2015년 11월 4일, 검찰은 이석우 전 다음카카오 대표를 아동·청소년의성보호에관한법률(이하 아청법) 위반 혐의로 기소했습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직할 당시 온라인서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 하지 않아 지난해 6월 14일부터 8월 12일까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.
카카오 “기술적 조치 했다” vs. 검찰 “조치가 부족하다”
카카오 측은 “음란물 유통을 막기 위해 사업자로서 가능한 모든 기술적 조치를 취했고, 성인 키워드를 금칙어로 설정, 해당 단어를 포함한 그룹방 이름이나 파일을 공유할 수 없도록 사전적 조치를 취하고 있다”며 검찰의 기소에 반박했으나, 11월 10일 수원지검 성남지청은 보도자료를 내고 이 전 대표는 아동·청소년의성보호에관한법률 제17조 제1항과 시행령 제3조에 의거 온라인서비스제공자로서 아동·청소년이용음란물을 발견하기 위한 조치를 하지 않았다고 밝혔습니다.
아청법 제17조(온라인서비스제공자의 의무) 중
① 자신이 관리하는 정보통신망에서 아동·청소년이용음란물을 발견하기 위하여 대통령령으로 정하는 조치를 취하지 아니하거나 발견된 아동·청소년이용음란물을 즉시 삭제하고, 전송을 방지 또는 중단하는 기술적인 조치를 취하지 아니한 온라인서비스제공자는 3년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다. 다만, 온라인서비스제공자가 정보통신망에서 아동·청소년이용음란물을 발견하기 위하여 상당한 주의를 게을리하지 아니하였거나 발견된 아동·청소년이용음란물의 전송을 방지하거나 중단시키고자 하였으나 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다.
아청법 시행령 제3조(아동ㆍ청소년이용음란물 발견을 위한 조치) 중
① 법 제17조 제1항 본문에서 “대통령령으로 정하는 조치”란 다음 각 호의 모든 조치를 말한다. 다만, 다른 법률에서 정한 조치를 함으로써 아동ㆍ청소년이용음란물을 발견할 수 있는 경우에는 다음 각 호에 해당하는 조치의 전부 또는 일부를 하지 아니할 수 있다.1. 이용자가 아동ㆍ청소년이용음란물로 의심되는 온라인 자료를 발견하는 경우 온라인서비스제공자에게 상시적으로 신고할 수 있도록 하는 조치2. 온라인 자료의 특징 또는 명칭을 분석하여 기술적으로 아동ㆍ청소년이용음란물로 인식되는 자료를 찾아내도록 하는 조치② 온라인서비스제공자는 아동ㆍ청소년이용음란물로 판단하기 어려운 온라인 자료에 대해서는 「방송통신위원회의 설치 및 운영에 관한 법률」 제18조에 따른 방송통신심의위원회에 심의를 요청할 수 있다.③ 여성가족부장관은 온라인서비스제공자가 아동ㆍ청소년이용음란물을 발견하고 삭제 등의 조치를 하는 데 필요한 행정적 지원을 할 수 있으며, 이를 위하여 온라인서비스제공자, 관계기관 및 관련단체와 협력체계를 구축할 수 있다.
검찰은 카카오 측이 먼저 아동·청소년이용음란물에 대한 상시적 신고 기능을 제대로 갖추지 않았다고 했습니다. 그 이유는 음란물을 신고하려면 5단계나 거쳐야 하므로 접근성이 현저히 떨어진다는 것입니다. 신고를 위해 들어가야 하는 메뉴 순서는 다음과 같습니다.
설정 → 도움말 → 문의하기 → 그룹생성오류 → 유해게시물신고
그리고 두 번째 근거로 금지어(금칙어) 등을 통한 아동·청소년이용음란물 필터링 기능을 도입하지 않았다고 했는데요, 카카오의 다른 서비스인 ‘카카오스토리’에는 이용자 본인을 소개하는 프로필에 음란물을 상징하는 단어를 금지어로 등록했고, 카테고리를 등록할 때 사용하는 단어에도 금지어 사용 불가 기능이 존재했지만 ‘카카오그룹’은 없어 그런 기능이 없어 유포 방지 조치를 취하지 않은 것으로 판단한 것입니다. 즉, 필터링 의무를 다하지 않았다는 것입니다.
아청법 시행령의 제3조 제1항 중 제1호가 상시적 신고 기능, 제2호가 필터링 조치를 뜻합니다.
카카오는 정말 필터링 조치를 허술하게 했나
현재 널리 사용되고 있는 필터링 기술은 데이터베이스(DB) 필터링과 키워드 필터링 정도가 있습니다. 아동음란물뿐만 아니라 저작물, 일반 음란물 필터링도 마찬가지입니다.
