제도의 목적으로 하고 있는 개인정보보호법의 취지에도 부합한다.
그리고 오픈넷은 얼마 전 정보보호관리체계(ISMS, Information Security Management System) 인증 의무화 확대에 대해서도 반대 입장을 밝힌 바 있다. 반대 논거들은 PIMS 인증 의무화에 대해서도 거의 동일하게 적용된다. 게다가 ISMS 인증과 PIMS 인증은 심사체계나 인증기관이 거의 동일하며, 인증기준도 중복되는 부분이 많아 혼란만 가중시키고 있다. 그런데 PIMS 인증까지 의무화한다면 중복 규제로 실질적인 보안 강화 효과는 없으면서 적용 대상 사업자들에게는 추가적인 부담을 지우게 되며 스타트업들에게는 이중의 진입장벽이 될 뿐이다.
정부 주도 인증 내지 관치보안의 가장 큰 문제점은 정부로부터 “공인”된 해당 인증만 받으면 최선의 조치를 다한 것으로 간주되어 시장 변화나 기술 발전에 훨씬 민감한 민간 영역의 기술 개발이나 인증 제도의 활성화를 막고 결국 그 피해가 이용자들에게 고스란히 돌아간다는 점이다. 공인 인증의 남발은 지양되어야 한다.
국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다. 더구나 국정원의 감시감청은 영장, 대통령 허가,설비도입 보고 등의 절차를 무시하여 통신비밀보호법과 정보통신망법을 위반했다는 비판도 받고 있습니다. 절차 규정을 준수했다 하더라도 개인의 정보기기에 대한 통제권을 잠탈하는 해킹까지 헌법상 허용되는지에 대한 의문이 제기되고 있습니다. 이번 토론회는 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률 문제와 해결 방안을 살펴보고, 해외 민간인 사찰 사례 소개, RCS가 어떻게 작동하여 민간인 사찰에 악용되는지, 이에 대해 외국 특히 유럽연합에서는 어떤 대응을 하고 있는지도 살펴보고자 합니다.
국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사어버 공격을 당할 위험에 놓이게 됩니다. 하지만 국내 백신 업체들은 아무런 대응도 하지 않고 있습니다. 이에 시민들이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족하였습니다. 이를 통해 개발한 백신 프로그램의 베타버전을 공개하고 향후 계획에 대해 발표하는 자리를 갖고자 합니다.
국민의 세금으로 운영되는 국가기관인 국가정보원이 스파이웨어를 구매하여 민간인을 사찰했다는 의혹이 해소되지 않고 있습니다.
이에 이탈리아 해킹팀 자료 유출로 드러난 국정원의 해킹식 감시·감청에 대한 전반적인 법률문제와 해결 방안, 해외 민간인 사찰 사례 소개, RCS의 민간인 사찰 악용사례, 이에 대한 외국(유럽연합)의 대응 등을 살펴보고자 합니다.
또한 국정원이 배포한 스파이웨어에 감염된 불특정 다수의 국민들은 국정원이나 해킹팀이 아니더라도 제3자에게 사이버 공격을 당할 위험에 놓이게 됩니다. 이에 시민들이 자발적으로 참여한 ‘국민 백신 프로젝트’를 통해 개발된 백신 프로그램의 베타버전을 공개하고 향후 계획을 발표합니다.
1. 국정원의 해킹사찰 의혹 사건에 대한 국회차원의 조사와 검증이 위기에 처했다. 청문회와 국정조사는 고사하고, 내일(6일)로 예정된 국정원-전문가 기술간담회도 무산될 예정이다. 이렇게 된 것은 두 가지 때문이다. 하나는 아무런 근거자료도 없이 국정원의 말을 무조건 믿고 이번 의혹은 아무런 근거없다고 결론내려버린 집권여당인 새누리당때문이고, 다른 하나는 자료제출을 요구해도 기밀이라며 거부하고 있는 국정원때문이다.
무엇을 근거로 이번 국정원의 해킹사찰 사건이 불법적 요소가 전혀 없는 것이고, 특히 우리 국민에 대해 해킹프로그램을 사용한 바 없다고 새누리당이 믿는지 되묻지 않을 수 없다. 국정원의 설명이라면 무조건 다 믿어야 한다고 생각하는 것이 아니라면 객관적인 검증을 거쳐야 하는 것 아닌가?
