본문 바로가기 주메뉴 바로가기 검색 바로가기
FBI의 아놈 운영 사태, 암호화 기능 관련 논쟁 우려 제기
상태바
FBI의 아놈 운영 사태, 암호화 기능 관련 논쟁 우려 제기
FBI는 지난 몇 년간 범죄 세력이 이용하는 보안 기능을 갖춘 휴대폰 네트워크를 운영했다. 이 모든 것이 범죄를 끝내기 위한 수단이었다.
By LILY HAY NEWMAN, WIRED US

2020년 가을, 참치 통조림으로 가득 찬 상자 여러 개가 에콰도르에서 출발한 선박에 실린 채로 벨기에로 향했다. 도착 후, 법률 집행기관이 참치 통조림 상자를 집어 들고는 통조림 안에 참치가 아닌 총 1,300파운드 상당의 코카인이 가득 담겼으며, 위치 저장 장치인 소형 퍽으로 포장된 사실을 발견했다. 법률 집행기관이 코카인을 적발한 것은 단순한 운이 아닌 일상적인 수색 작업 덕분이었다. 벨기에 당국은 코카인이 있을 것이라고 예측했다. 코카인을 보낸 것으로 의심되는 범죄 조직의 암호화된 메시지를 읽었기 때문이다.

미국 연방수사국(FBI)은 수입 조건과 출하 컨테이너 운반 관련 암호화된 메시지를 모두 읽었으며, 암호화된 휴대폰 네트워크 아놈(Anom)에서 2020년 10월부터 전송된 일련의 문자 메시지를 살펴보았다. FBI는 아놈의 암호화 메시지에 큰 타격을 주거나 교묘한 거래에 직접 개입해 정보통에게 일정 금액을 건네지 않았다. FBI는 호주 경찰과 함께 지난 3년간 아놈 시스템 전체를 운영했다.

이미 밝혀진 바와 같이 참치 통조림으로 위장한 코카인 모두 아놈과 관련된 법률 집행 기관의 활동의 일부분에 해당한다. 2021년 6월 초, FBI의 주도로 열린 국제 컨소시엄에서 총 800여 명이 체포된 사실이 발표됐으며, 그중 500여 명은 최근 며칠간 체포되었다. 모두 아놈 소유주와 운영자가 수집한 정보 덕분에 범죄 세력을 일망타진할 수 있었다. 경찰 당국은 약 1만 2,000여 개의 기기에서 아놈 플랫폼을 통해 전달된 메시지 2,700만여 건을 가로채고는 국제 통화 기준으로 총 4,500만 달러 상당의 마약과 화약 무기 250개, 32t이 넘는 불법 약물을 압수했다.

FBI가 아놈에 연결된 이야기는 그 자체로 매우 흥미롭다. 법원 소장에 기술된 바에 따르면, FBI는 여러 범죄 조직 세력에 대대적으로 홍보된 다른 보안 커뮤니케이션 시스템에 타격을 입히고는 해당 시스템 개발자 한 명이 FBI의 정보통이 되도록 설득했다. FBI의 요청에 따라 신원을 알 수 없는 익명의 정보통은 아놈이라는 계산 앱에 잠입했다. 아놈은 플랫폼에서 이루어지는 모든 커뮤니케이션을 FBI로 보내도록 연계했다.
 
[사진=Unsplash]
[사진=Unsplash]

범죄 수사 일시 중단 문제 일으킨다?
아놈 통제권 장악은 과감한 정보 작업이었다. 또한, 광범위한 암호화 논쟁과 관련된 여러 가지 의문을 제기했다. 미국 법무부와 세계 각지의 법률 집행 기관은 지난 몇 년간 최종 암호화 커뮤니케이션 플랫폼을 대상으로 로비 활동을 늘렸다. 최종 암호화 커뮤니케이션 플랫폼이 인터넷 전반에 걸쳐 이동하는 모든 지점에서 혼란스러우며 해독할 수 없는 데이터를 보유하고 있기 때문이다. 메시지나 통화 데이터와 같은 콘텐츠는 수신자와 발신자 기기에서만 암호화 해독을 할 수 있어, 법률 집행기관이 원격으로 접근하거나 영장을 발급받고 접근하기 어렵다. 다수 범죄 사건에서 최종 암호화 서비스는 단순히 암호화된 커뮤니케이션이 그대로 통과되도록 하는 것을 넘어 데이터 자체를 보관하지 않는다.

FBI는 가시성이 없는 최종 암호화 플랫폼이 모든 활동을 중단시킨다고 말했다. FBI가 전 세계 여러 법률 집행기관과 마찬가지로 이전부터 반복적으로 선호한 부분은 최종 암호화 시스템에 백도어를 심고, 법률 집행기관 관료가 특별 접근 권한을 갖도록 하는 것이다. 특정 서비스에서 모든 데이터의 보안을 위험에 빠뜨리지 않고 백도어와 같은 의도적인 취약점을 생성할 수 없다는 사실에 모든 보안 연구원이 만장일치로 동의한다. 또, 아놈 운영 과정은 지난 몇 년간 세상에 알려진 다른 몇 가지 유명한 범죄 사건과 함께 모든 활동의 일시적 중단은 법률 집행기관이 거듭 주장하는 것처럼 심각한 장애를 일으키지 않는다는 점을 시사한다.

웹 보안과 암호화 기능 연구를 해온 비영리단체 인터넷 소사이어티(Internet Society)의 전무인 조셉 로렌조 홀(Joseph Lorenzo Hall)은 “법률 집행기관이 범죄 세력의 최종 암호화된 커뮤니케이션 접근 권한을 얻기 위해 기업의 백도어 설치가 필요하다고 주장하는 것은 아놈의 사례를 통해 보다시피 사실이 아니다”라고 주장했다.
 