그런데 DB 필터링은 아동음란물로 판단된 자료에서 추출한 URL, 해시값, DNA 등의 DB를 기반으로 필터링하는 것입니다. 즉, 이미 유통되고 있는 아동음란물을 찾아내서 분석하지 않으면 DB를 만들 수가 없습니다. 따라서 매일 새로 쏟아지는 아동음란물을 걸러낼 수 없다는 한계가 있습니다.
그리고 아동음란물의 “소지”도 처벌하는 아청법을 엄격하게 해석하자면 목적이 어떻든지 간에 사업자들은 DB의 소지만으로 처벌받을 수 있는 위험이 있습니다. 정부나 수사기관에서 필터링의 기반이 되는 DB를 제공하면 사업자들이 협조하기가 편하겠지만, 여성가족부나 방송통신심의위원회는 별도의 아동음란물 DB를 가지고 있지 않습니다. 현재 사업자들은 민간 필터링 업체에 의존하고 있습니다.
또한, 키워드 또는 금칙어 필터링은 키워드를 조금이라도 바꾸면 무용지물이 되는 데다가 아동음란물에만 국한된 키워드가 매우 한정적이라서 실효성이 별로 없습니다. 예컨대 “로리”라든지 “교복” 같은 키워드가 사용되었다고 해서 꼭 아동음란물이라고 보기는 어려울 것입니다. 현재로써는 컴퓨터가 아동음란물을 자동으로 걸러내는 기술은 없다고 볼 수 있습니다. 웹하드 업체 등 사업자들은 최선을 다해 필터링하고 있지만, 아동음란물이 발견되기만 하면 필터링 조치를 제대로 취하지 못한 것이 되어 처벌을 받고 있다고 호소합니다.
사기업이 이용자의 모든 자료를 들여다봐야 한다고?
결국, 카카오와 같은 온라인서비스제공자가 아동음란물을 완벽하게 필터링할 수 있는 최후의 수단은 이용자가 공유하는 모든 이미지와 동영상을 육안으로 직접 확인하는 것입니다. 하지만 이 방법은 카카오그룹과 같은 폐쇄형 소셜미디어(SNS)에서는 이용자의 통신 내용을 들여다보는 것이라는 점에서 “감청”과 다를 것이 없습니다. 사인에 의한 감청은 통신비밀보호법 위반입니다. 설령 카카오에 이러한 권리를 허용한다 하더라도 극소수의 범죄자를 찾아내기 위해 모든 이용자의 헌법상의 기본권(사생활의 비밀)을 침해하는 결과가 초래됩니다.
만약 육안으로 모니터링을 하는 것이 타당하다 하더라도, 아동음란물은 법적인 개념이고 음란물인지 아닌지는 맥락으로 판단해야 하므로 여기에도 한계가 있습니다. 물론 누가 봐도 명백한 아동 포르노가 있겠지만, 예컨대 교복물이나 애니메이션의 경우 계속 논란이 되고 있습니다.
아청법 제2조(정의) 중
“아동·청소년이용음란물”이란 아동·청소년 또는 아동·청소년으로 명백하게 인식될 수 있는 사람이나 표현물이 등장하여 제4호의 어느 하나에 해당하는 행위를 하거나 그 밖의 성적 행위를 하는 내용을 표현하는 것으로서 필름·비디오물·게임물 또는 컴퓨터나 그 밖의 통신매체를 통한 화상·영상 등의 형태로 된 것을 말한다.
오픈넷이 제기한 아청법 헌법소원에서 헌법재판소는 2015년 6월 25일 5:4의 결정으로 해당 정의 규정이 헌법에 위반되지 않는다고 판단했습니다.
“아동·청소년으로 인식될 수 있는 사람”은 일반인의 입장에서 외모, 신원, 제작 동기와 경위 등을 종합하여 볼 때, 실제 아동·청소년으로 오인하기에 충분할 정도의 사람이 등장하는 경우를 의미함을 알 수 있고, “아동·청소년으로 인식될 수 있는 표현물” 부분도 전체적으로 표현물을 등장시켜 각종 성적 행위를 표현한 매체물의 제작 동기와 경위, 표현된 성적 행위의 수준, 전체적인 배경이나 줄거리, 음란성 등을 종합하여 판단할 때 아동·청소년을 상대로 한 비정상적 성적 충동을 일으키기에 충분한 행위를 담고 있어 아동·청소년을 대상으로 한 성범죄를 유발할 우려가 있는 수준의 것에 한정된다고 볼 수 있으며, 기타 법관의 양식이나 조리에 따른 보충적인 해석에 의하여 판단 기준이 구체화되어 해결될 수 있으므로, 명확성 원칙에 위반된다고 할 수 없다.
그러나 어떤 표현물이 성범죄를 유발할 우려가 있는 수준인지에 대한 명확한 기준은 없다고 하겠습니다. 성인교복물이나 애니메이션의 경우 법원에서 무죄 판결을 받기도 했지만, 사업자나 이용자의 입장에서 판단하기가 어렵고 형사처벌을 받을 수 있으므로 이렇게 조금이라도 의심이 있는 경우에는 아동음란물로 판단하고 삭제를 하게 됩니다.
