암호화, 국가안보vs사생활보호

Column 049

2017-05-25-1495679573-1444469-49_00-thumb

백척간두에 선 듯 한 치도 양보할 수 없이 그냥 막 옳은 주제들이 있다. 이를테면, 국가 안보 그리고 사생활 보호. 그런 고집 센 것들이 어쩌다 서로 부딪히게 되면 각자 무조건 옳기 때문에 아주 요란해진다. 중간 어디쯤에서 대충 타협점을 찾으면 속 편하겠다만, 그게 그리 쉬운 일 아니다. 옳아서 옳고 옳기에 옳은 것들이라 서로 한 치도 양보할 수 없기 때문에.

국가안보vs사생활보호
국가 안보(National Security), 어떤 나라에 공포와 불안이 없는 상태를 뜻한다. 나라 안팎의 온갖 위협으로부터 국민과 영토와 주권을 보호하는 일, 안보는 국가가 수행하는 여러 가지 일들 중에서도 가장 중요한 기본 기능이다. 이를 위해 군사와 정보뿐 아니라 정치, 경제, 외교, 사회, 문화, 과학, 기술 등 모든 수단과 방법을 종합적으로 운용함으로써 위협을 제거하거나 방어하고 미연에 방지하려 애쓴다. 안보를 위협하는 요소가 완전히 사라진다는 건 아예 불가능한 일이므로, 이는 달성이 아닌 추구의 개념이다. 즉, 모든 국가는 안보를 위해 늘 최선을 다해야 하는 거다. 아니라면 국가라는 것은 아예 성립하지 않는다.
그리고, 사생활(Privacy) 보호. 사생활이란 개인이 일상 생활 중 공적으로 드러내지 않고 사적으로 가지는 영역을 말하며, 사생활의 자유란 인간 행복의 최소 단위인 나만의 영역을 갖는 것을 뜻한다. 내 사생활은 나의 동의 없인 함부로 공개될 수 없으며, 누구든 이를 침해하면 관련 법에 저촉된다. 사생활 침해란 개인의 사생활 영역, 인간 존엄성 유지를 위한 주거의 자유, 사생활의 비밀과 자유, 통신의 비밀과 자유 등을 본인의 동의 없이 타인이 침해하는 일이다. 요즘 말 많고 탈 많은 개인정보의 유출, 오용, 남용 등도 사생활 침해에 해당한다.
따라서, 모든 수단과 방법을 총동원해야 하는 국가안보와 그럼에도 나만의 영역을 꼭 지키야겠다는 사생활보호는 서로 부딪힐 수밖에 없다. 이는 정말 오래된 충돌인데, 매일매일이 일촉즉발 위기인 요즘은 난데없이 암호화를 두고 안보vs사생활 논쟁이 치열하다.

“테러리스트 잡겠다는데 정부에 협조해야지!”
“그렇다고 기본적인 사생활 보호를 무시해서야!”

이는 세계 곳곳에서 테러 사건이 벌어질 때마다 불거지는 논쟁이다. 최근 사례로는 2017년 3월 22일, 영국 웨스트민스터 사원 테러 공격 수사 과정에서, 테러리스트들이 ‘왓츠앱(WhatsApp)’ 메신저를 통해 연락을 주고 받았다는 사실을 알아냈지만 메시지의 암호화를 풀지 못해 내용에 접근할 수 없었다. 영국 내무장관인 앰버 루드(Amber Rudd)는 “정보기관은 어떤 암호화 환경에 대해서도 즉각 개입할 수 있는 능력을 갖춰야 한다”고 말했다. 그리고 지난 2015년 12월 2일, 미국 캘리포니아 샌버너디노 테러 사건에서도 수사기관은 테러리스트가 사용했던 아이폰 전화기를 확보했지만 잠금 장치를 해제하지 못해 수사를 할 수 없었다. 이를 두고 애플 사의 CEO 팀 쿡과 공개적으로 아주 치열한 논쟁을 벌인 FBI 제임스 코미(James Comey) 국장은 “암호화 논란 때문에 우리 모두의 미래가 더더욱 어두컴컴해지고 있다”고 말했다. 앰버 루드와 제임스 코미, 두 사람의 주장은 같다. 바로,

“국가안보를 위해서라면 정부가 암호화를 풀 수 있어야 한다.”

어째, 옳은 말 같다. 테러리스트들을 잡기 위한 수사 과정에서만 쓰겠다는데, 당연히 그래야 하지 않나. 범죄자 사생활 보호가 테러에 목숨을 잃은 무고한 희생자들의 생명보다 중요한가. 만약 보안이 문제라면 훨씬 더 강력한 보안조치를 취하면 될 일 아닌가.

