인터넷 트래픽 감시 정책, 개인정보 보호 「좌초」 위기

『인터넷 관련 범죄 단속 위해 어쩔 수 없다』 vs 『인터넷 사용에 대한 정부의 통제 시도다』

러시아부터 영국, 미국에 이르는 각국의 수사기관들은 입법 추진을 통해 사이버 범죄에 맞서기 위한 새로운 수단을 강구중이다.

세계의 각 정부들은 인터넷 관련 범죄들을 엄중히 단속하기 위한 노력의 일환으로 감시 기능을 강화하는 방안을 모색하고 있다. 그러나 온라인 범죄 및 네트워크 불법 침해와의 전쟁에 있어서 최근 논의되고 있는 한 수단이 국제 개인정보 보호 지지자들을 격분시키고 있다.

일명 블랙박스(black box)라 부르는 자체 보안망을 갖춘 이 컴퓨터는 영국 정부의 요청에 따라 조만간 ISP(인터넷 서비스 제공업체) 네트워크에 연결될 것으로 보인다. 변경된 침입 탐지 프로그램을 작동시키는 이 블랙박스들은 요청을 받는 즉시 정보를 수집하면서 ISP들과 일반 시민의 컴퓨터 간 트래픽을 탐색할 수 있게 된다.

러시아가 이미 이와 유사한 프로젝트에 착수한 가운데 미국에서는 일부 ISP들이 FBI의 새로운 카니보어(Carnivore) 감시 시스템에 저항하겠다고 나섰다. 이 시스템은 ISP 네트워크상의 모든 통신을 감시할 수 있다는 평가를 받고 있다.

정보기관들은 블랙박스가 컴퓨터 해커와 맞서는데 일조한다는 점을 강조하고 있다. 이에 대해 반대자들은 이 박스들은 실전에서 별 효과를 발휘하지 못할 뿐더러, 탐색 툴은 남용될 소지가 많다고 반박했다.

토니 블레어와 시민자유 지지자들 간 힘겨루기

영국은 이미 이 같은 비밀 탐색 네트워크를 배치한다는 내용의 입법을 논의중이다. 토니 블레어 총리의 노동당 정부는 RIP(Regulation of Investigatory Powers) 법안을 놓고 수개월동안 시민자유 지지자들과 실랑이를 벌여왔다. 이 법안은 영국의 ISP들이 블랙박스 장비를 설치하도록 요구하고 있다.

RIP 적용을 받으면, 영국 경찰은 영장만 있으면 e-메일 트래픽을 차단할 수 있는 권리를 갖게 된다. 차단된 트래픽은 영국의 M15(영국의 비밀정보 기관)가 운영하는 신설된 기술지원센터(Technical Assistance Centre)에 보내진다.

영국 내무성과 경찰은 이번 법안이 해커들과 싸우는데 효과적인 무기가 될 것이라 주장하고 있다. 영국 수도 경찰청(Scotland Yard''s Computer Crime Unit) 컴퓨터 범죄부의 한 대변인은 "우리가 RIP 법안을 지지하는 이유는 해킹과 맞설 수 있는 수단을 제공해주기 때문이다. 해킹은 오락성을 넘어 더욱 심각한 범죄로 변해가고 있다. 정치적인 해킹이 생길 가능성도 배제할 수 없다"고 설명했다.

러시아 정부는 블랙박스 네트워크를 실현시키기 위해 과거 기관의 규제를 변경시키면서 더욱 강력한 조치를 취하고 있다.

러시아의 조사활동보장 시스템(System of Ensuring Investigative Activity, SORM)은 지난 2월부터 발효된 새로운 법령들에 의해 도입된 프로그램이다. 이 법안들은 ISP들이 FSB(Federal Security Service) 본부로 트래픽을 다시 보내기 위해 블랙박스를 설치할 것을 명령하고 있다. FSB는 러시아 정보부인 KGB의 후신이다.

FSB에 따르면, 러시아의 블랙박스의 주목적은 조세 회피자부터 어린이에 대한 이상 성애자에 이르는 범죄자들을 색출하는데 있다고 한다. 하지만 러시아는 국제적인 해킹의 온상으로 정평이 나있다.

"러시아인들은 더 이상 술독에 빠져 있지 않다. 이제 우리는 컴퓨터로 일하고 컴퓨터로 서방 세계에 바이러스를 보내 사람들의 돈을 갈취한다. 우리에겐 세계 최강의 해커들이 있다". 이 말은 극단적인 민족주의 정치인인 블라디미르 지리노프스키가 TV 생방송에서 했던 말이다.