과도한 필터링 의무 부과, 국제적인 흐름에 역행한다
아청법상 필터링 의무는 이런 기술적 또는 현실적인 한계가 있을 뿐만 아니라, 더 중요하게는 정보매개자에게 불법정보에 대해 일반적인 감시 의무를 부과하는 것을 금지하는 국제적 흐름에 역행한다는 문제가 있습니다.
정보매개자란 다양한 정의가 있을 수 있지만, OECD 보고서를 보면 “인터넷상 제3자들이 생산한 정보의 공유가 가능한 플랫폼을 제공해주는 자”를 말한다고 하겠습니다. 이 기준에 맞기만 하면 ISP든, 검색엔진이든, SNS든 다 정보매개자가 됩니다. 다만 정보를 편집하거나, 직접 제작하거나 유통하는 경우에는 정보매개자라고 할 수 없습니다.
정보매개자의 책임이란 이러한 정보매개자가 제3자, 즉 이용자들이 유통하는 불법정보에 대해 책임을 져야 하는지의 문제입니다. 불법정보를 게시하거나 직접 유통한 자는 당연히 책임을 져야겠지만, 정보매개자의 서비스가 단순히 불법정보 유통에 사용된 경우에는 달리 봐야 할 것입니다.
예컨대 택배를 통해 마약이나 무기가 거래된 경우 택배사도 같이 처벌해야 할까요? 특별한 사정이 없다면 그래서는 안 될 것입니다. 그런 맥락에서 정보매개자의 책임 제한을 논의하게 됩니다. 현재 책임 제한에는 두 가지 원칙이 있습니다.
첫째, 피난처(세이프 하버; safe harbor)
둘째, 일반적 감시 의무 금지
피난처는 일정한 조건하에서 정보매개자를 제3자가 유통한 정보에 대한 책임으로 면책을 시켜준다는 것인데, 주로 권리자나 이용자에 의한 통지가 있어서 정보매개자가 불법정보에 대해 알게 된 경우에만 책임을 진다는 내용입니다.
즉, 일반적 감시 의무 금지는 말 그대로 정보매개자에게 정보를 일반적으로 감시, 즉 모니터링할 의무를 지워서는 안 된다는 내용입니다. 일반적 감시 의무 금지는 말 그대로 정보매개자에게 정보를 일반적으로 감시, 즉 모니터링할 의무를 지워서는 안 된다는 내용입니다.
왜 정보매개자의 책임을 제한해야 하는가
그럼 왜 정보매개자의 책임을 제한해야 할까요? 나아가 일반적인 감시의무 내지 필터링 의무 부과는 금지되어야 할까요? 그 필요성은 크게 세 가지로 나눌 수 있습니다.
먼저 인터넷의 문명사적 의미입니다. 헌법재판소에 의하면, 인터넷이란 익명 표현을 통해 민주주의 발전의 물적 토대를 제공하며, 사상의 자유시장에 가장 근접한 매체로 가장 참여적인 매체입니다. 즉 인터넷은 개인들이 타인의 허락 없이 공적 소통을 할 자유가 있는 공간으로, 그 특성으로 인하여 인류의 역사를 매우 짧은 시간 안에 완전히 바꾸어 놓았습니다. 누구의 허락도 받지 않고 소통을 할 수 있는 자유가 허락된 공간이 인터넷인 것입니다.
그런데 만약 이런 공간을 제공하는 정보매개자들에게 자신이 알 수 없는 불법행위들에 대해 책임을 지우기 시작한다면, 정보매개자들은 책임을 회피하기 위해 개개인의 소통을 검열하고 제한하거나, 아예 닫아버리게 됩니다. 그럼 결국 문명사적 중요성을 획득한 인터넷의 원천이 파괴될 수 있습니다. 허락받은 소통만이 가능한 공간은 더는 인터넷이 아니게 되는 것입니다.
두 번째 이유는 이용자의 인권 보호를 위해서입니다. 사업자들에 의해 이루어지는 사적 검열은 이용자들의 프라이버시를 침해합니다. 특히 그러한 검열이 카카오톡이나 이번에 문제가 된 카카오그룹 같은 통신 수단에 대해 이루어진다면 앞서 말씀드렸듯이 감청이나 다름이 없습니다.
또한, 이런 검열은 위축 효과를 불러오게 됩니다. 그리고 정보매개자는 조금이라도 문제가 될만한 정보라면 차단하고 삭제해서 책임을 회피하려 할 것입니다. 특히 책임이 클수록, 제한 요건이 불분명할수록 그럴 것입니다. 이는 온라인 표현의 자유를 또한 심각하게 침해하게 됩니다.
