스웨덴 당국이 메신저 앱 시그널(Signal)에 추후 데이터 소환이 필요할 경우를 대비해 모든 보안 메시지와 일반 텍스트 사본을 저장할 것을 요청했다. 지난 26일 시그널 CEO는 이 규정에 따르기보다 차라리 스웨덴에서 사업을 철수하겠다고 밝혔다.
이는 한 보안 메시지 기업과 한 정부의 규제 차원을 훨씬 넘어서는 문제일 수 있다. 유럽연합 역시 유사한 규제를 검토 중인데, 대부분 데이터에 대한 백도어를 요구하고 있어 단순히 사본을 저장하는 것보다 더 문제가 될 수 있다. EU뿐만 아니라 영국, 프랑스, 미국 등 여러 국가가 비슷한 움직임을 보이고 있다. 규제 기관들이 보안 통신에의 접근 권한이 있어야 한다고 주장함에 따라, 기업이 암호화된 통신을 효과적으로 사용할 수 있는지에 대한 근본적인 의문이 제기되고 있다.
시그널 CEO 메러디스 휘태커는 스웨덴 뉴스 매체와의 인터뷰에서 “이는 사실상 전체 운영의 근간인 암호화를 무력화하라는 요구와 같다. 데이터 저장 요구는 시그널의 전체 아키텍처를 훼손할 수 있기에 절대 수용하지 않을 것이다. 차라리 스웨덴 시장에서 완전히 철수할 것”이라고 강조했다. 그는 또한 “스웨덴의 요구에 따라 취약점을 만든다면, 이는 시그널의 전체 네트워크를 약화시키는 결과를 초래할 수 있다”라고 설명했다.
이달 초에는 영국에서 애플의 아이메시지 암호화를 두고 유사한 논쟁이 있었다. 애플이 강력히 반발하자 영국 규제 기관은 일단 한 발 물러난 상태다. 시그널 역시 2년 전 영국 규제 기관과 비슷한 문제를 겪었으며, 반대 의사를 표명하자 규제 당국은 요청을 철회했다.
현재 많은 국가와 규제 기관은 암호화 접근권을 요구하기 위해 아동·청소년 성착취물 단속이나 암호화로 법 집행을 회피하는 범죄 조직 색출 등을 명분으로 제시하고 있다.
인포테크 리서치 그룹(Info-Tech Research Group)의 수석 연구 이사 프레드 샤뇽은 이런 요구가 선의를 갖고 있더라도 결국 실패할 수밖에 없으며 심각한 부작용을 초래할 것이라고 지적했다. 암호화를 무력화하는 규제가 시행되더라도 범죄자들이 단순히 다른 방법을 찾게 될 것이라는 점 때문이다. 반면 그는 권위주의 정권의 감시망 밖에서 진정으로 소통해야 하는 사람들이 심각한 피해를 입을 수 있다고 우려했다.
메시지 사본을 일반 텍스트로 보관해야 한다는 스웨덴 당국의 요구에는 실질적인 보안 문제도 뒤따른다. 법 집행기관을 위해 보관된 데이터라도 일단 저장되면 해당 업체의 시스템을 침입하는 어떤 그룹에게도 노출될 위험이 있기 때문이다.
샤뇽은 “암호화 접근권을 요구하는 정부 기관들은 근시안적이고 위험한 게임을 하고 있다. 이는 단일 앱이나 국가의 문제가 아니라 안전한 통신에 대한 기본권 문제다. 시그널에게 핵심 보안을 타협하도록 강요함으로써, 종단간 암호화를 사실상 불법으로 본다는 신호를 보내고 있다. 이는 사적이고 안전한 통신이 불가능해지는 선례를 만든다. 백도어 도입은 해결책이 아니라 시스템적 실패이며, 일시적으로만 완화될 수 있는 영구 취약점을 만든다. 결국 이런 제어는 필연적으로 실패할 수밖에 없다. 본격화될 경우 플랫폼의 보안 부재는 버그가 아니라 특징이 될 것”이라고 지적했다.
하지만 샤뇽은 규제 당국이 보안 통신 접근을 허용할 의향이 있는 업체를 찾을 경우 상황이 급변할 수 있다고 경고했다. 그는 “기업이 한 번 굴복할 때마다 다음 싸움에서 이기기가 기하급수적으로 어려워진다. 정부 기관들은 요구 사항에 동의할 회사를 찾게 될 것이며, 이는 위험한 선례가 될 수 있다. 이들은 의도하지 않은 결과의 발생 가능성을 충분히 고려하지 않고 있다. 과거 모든 전화를 도청할 수 있었던 시대로 돌아가려는 시도와 같다”라고 평가했다.
ABI 리서치(ABI Research)의 수석 이사 미켈라 멘팅은 샤뇽의 견해에 대체로 동의하면서도, 암호화를 약화시키려는 규제 노력이 실제로 성공할 가능성은 낮다고 평가했다. 멘팅은 “정부 기관들은 오랫동안 암호화 프로토콜에 백도어를 의무화하겠다고 위협해 왔지만 성공한 적이 없다. 선의는 있지만 잘못된 정보를 가진 정치인들의 이런 발언은 과장된 경우가 많으며, 주기적으로 논쟁이 되풀이된다. 현대 통신의 상당 부분이 프라이버시 보호와 기밀 유지를 위해 암호화에 의존하는 상황에서, 백도어를 도입하겠다는 계획은 결코 좋은 결과를 가져올 수 없다”라고 말했다.
멘팅은 또한 정치적으로 불안정한 시기일 때 민주주의 국가도 쉽게 권위주의로 기울 수 있다고 지적하며, “이것이 어떤 이유로든 암호화가 부당하게 조작되지 않아야 하는 중요한 이유”라고 설명했다. 그러나 그는 규제 시도로 암호화가 심각하게 손상될 가능성은 낮다고 봤다.
멘팅은 “전 세계 정부가 암호화 프로토콜에 백도어를 요구하기 시작하고, 기업들이 해당 국가에서 사업을 철수하는 도미노 효과가 발생할 가능성은 매우 낮다. 또한 기업들이 자체 메시징 앱을 개발할 가능성도 희박하다. 비용이 매우 높을 뿐 아니라, 전 세계적으로 그런 작업을 수행할 암호화 전문가가 충분하지 않기 때문”이라고 말했다.
포레스터(Forrester)의 보안 및 위험 담당 수석 분석가 하이디 셰이는 기업들이 시그널과 같은 소비자용 앱 사용을 지양해야 한다고 조언했다. 셰이는 “기업은 왓츠앱이나 시그널 같은 소비자 앱을 업무용으로 사용하지 말아야 한다. 규제 준수, 데이터 주권, 통신에 대한 표적 공격 및 감시 문제를 해결하는 기업용 보안 통신 앱이 존재한다. 이런 앱은 데이터 보존, 메타데이터 보안, 보증 등을 관리하는 기능을 갖추고 있으며, 유럽에서는 엘리먼트(Element), 솔트 커뮤니케이션즈(Salt Communications), 쓰리마(Threema), 와이어(Wire) 등의 기업용 앱이 이에 해당한다”라고 설명했다.
[email protected]
Leave a Reply