객관적이고 충분한 검증에 응하지 않고 있는 국정원의 태도는 더 나쁘다. 불법의 징후가 발견되었다면, 객관적인 자료를 통해 사실을 밝히고 의구심을 해소해야 한다. 정보기관 활동의 특성상 조사된 내용의 일반공개의 범위와 구체성은 사안에 따라 제한될 수 있을지라도, 국회나 독립적인 수사기관에 의한 객관적이고 충분한 검증과 조사 자체를 제한해서는 안 된다.
공안기구감시네트워크 소속 우리 5개 단체들은 국정원이 국민을 상대로 어떤 불법행위도 안했는지를 비롯해 이번 해킹사찰프로그램 사용과 관련한 여러 의혹을 제대로 규명해야 한다고 본다. 근거자료를 제시하지 않고 ‘우리 말을 믿으라’는 식으로 넘어가서는, 국가안보를 위해 존재한다는 국가정보기관에 대한 국민적 신뢰는 계속 침식당할 것이다. 이는 국정원의 발전을 위해서도 바람직하지 않다.
2. 한편 이번 사건은 국정원의 행동을 독립적이고 객관적인 입장에서 감독하고 조사할 수 있는 권한을 행사할 수 있는 곳이 없다는 것을 다시 드러냈다.
사이버심리전단 규모를 점점 확대시키고 정치 및 선거 불법개입 행위까지 하고 있는지도 국정원 바깥에서는 수년동안 아무도 몰랐다. 해킹프로그램을 구매하고 있었는지도 국정원 내부자말고는 아무도 몰랐다. 일반에게 공표될 내용은 아니라고 하더라도 국정원의 상황을 국정원말고는 아무도 모르는, 즉 국정원이 외부감독과 통제 사각지대에 있었기 때문에 빚어진 일들이다.
게다가 불법의 징후가 드러났음에도 객관적이고 독립적인 조사는 벽에 부딪혔고 지금도 그렇다. 대선개입 사건 때에도 국정원 직원의 체포를 국정원장에게 사전 통지하지 않았다고 검찰이 다시 풀어주어야했고, 국정원에 대한 압수수색도 국정원이 협조하지 않았기 때문에 제한적인 범위에 그쳤다.
국정원의 불법정치 및 18대 대선개입 사건이 드러났을 때 국정원에 대한 외부감독체계 강화를 이루어야 했다. 그 때 실패했기에 지금도 국정원이 입을 다물고 자료를 안 내놓겠다고 하면 속수무책일 수 밖에 없다. 이번 불법해킹사찰 의혹사건이 진상규명에만 머물지 않고 국정원에 대한 독립적이고 객관적인 외부감독체계 마련의 계기가 되어야 한다.
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.
오픈 백신 개발의 취지
지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.
해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.
국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.
그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.
국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.
국민 백신 프로젝트
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.
오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.
오픈 백신이 지원하는 운영체제
오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.
당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.
‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.
오픈 백신의 용도 및 다른 백신 프로그램의 이용
오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.
오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.
오픈 백신의 작동 원리
오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.
시민단체 경실련 소비자정의센터, 진보네트워크센터와 새정치민주연합 장병완, 최원식 의원은 개인정보 비식별화 개념이 갖고 있는 문제점을 진단하는 토론회를 공동으로 개최하고자 합니다. 토론회에서는 관련 문제 진단 뿐만 아니라 빅데이터 산업 활성화를 추진하기 이전에 반드시 최우선적으로 고려해야 할 개인정보 보호에 있어 대안모색 등을 논의하고자 합니다.
우리는 국민적 염원을 담아 국회가 진상규명과 제도개선에 매진하여야 한다고 생각합니다. 이에 기자회견을 갖고, 국회가 국정원의 해킹프로그램 등을 통한 불법사찰 의혹 사건 진상규명을 위해 국정조사를 실시하고 특별검사를 임명하는 한편 국정원에 대한 감독통제제도를 마련할 것을 청원합니다.
우리 13개 시민·소비자단체들은 홈플러스와 테스코의 추악하고 이기적인 행태를 규탄하며, 다시 한 번 고객 개인정보 불법 유상판매에 대한 사죄와 보상 및 배상을 위한 대책을 마련 할 것을 강력하게 촉구한다. 나아가 테스코와 홈플러스는 매각을 추진하는 과정에서 협력업체와의 계약관계, 노동자의 심각한 고용불안, 소비자 권익 침해 등 다양한 문제에 대해 사회적 논란을 회피하지 말고 기업의 사회적 책임을 다해야 할 것이다.