마지막으로는 인터넷 산업의 혁신과 발전을 위해서입니다. 필터링 기술이 날로 발전하고 있다고 해도, 아동음란물과 같은 법적 판단이 필요한 정보의 경우 결국은 육안으로 확인하는 수밖에 없습니다. 또한, 모니터링 내지 필터링 시스템을 갖추어야 하는 것은 1인 사업자나 대기업이나 마찬가지인데, 단지 정보매개자라는 이유로 이러한 과도한 부담을 지게 된다면 관련 산업을 위축시킬 뿐만 아니라 진입장벽을 만들게 됩니다.
그래서 국제적인 흐름은 이러한 일반적 감시의무를 금지하고 있습니다. 전 세계의 시민단체가 성안한 정보매개자책임에 관한 마닐라 원칙에서도 “정보를 적극적으로 모니터링할 의무를 부과해서도 안 된다”고 하고 있고, EU의 전자상거래지침, 저작권에만 적용되긴 하지만 미국 디지털 밀레니엄 저작권법 등이 대표적인 예입니다. 그러나 우리나라는 이러한 국제적 흐름에 역행하여 일반적 감시의무를 부과하는 법들이 많습니다.
마닐라 원칙
정보매개자는 제3자의 정보에 대한 책임으로부터 법적으로 보호되어야 한다.
사법당국의 명령 없이 정보 제한을 의무화해서는 안 된다.
정보 제한 요청은 명확하고, 모호하지 않으며, 적법절차를 따라야 한다.
정보 제한 관련 법, 명령 및 관행은 필요성과 비례성의 원칙을 준수해야 한다.
정보 제한 관련 법, 정책 및 관행은 적법절차를 존중해야 한다.
정보 제한 법, 정책 및 관행은 투명성과 책임성을 확립해야 한다.
특히나 아청법 제17조는 정보매개자 책임과 관련하여 전 세계적으로 유례가 없는 내용을 규정하고 있습니다. 물론 아동음란물 규제는 필요하지만, 제작자나 유포자가 아닌 단순한 정보매개자에게 과도한 책임을 지우는 것이 문제입니다. 정보매개자도 기여 정도에 따라 제작자나 유포자, 또는 방조자로 처벌하면 되는데, 사전적인 필터링을 제대로 하지 못했다고 하여 처벌을 하는 것은 어떻게 보면 국가가 해야 할 일을 정보매개자에게 떠넘기는 것이나 마찬가지입니다.
이렇게 정보매개자를 범죄를 막지 못했다는 이유로 범죄자와 동일시하여 과도한 형사책임을 지우는 것은 지양되어야 합니다. 오픈넷은 해당 규정이 최대한 빨리 폐기되어야 한다고 보고 있습니다. 아니면 사업자가 발견한 경우에는 신고 의무를 지우는 정도로 수정되어야 할 것이며, 궁극적으로는 사업자를 아동음란물 단속의 파트너로 보고 자율규제를 장려하고 선진국의 사례처럼 사업자-관계당국-시민사회의 원만한 협조체계를 구축해서 대응해야 할 것입니다.
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 2015년 8월 8일, 안드로이드용 “오픈 백신”을 일반에 공개했다. 오픈 백신은 국가정보원이 이용한 해킹팀(Hacking Team)의 스파이웨어인 RCS 감염 여부를 탐지하기 위한 자유/오픈소스 백신 프로그램이다. 이미 윈도우 PC용으로는 “디텍트(Detekt)”가 개발, 공개되어 있기 때문에, RCS의 공격 대상일 가능성이 높은 안드로이드용으로 개발하였다.
오픈 백신 개발의 취지
지난 7월 5일, 정부 기관에게 해킹 프로그램인 RCS를 판매해 온 이탈리아 기업 ‘해킹팀’이 해킹 당하면서 내부자료 400GB가 유출되었다. 유출된 자료에는 ‘해킹팀’이 고객과 주고받은 이메일, 소스 코드, 계약사항 등이 포함되어 있었는데, 이를 통해 한국의 국가정보원 역시 지난 2012년부터 해킹팀의 고객이었음이 드러났다.
해킹팀의 RCS는 이용자의 PC나 스마트폰을 감염시켜 이메일, 메신저, 전화통화 등을 모니터링 할 수 있고, 심지어 기기의 카메라나 마이크도 몰래 조작할 수 있는 강력한 감시 프로그램이다. 이미 해외에서는 해킹팀이나 핀피셔와 같은 감시 프로그램이 인권 활동가, 언론인, 정치적 반대자에 대한 감시 수단으로 활용되고 있는 것에 대한 비판이 높다. 예를 들어, 2012년에는 해킹팀의 RCS가 모로코와 아랍에미레이트의 기자와 인권 활동가를 감시하는데 사용되었다는 의혹이 제기되었다. 이 때문에 해킹팀은 인권단체에 의해 ‘인터넷의 적’으로 선정되기도 했다. 캐나다의 비영리 연구기관인 시티즌랩(Citizen Lab)은 지난 2014년 2월 27일, 한국을 포함한 21개국 정부가 RCS를 사용하고 있다고 보인다는 공식 보고서를 발표했다.