정보보안 전문가들 중에도 그렇게 말하는 사람이 있다. 그 유명한 ‘RSA‘ 암호 시스템은 개발자 3명의 이름 앞글자를 딴 것인데, RSA의 ‘S’에 해당하는 이스라엘의 암호학자 아디 사미르(Adi “S”hamir)는 “애플은 FBI 결정에 따라야 한다. 일단 아이폰 OS에 암호화를 무력화할 백도어를 심고 나서, 그 후에 일반 사용자들의 전화기에선 작동하지 않도록 보안 조치를 강화하는 게 나았을 것”이라고 말했다. 그외 다른 사례도 살펴보고 싶었는데, 찾지 못했다. 대다수의 전문가들은 모두 다 애플 편을 들었다. 왜?

암호화란 정보를 보호하기 위해 암호화 열쇠로 자물쇠를 잠그는 셈이니, 정부기관 주장에 따라 ‘뒷문’을 만들어 둔다는 건 암호화 자체에 대한 무력화 시도나 마찬가지다. 딱 그 자물쇠만을 여는 열쇠 같은 건 없다. 어떤 자물쇠가 범죄에 사용될지는, 아무도 모르잖아,, 만약 그런 게 있다면 모든 자물쇠를 다 열 수 있는 만능 열쇠나 마찬가지다. 따라서 ‘제한적 사용’이란 말은 사실상 불가능한 말이다.

더군다나, 어떤 제품에든 사용된 암호화 수준으로 강력한 암호화 기술은 이미 숱하게 공개되어 있다. 정부가 어떤 물건에 뒷문을 만들었다고 의심되면, 그거 말고 다른 물건을 사용하면 그만이다. 그러니 세상의 모든 암호화 기술에 대한 만능 열쇠가 아니라면 뒷문 요구는 애초에 무의미한 것이다. 그리고, 그런 짓 저지르는 자들은 정부만큼이나, 아니 정부보다 훨씬 더 온갖 편법 악용에 능한 자들이다. 그럴 거 같지 않지만 정부가 만약 정직하게 ‘제한적 사용’ 약속을 지킨다면, 정부는 아주 가끔 드나들고 범죄자들은 항상 들락거리는 문을 만드는 거나 마찬가지다. 여기서 정보보안의 무시무시한 일반론을 되짚어 보자.

“해킹은 반드시 일어난다.”

그렇다. 예외 없이 반드시 일어난다. 안타깝게도, ‘해킹 방어’는 이미 끝장난 개념이다. 그럼에도 안 할 수는 없으니 열심히 해야 하는 일이고. 따라서 결국엔 정부가 범죄자를 잡는 일보다 범죄자들에 의한 일반 시민의 사생활 침해가 훨씬 더 자주 일어나게 된다. 그리고 정부의 압박에 따라 합법적으로 설치된 백도어를 통한 정보 유출 사고 또한 지금도 끊임없이 일어나고 있는 것이다.

공격자 입장에서 보자면, 이거 엄청 편하다. 예전처럼 방어막 겨우 뚫고 들어가 데이터베이스를 노려 침투하는 등 번거로운 일 없이 그냥 딱 문 열고 들어가서 다 들고 나오는 거다. 문이 거기 있으니까. 앞문이든 뒷문이든, 모든 문은 열린다.

그래서 거의 모든 정보보안 전문가들이 애플 편을 드는 것이다. 유사한 주제를 두고 MIT는 ‘현관 깔개 밑 열쇠(Keys Under Doormats)’라는 보고서를 작성했다. 부제는 ‘Mandating insecurity by requiring government access to all data and communications’, 정부가 모든 데이터가 접근하기 위해 강제한 불안. 그 내용을 보면, “정부가 정보에 접근하기 위해 만든 장치들 때문에 발생하는 위험은 과거보다 훨씬 더 심각해지고 있다. 어떤 이유에서든 예외적 정책이나 기술을 도입하고 나면, 그것을 통제하기 위해 더 큰 위험이 생겨난다. 그리고 그에 따른 인권 침해 등 불법 행위가 발생하지 않기 위한 기술적 조치 또한 점점 더 어려운 일이 되어가고 있다.”

현실이 그러하다. 따라서 “국가안보를 위해서라면 정부가 암호화를 풀 수 있어야 한다”는 말이 그냥 막 옳은 듯싶지만 실은 아주 위험한 말인 것이다. 국가안보와 사생활보호, 암호화를 둘러싼 끊임없는 논쟁이 실제로 뜻하는 바는 딱 하나의 사실뿐이다.

“암호화는 풀 수 없다.”

FBI도 못 풀고 MI6도 못 풀고 NSA도 못 푼다. 음모론자들은 “그들은 이미 모든 것을 다 보고 있다!” 떠들지만, 못 본다. 설마 이미 다 보고 있다는 사실을 감추기 위해 일부러 아닌 척 호들갑을 떨고 있는 게 아니라면 말이다. 근데, 그들이 그렇게까지 노련할 것 같지는 않다.