실질적인 경찰국가

전문가들은 사이버 침입에 맞서기 위해 무엇이 필요한지 논의하고 있지만, 시민 자유 지지자들은 유럽 전역에서 인터넷 사용에 대한 ''경찰국가''의 탄생을 우려하고 있다.

러시아 비평가들은 SORM이 있으면 FSB는 영장없이도 언제든지 인터넷 트래픽에 은밀히 접속할 권리를 갖게 된다고 주장한다. 또한 영국의 개인정보 보호 전문가들은 고의적인 입법상 결함은 정부가 ''포괄적인 영장(blanket warrant)''을 이용해 여전히 영국 시민의 트래픽을 낚아 올릴 수 있음을 의미한다고 주장했다.

시민 자유 단체들이 개인정보 보호의 종말을 외침으로써 러시아에서 ''신뢰''는 사라진 것 같다. 전 KGB 요원이었던 블라디미르 푸틴 러시아 대통령은 블랙박스 설치를 우선 과제로 지시했다. 많은 사람들은 이를 두고 사이버 범죄를 단속하기 위한 수단이라기보다 민중에 대한 좀 더 철저한 통제력을 회복하는 수단으로 여겼다.

하지만 영국 정부, FSB, 러시아 정부는 시민 자유 지지자들이 가혹한 입법으로 평가하는 이 법안 뒤에 숨겨진 논리에 대해 연합전선을 펴고 있지만, 보안 전문가들은 베테랑 해커들을 능가하려면 블랙박스 이상의 것이 필요할 것이라고 주장한다.

영국 기업 IRM(Information Risk Management)사의 책임 보안 설계자인 리차드 스태그는 "블랙박스가 아마추어들의 공격에 대응하겠다고 하지만 맘만 먹으면 이를 우회할 방법은 널려 있다"고 강조했다.

스캐그는 자신이 만약 해킹을 한다면 엑스트라 웨이 포인트(extra-way ponints)와 SSH 터널(장비들 간의 연결 암호화)을 사용해 추적을 피하고, 자신의 트래픽을 볼 수 없게 만들 것이며 인터넷 계정을 아주 많이 보유하는 방법을 사용하겠다고 말한다.

해커를 포함해 누구든지 자신의 통신을 암호화할 수 있다는 것은 또 다른 우려를 낳고 있다. 이런 개개인의 암호화 능력은 인터넷 통신을 비밀리에 탐지하기 위한 정부의 노력을 막기 위해 사용될 수 있기 때문이다.

러시아의 SORM과 영국의 RIP 모두 암호화 열쇠를 확보하기 위한 조항들을 포함하고 있다. 영국 내무성은 M15의 새로운 기술센터가 주로 암호를 해독하게 될 것이라고 밝혔다. 하지만 비평가들은 이번에도 역시 이 조항들은 전적으로 잘못된 것이며 사태를 악화시킬 것이라고 주장했다.

영국 국방성에서 근무한 적이 있는 컴퓨터 전문가 브라이언 글래드맨은 "이는 암호 해독법을 훼손시키고 실질적으로 사태를 악화시키는 것"이라고 논평했다. "영국에서의 암호해독법은 전통적으로 영국 통신 정보국(Government Communications Headquarters; GCHQ) 담당이었고 이 기관은 다른 누군가가 암호를 보유하는 것을 원치 않는다. 이 법안의 숨겨진 의도는 그들이 자신을 제외한 다른 누군가가 암호를 보유하는 것을 원치 않는다는 사실이다. RIP 법안은 보안에 대한 신뢰와 믿음을 떨어뜨리고 있다"는 것이 그의 의견이다.

암호는 안전한 e-메일을 보내는데 사용될 뿐 아니라 SSL(Secure Socket Layer) 같은 기술을 통해 넷스케이프 커뮤니케이터와 인터넷 익스플로러에서 안전한 온라인 트랜잭션이 이뤄질 수 있도록 해준다. 글래드맨은 "역설적인 것은 이런 기술들이 사기와 기만으로부터 소비자들을 보호할 목적으로 만들어졌다는 점"이라고 말한다.

오트스타프노프는 "실제로 강력한 암호 및 익명성의 보장은 신용카드 번호 도용, 은밀한 개인정보 수집, 스팸 등 특정 컴퓨터 범죄를 현저하게 줄일 수 있다"고 주장했다.

컴퓨테라 위클리(Computerra Weekly)의 막심 오트스타프노프 편집장은 "러시아에서 국가자원이 상업적인 보안 수단을 뒷받침하는데 사용되는 게 옳다고 본다"고 말했다. 그는 "컴퓨터 범죄라는 것은 대개 부적절한 시스템 및 네트워크 아키텍처의 산물"이라고 단언했다. @