국정원은 RCS 구입 사실을 인정했지만, 이를 해외 정보 수집과 연구용으로 이용했다고 변명하고 있다. 그러나 해킹팀에서 유출된 자료를 보면, 국정원이 우리 국민에 대한 감시를 위해 RCS를 이용했다는 정황이 드러나고 있다. 카카오톡 해킹이 가능하도록 요구하고, 삼성 갤럭시 신모델이 나올 때마다 이를 위한 업그레이드를 요구했다. 대표적인 백신 프로그램인 안랩의 ‘V3 모바일 2.0’과 같은 백신을 회피하기 위한 방법도 문의하였고, 서울대 공대 동창회 명부’라는 제목의 워드 파일, <미디어오늘> 기자를 사칭한 천안함 보도 관련 문의 워드 파일에 악성코드를 심어달라고 요청하였다. 또한, △네이버 맛집 소개 블로그 △벚꽃축제를 다룬 블로그 △삼성 업데이트 사이트 등 내국인들이 주로 방문할 것으로 보이는 사이트 등을 피싱 용도로 활용하고자 했다. 대선이나 지방선거 등 주요 선거를 앞두고 RCS를 사용했다는 점도 석연치 않다.
그러나, 국정원은 이러한 모든 의혹을 부정하면서도, 이를 뒷받침할 수 있는 근거 자료를 국회 정보위원회에조차 제출하지 않고 있다. RCS와 같이 감청보다 훨씬 심각한 인권 침해를 야기할 수 있는 감시 프로그램을 누구의 통제로부터 받지 않고 국정원이 사용해왔다는 것 자체가 큰 문제이며, 국정원 개혁을 통해 국정원이 국민의 감독과 통제 하에서 활동하도록 할 필요가 있다.
국회는 국가정보원의 불법적인 감시 활동 실태에 대해 철저한 진상을 조사해야 한다. 동시에 우리는 오픈 백신을 통해 국민 스스로 국정원의 RCS의 피해를 입었는지 여부에 대해 파악하고자 한다. 오픈 백신의 개발은 RCS의 감염 여부를 탐지하여 피해를 복구하기 위한 조치임과 동시에, 국정원의 불법적인 감시 활동 여부를 탐지하기 위한 것이다.
국민 백신 프로젝트
(사)오픈넷, 진보네트워크센터, P2P재단코리아준비위원회는 오픈 백신 개발을 위해 ‘국민 백신 프로젝트’를 시작하였다. 세 단체는 오픈 백신의 초기 개발을 지원하며, 프로그램의 소스 코드를 공개하여 향후에는 기술적 재능이 있는 누구나 오픈 백신 개발에 참여할 수 있도록 할 계획이다. 이를 통해 해킹팀이 개발한 RCS 뿐만 아니라, 핀피셔(FinFisher)와 같이, 정부의 시민 감시에 이용되는 다른 스파이웨어로 탐지 대상을 확대하고, 안드로이드 및 윈도우 외의 다른 운영체제도 지원할 수 있을 것이다. 오픈 백신은 한국 내에서 국가정보원의 허가를 받을 필요가 없다. 감시에 악용되는 스파이웨어에 맞서기 위해 국민 참여형 대응이 가장 훌륭한 방식임을 보여주고자 한다. 오픈 백신은 전 세계 개발자 누구나 참여할 수 있으며, 개발된 프로그램은 누가 독점하지도 않고 모두에게 개방된다.
오픈 백신은 개발에 필요한 비용을 충당하기 위하여, 현재 진보네트워크센터에서 운영하는 소셜 펀딩 플랫폼인 ‘소셜펀치’를 통해 누구나 후원할 수 있도록 하고 있다.
오픈 백신이 지원하는 운영체제
오픈 백신은 1차적으로 안드로이드용 앱으로 제작되었다. 또한, 악의적인 누군가가 오픈 백신을 스파이웨어에 감염시킬 우려가 있기에, 오픈 백신은 플레이 스토어에서만 다운로드 받을 수 있도록 했다.
당신의 스마트폰이 해킹팀의 감시코드에 감염되었을 가능성이 있다. 오픈 백신은 RCS 감염 여부를 탐지할 뿐, 해당 스마트폰을 치료하는 것은 아니다. 만일 RCS가 검출되었다는 결과가 나올 경우, 스마트폰에 대한 보다 엄밀한 검사가 필요하다.
‘신고’ 버튼을 클릭하면, 검사 결과를 제작팀에 발송할 수 있다. 제작팀은 포렌식 분석을 통해 스마트폰의 감염 여부에 대해 보다 엄밀한 검사를 제공할 것이다.
오픈 백신의 용도 및 다른 백신 프로그램의 이용
오픈 백신은 모든 종류의 바이러스나 스파이웨어를 탐지하고 치료하는 일반적인 상용 백신을 목표로 하지 않는다. 1차적으로는 해킹팀의 스파이웨어인 RCS만을 목표로 하며, 앞으로도 시민 감시를 목적으로 하는 다른 스파이웨어 탐지용으로 확대할 계획이다. 즉, 국민 감시용 스파이웨어 전용 백신을 목적으로 한다.