이번 보고서는 지난 6월 24일부터 26일까지 3일 동안 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 협업 제안의 결과물이다. 오픈넷에서는 동시에 진행된 3개 세션 중 “조준된 공격의 위협 및 감시(Targeted Threats and Surveillance)” 세션에서 공동작업을 할 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대해 연구할 것을 제안한 바 있다.
지난 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 동 법령에 의하면 이통사는 계약체결시 단순히 차단수단에 대한 정보를 제공할 뿐만 아니라 강제로 설치를 해야 하며, 설치 후에는 차단수단이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 게다가 더 큰 문제는 부모의 거부권(opt-out)이 인정되지 않는다는 점이다. 오픈넷은 해당 법령의 청소년의 프라이버시와 부모의 교육권 침해 문제를 지속적으로 지적해왔다(http://opennet.or.kr/8853).
이번에 문제된 스마트보안관은 방통위가 개발 및 홍보예산을 지원해 한국무선인터넷산업연합회(MOIBA)에서 개발해 2012년부터 보급해오고 있었던 스마트폰용 애플리케이션이다. 무료일 뿐만 아니라 방통위가 권장하는 앱으로 차단수단 강제 설치가 시작된 이후 가장 널리 사용되고 있는 앱이다. MOIBA의 S-안심존 홈페이지에 의하면 스마트보안관을 “스마트폰 상에서의 음란, 폭력 등 불법·유해정보(앱, 인터넷사이트)를 차단하여 우리 자녀를 보호하고, 부모가 자녀의 올바른 스마트폰 이용을 지도하고 관리할 수 있는 서비스”라고 소개하고 있다.
하지만 시티즌랩 연구진에 의하면 스마트보안관은 “실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있”으며, “프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것이 입증”되었다. 보안 감사에서 발견된 26건의 보안 취약점들을 보면 스마트보안관은 이용자 정보의 저장 및 전송시 제대로 암호화를 하지 않아 공격자가 청소년의 정보를 모니터링하거나, 서버와 프로그램으로 위장하여 청소년의 정보를 변조하는 것을 가능하게 한다고 하며, 계정의 등록과 관리가 적절한 확인절차나 암호 없이도 가능하여 이용자 계정이 쉽게 도용되거나 탈취되어 스마트보안관이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다고 한다. 또 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 한다. 시티즌랩은 이러한 문제 때문에 즉시 스마트보안관서비스를 중단할 것을 권고하였다. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반인 것으로 판단된다.
물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 하지만 스마트보안관은 “선한 의도가 어떻게 매우 잘못된 결과를 초래할 수 있는지 정확하게 보여”준다. 정부는 유해정보 차단에만 집중한 나머지 이러한 감시앱이 우리의 아이들을 얼마나 큰 다른 위험에 노출시키는지에 대해서는 전혀 고려하지 않았다.
지금이라도 방통위는 당장 스마트보안관 서비스를 중단하고, 스마트보안관뿐만 아니라 방통위가 권장하고 있는 다른 차단수단에 대한 철저한 보안 감사를 거쳐야 할 것이다.
뿐만 아니라 궁극적으로는 개인의 통신기기를 타인이 감시할 수 있는 소프트웨어를 설치하도록 국가가 법으로 강제하겠다는 발상 자체가 심각한 보안상의 위험을 발생시킨다는 사실을 겸허히 받아들이고, 과연 청소년들이 단지 성인물에 접근하는 것을 막기 위해 청소년들이 이와 같은 보안상의 위험 및 프라이버시 침해를 감수하도록 하고 학부모들의 교육권을 교란하는 것이 현명한 일인지를 판단해보아야 할 것이다. 특히 빠른 시일 내에 전 세계적으로 유래가 없는 감시앱 강제화법인 전기통신사업법 및 법 시행령의 관련 조항들을 폐기하거나 개정해야 할 것이다. 사단법인 오픈넷은 진보네트워크센터와 함께 관련 조항들에 대한 헌법소원을 준비 중이다.
Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다.
오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다.
CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조).
첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.
<CLSI 첫 날 1세션 패널들의 모습>
먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다.
둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다.
그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다.
연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.
<CLSI 마지막 날 Wrap-up Session>
그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다.
오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.
시민들의 의견
댓글 달기