오픈 백신의 제작 계획을 발표한 이후, 다른 상용 백신 업체들도 이미 RCS를 검출할 수 있도록 업데이트하고 있다는 보도가 있었다. 우리는 이를 환영한다. 더 많은 백신 프로그램의 성능이 업데이트된다면 좋은 일이다. 오픈 백신으로 RCS가 탐지되지 않더라도, 다른 스파이웨어나 악성 코드를 방어하기 위해 스마트폰용 백신을 정기적으로 실행할 것을 권고한다.
오픈 백신의 작동 원리
오픈 백신은 이번에 해킹팀의 해킹으로 유출된 RCS의 시그니쳐(식별코드)를 데이터베이스화하여, 이를 스마트폰의 파일과 비교하는 방식으로 탐지를 진행한다. 이러한 시그니쳐는 발견이 되면 계속 자동 업데이트될 예정이며 다른 스파이웨어의 시그니쳐도 지속적으로 업데이트될 예정이다.
국정원이 해킹팀으로부터 사들인 스파이웨어(RCS)를 불특정 다수 국민의 스마트폰에 감염시키면 어떤 일이 생길까? 상상하기도 싫지만, 스파이웨어에 감염된 국민이 직접 대응할 수 있는 방법은 많지 않다. 왜? 국정원은 사실상 국내 백신 업체의 ‘갑’ 노릇을 한다. 이런 현실에서 국내 백신 업체들이 국정원이 이용하는 스파이웨어를 감지하는 전용 백신을 개발할 수 있을까? 새정치민주연합의 안철수 국회의원이 안랩을 포함한 10여 개 국내 보안업체에게 도움을 요청했으나 업체들이 이 요청에 적극 나서지 않는다는 말이 벌써부터 들리고 있다.
이에 시민이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족했다. 그리고 어제(2015년 7월 30일) 국회 의원회관에서 발표회를 개최했다. 국민 백신 프로젝트를 주도한 남희섭 오픈넷 이사에게 국민 백신 프로젝트의 이모저모와 향후 계획을 물었다.
남희섭 오픈넷 이사 일문일답
– 이왕에 엠네스트 주도로 ‘디텍트’가 개발됐다. ‘국민 백신’과 디텍트의 차이점은.
디텍트는 PC용인데, 국민 백신은 안드로이드 모바일에 주안점을 두고 프로젝트를 진행하고 있다.
– 모바일 중심이라고 했는데, 특히 안드로이드가 주력인 이유는?
개발자의 증언에 의하면 안드로이드폰이 잘 감염된다고 한다. 아이폰은 애플이 직접 패치를 내놓으면 이용자가 바로 업데이트를 할 수 있으나 안드로이드폰은 구글이 패치를 내놓아도 제조사까지 전달되서 실제 이용자의 스마트폰에 적용되기까지 시간이 걸리기 때문에 보안에 취약성이 있다는 설명이었다. 더불어 우리나라 모바일 사용자의 압도적 다수가 안드로이드폰 이용자기이도 하다.
– 국민 백신은 의미 있는 프로젝트다. 하지만 지속 가능성을 담보할 수 있을지는 걱정이다. 해킹과 백신은 ‘창과 방패’, ‘톰과 제리’의 게임이라서 지속성을 담보하지 못하면 큰 의미가 없지 않나.
당연히 걱정하는 부분이다. 큰 백신 개발업체라면, 상시 인력이 그때그때 바로바로 업데이트할 수 있겠지만, 국민 백신 프로젝트는 참여 개발 인력이 충분하다고 볼 수는 없다.
– 어떻게 이런 난제를 극복할 생각인가.
국민 백신은 ‘오픈소스’로 개발하고 있다. 프로그램 코드를 공개하는 것이다. 현재 개발인력도 최선을 다하겠지만, 국민 백신 프로젝트의 취지에 공감하는 개발자들이 업데이트에 참여할 것으로 기대한다. 이런 참여가 임계점을 넘으면. 지속 가능성을 담보할 수 있으리라 생각한다.
– 기존 보안업체에 협조를 요청했나. 상호 사전 협의가 있었는지 궁금하다.
처음에 프로젝트를 구상할 때 기존 업체의 참여를 전혀 기대할 수 없는 상황이었다. 이제는 널리 알려진 사실이지만, 사실상 국정원이 보안 업체의 ‘갑’ 노릇을 하는 상황이다. 익명을 전제로 보안업체의 분위기를 전한 한 개발자는 이렇게까지 말했다.
“민감한 사안이다. 밥줄 잘린다. 전용 백신 개발 가능성은 전혀 없다.”
기존 보안업체가 전용 백신을 개발한다는 것은 전혀 기대할 수 없는 상황이라고 판단하고, 국민 백신 개발에 착수했다.
– 현재 확보한 개발 인력은 어느 정도인가.
현재 엔진을 만드는 사람 4명이다. 여기에 해외 ‘화이트해커’ 그룹도 참여하고 있다.
– 향후 개발 계획은?
원래는 발표회에서 베타 버전을 발표하고, 다음 주(2015년 8월 첫째 주) 정식 발표하려고 했다. 하지만 일정이 생각보다 좀 늦어지고 있다. 내부적으로 테스트한 뒤에 다음 주 베타 버전을 발표할 계획이다.
– 어떤 방식으로 배포할 계획인지.
우선 안드로이드 모바일 사용자에게는 구글 플레이 스토어에 국민 백신 앱을 업로딩하면 간단하다. PC용으로도 개발할 계획이다.
– PC용은 어떤 방식으로 배포되는가.
안드로이드용은 배포 플랫폼이 있어서 걱정이 없는데, PC용은 홈페이지에 올리면 해커들에게 공격 받을 가능성이 크다고 한다. 그래서 PC용 버전 배포방식을 고민하고 있다. P2P 방식으로 배포하는 것까지 포함해서 현재 논의 중이다.
– 끝으로 당부하고 싶은 말이 있다면.
자기 정보 인권을 스스로 지켜야 한다. 직접 스스로 자신의 권리를 지키는 행동을 해보는 체험이 중요하다. 하지만 해킹이나 감시, 감청 등의 정보 인권 침해에 평범한 개인이 할 수 있는 일은 별로 없다. IT 영역의 전문지식을 모든 국민이 가질 수는 없는 노릇이고, 그럴 필요도 없다.
하지만 선의의 전문가들이 참여하는 국민 백신과 같은 프로젝트에 참여하는 것으로도 충분히 스스로 자기 권리를 지키는 구체적인 ‘행동’에 참여하는 일이다. 이런 체험을 통해 스스로 권리를 자신이 지킨다는 걸 체감할 수 있다면 좋겠다.
참고로 사단법인 오픈넷, 진보네트워크센터, P2P재단코리아준비위원회가 현재 개발 중인 ‘오픈 백신’은 설치된 해킹 프로그램을 치료하는 프로그램은 아니다. 치료보다는 해킹 프로그램의 설치 여부를 진단하는 것이 목표다. (편집자)
시민단체 경실련 소비자정의센터, 진보네트워크센터와 새정치민주연합 장병완, 최원식 의원은 개인정보 비식별화 개념이 갖고 있는 문제점을 진단하는 토론회를 공동으로 개최하고자 합니다. 토론회에서는 관련 문제 진단 뿐만 아니라 빅데이터 산업 활성화를 추진하기 이전에 반드시 최우선적으로 고려해야 할 개인정보 보호에 있어 대안모색 등을 논의하고자 합니다.
우리는 국민적 염원을 담아 국회가 진상규명과 제도개선에 매진하여야 한다고 생각합니다. 이에 기자회견을 갖고, 국회가 국정원의 해킹프로그램 등을 통한 불법사찰 의혹 사건 진상규명을 위해 국정조사를 실시하고 특별검사를 임명하는 한편 국정원에 대한 감독통제제도를 마련할 것을 청원합니다.
우리 13개 시민·소비자단체들은 홈플러스와 테스코의 추악하고 이기적인 행태를 규탄하며, 다시 한 번 고객 개인정보 불법 유상판매에 대한 사죄와 보상 및 배상을 위한 대책을 마련 할 것을 강력하게 촉구한다. 나아가 테스코와 홈플러스는 매각을 추진하는 과정에서 협력업체와의 계약관계, 노동자의 심각한 고용불안, 소비자 권익 침해 등 다양한 문제에 대해 사회적 논란을 회피하지 말고 기업의 사회적 책임을 다해야 할 것이다.
이번 보고서는 지난 6월 24일부터 26일까지 3일 동안 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 협업 제안의 결과물이다. 오픈넷에서는 동시에 진행된 3개 세션 중 “조준된 공격의 위협 및 감시(Targeted Threats and Surveillance)” 세션에서 공동작업을 할 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대해 연구할 것을 제안한 바 있다.
지난 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 동 법령에 의하면 이통사는 계약체결시 단순히 차단수단에 대한 정보를 제공할 뿐만 아니라 강제로 설치를 해야 하며, 설치 후에는 차단수단이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 게다가 더 큰 문제는 부모의 거부권(opt-out)이 인정되지 않는다는 점이다. 오픈넷은 해당 법령의 청소년의 프라이버시와 부모의 교육권 침해 문제를 지속적으로 지적해왔다(http://opennet.or.kr/8853).
이번에 문제된 스마트보안관은 방통위가 개발 및 홍보예산을 지원해 한국무선인터넷산업연합회(MOIBA)에서 개발해 2012년부터 보급해오고 있었던 스마트폰용 애플리케이션이다. 무료일 뿐만 아니라 방통위가 권장하는 앱으로 차단수단 강제 설치가 시작된 이후 가장 널리 사용되고 있는 앱이다. MOIBA의 S-안심존 홈페이지에 의하면 스마트보안관을 “스마트폰 상에서의 음란, 폭력 등 불법·유해정보(앱, 인터넷사이트)를 차단하여 우리 자녀를 보호하고, 부모가 자녀의 올바른 스마트폰 이용을 지도하고 관리할 수 있는 서비스”라고 소개하고 있다.
하지만 시티즌랩 연구진에 의하면 스마트보안관은 “실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있”으며, “프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것이 입증”되었다. 보안 감사에서 발견된 26건의 보안 취약점들을 보면 스마트보안관은 이용자 정보의 저장 및 전송시 제대로 암호화를 하지 않아 공격자가 청소년의 정보를 모니터링하거나, 서버와 프로그램으로 위장하여 청소년의 정보를 변조하는 것을 가능하게 한다고 하며, 계정의 등록과 관리가 적절한 확인절차나 암호 없이도 가능하여 이용자 계정이 쉽게 도용되거나 탈취되어 스마트보안관이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다고 한다. 또 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 한다. 시티즌랩은 이러한 문제 때문에 즉시 스마트보안관서비스를 중단할 것을 권고하였다. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반인 것으로 판단된다.
물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 하지만 스마트보안관은 “선한 의도가 어떻게 매우 잘못된 결과를 초래할 수 있는지 정확하게 보여”준다. 정부는 유해정보 차단에만 집중한 나머지 이러한 감시앱이 우리의 아이들을 얼마나 큰 다른 위험에 노출시키는지에 대해서는 전혀 고려하지 않았다.
지금이라도 방통위는 당장 스마트보안관 서비스를 중단하고, 스마트보안관뿐만 아니라 방통위가 권장하고 있는 다른 차단수단에 대한 철저한 보안 감사를 거쳐야 할 것이다.
뿐만 아니라 궁극적으로는 개인의 통신기기를 타인이 감시할 수 있는 소프트웨어를 설치하도록 국가가 법으로 강제하겠다는 발상 자체가 심각한 보안상의 위험을 발생시킨다는 사실을 겸허히 받아들이고, 과연 청소년들이 단지 성인물에 접근하는 것을 막기 위해 청소년들이 이와 같은 보안상의 위험 및 프라이버시 침해를 감수하도록 하고 학부모들의 교육권을 교란하는 것이 현명한 일인지를 판단해보아야 할 것이다. 특히 빠른 시일 내에 전 세계적으로 유래가 없는 감시앱 강제화법인 전기통신사업법 및 법 시행령의 관련 조항들을 폐기하거나 개정해야 할 것이다. 사단법인 오픈넷은 진보네트워크센터와 함께 관련 조항들에 대한 헌법소원을 준비 중이다.
Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다.
오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다.
CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조).
첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.
<CLSI 첫 날 1세션 패널들의 모습>
먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다.
둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다.
그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다.
연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.
<CLSI 마지막 날 Wrap-up Session>
그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다.
오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.
지난 10월 6일, 유럽 사법재판소는 EU와 미국 간 정보공유 협정(세이프하버)은 EU 시민의 프라이버시 권리를 충분히 보호하지 못하는 것으로 무효라고 판결했습니다. 지금까지 이 협정에 의해 구글, 페이스북 등 미국의 글로벌 기업들은 유럽 시민들의 개인정보를 미국의 본사와 공유할 수 있었습니다. 그런데, 유럽 사법재판소가 위 협정이 유럽 시민의 개인정보를 충분히 보호할 수 없다고 제동을 건 것입니다.
[정보인권연구소 토론회] 유럽 사법재판소의 미국-EU 정보공유 협정 무효화의 의미
지난 10월 6일, 유럽 사법재판소는 EU와 미국 간 정보공유 협정(세이프하버)은 EU 시민의 프라이버시 권리를 충분히 보호하지 못하는 것으로 무효라고 판결했습니다. 지금까지 이 협정에 의해 구글, 페이스북 등 미국의 글로벌 기업들은 유럽 시민들의 개인정보를 미국의 본사와 공유할 수 있었습니다. 그런데, 유럽 사법재판소가 위 협정이 유럽 시민의 개인정보를 충분히 보호할 수 없다고 제동을 건 것입니다.
전자프론티어재단(EFF), 프라이버시인터내셔널(Privacy International) 등 전 세계 정보인권단체들은 이 결정을 환영하며, 스노든의 폭로로 드러난 미국 정부의 무차별 감시가 이러한 판결의 원인이 되었음을 지적하고 있습니다.
한편, 오는 10월 16일(금)에는 지난 2014년 국내 정보인권단체와 활동가들이 제기한, 구글에 대한 개인정보 공개 소송에 대한 선고가 있을 예정입니다.
시민들의 의견
댓글 달기