경찰 당국은 약 1만 2,000여 개의 기기에서 아놈 플랫폼을 통해 전달된 메시지 2,700만여 건을 가로챘다.

과거, FBI와 법무부가 백도어 필요성을 과장하여 말한 것은 분명하다. 2016년, 애플과의 공개적인 대립 상황에서 FBI는 애플에 샌버너디노 총기사건 용의자의 아이폰 5C 휴대폰 잠금 해제를 위한 툴 제작을 요청했다. 애플은 FBI의 요청을 거부했으며, 결국 법적 분쟁은 어느 쪽도 승리를 거두지 못한 채로 끝났다. FBI가 서드파티 툴을 구매해, 용의자의 아이폰 5C에 접근할 수 있었기 때문이다. 이와 비슷한 상황이 2020년에도 발생했다. 법무부가 애플에 대대적인 애플 기기 잠금 해제 툴 제작을 강제로 명령할 필요 없이 애플 기기에 보관된 데이터를 확보할 수 있었다.

법률 집행기관은 접근 권한을 얻을 수 있다면, 여전히 암호화된 커뮤니케이션에 접근하고는 그와 관련된 물리적 기기를 잠금 해제한다. 클라우드 백업이 무수히 많은 사건의 결정적인 증거를 제공했다. 페이스북을 비롯한 여러 주요 플랫폼이 암호화된 메시지의 실제 콘텐츠를 보지 않고도 악의적인 활동에 주목하고 이를 분류할 방안을 활발하게 개발 중이다.

FBI가 반복하여 모든 활동을 일시적으로 중단하는 문제는 존립 위협이라는 주장을 정당화하지는 못한다. 일부 측면에서 아놈은 FBI의 범죄 수사를 위한 우회 방식이 얼마나 창의적으로 발전할 수 있는지 보여준다. 그러나 많은 연구원은 갈수록 전 세계의 더 많은 정부가 디지털 백도어 설치 요구 권한을 모색하며, 호주 등 일부 국가는 관련 법률 제정에 나서려는 점에 경계한다. 또한, 당국이 아놈의 사례를 특별 접근권이 효과가 있는 사례로 언급할 수 있다는 점에도 경계한다.

스탠퍼드대학교 인터넷 및 사회 연구 센터의 감시 및 사이버 보안 부총괄인 리아나 페퍼콘(Riana Pfefferkorn)은 “아놈 사례가 효과가 있었으니 모든 앱에 백도어를 심는 것이 좋을 것이라는 발언이 크게 증가할 것이라는 점은 그리 과장된 주장이 아니다. 이는 말 그대로 미국 법률 집행기관이 원한다고 말하던 바이다”라고 설명했다. 만약, 아놈의 모든 메시지를 감시할 수 있었던 것이 매우 효과적이었다면, FBI는 아놈보다 더한 조치를 채택하면서 더 많은 백도어 설치를 주장할 수도 있을 것이다.

매우 드문 사례
아놈의 경험에서부터 백도어 설치 범위를 광범위하게 확대하지 않는 것이 중요하다. 최근 공개된 문서를 보면, FBI는 해외 법률에 따라 대대적인 감시 활동을 펼치고는 3년간의 계획을 통해 미국 시민 감시를 기피한 사실을 알 수 있다. 또, FBI가 미국 내에 완전히 백도어가 숨겨진 시스템을 구축할 수 있어도 즉시 발생하는 위협은 없다. 미국 수정헌법 제4조는 ‘합리적이지 않은’ 수색과 압수 행위로부터 시민을 보호하며, 정부의 영장 발행 요구사항과 관련해 분명한 토대를 구성한다. 게다가 도청 영장과 같이 계속되는 감시 명령은 의도적으로 법률 집행기관이 확보하기 더 어렵도록 한다. 법률 집행기관이 값비싼 감시 도구를 대거 공식 승인하기 때문이다. 그러나 미국 국가안전국(NSA)의 불법 정보수집 프로그램(PRISM)을 통해 나타난 바와 같이 확인되지 않은 구갠 디지털 감시 프로그램은 미국 내에서도 발생할 가능성이 있다.

아놈 사례로 얻을 수 있는 한 가지 교훈이 있다면, 여러모로 범죄 세력 일망타진에는 효과가 있었지만 잠재적으로 어떤 범죄 행위로도 기소된 적이 없는 이들의 프라이버시 피해라는 부수적인 문제가 동반될 위험성이 있다. 범죄자를 겨냥하도록 갖추어진 기기라도 법률을 준수하는 선량한 시민에게도 사용돼, 실제 범죄자를 잡기 위한 과정에서 의도하지 않은 인물을 가혹하게 감시하게 될 수도 있다. 또한, 매우 특수한 상황이더라도 정부의 전체적인 접근 권한이라는 개념을 일반화한다면, 걷잡을 수 없는 잘못된 결과를 낳는 방향으로 발을 들이게 될 수 있다.

페퍼콘 부총괄은 “법률 집행기관에 영장 발급 요구사항이 존재하고, 수사를 위한 노력과 자원이 투입되는 데는 모두 그만한 이유가 있다. 정부와 수사 대상자 간 마찰이 없다면, 어떤 결과가 발생하는지 보게 되었다”라고 말했다

법률 집행기관의 감시 문제 관련 우려는 각국 정부가 활발하게 백도어 승인 권한 확장을 모색한다는 사실을 시사하는 상황 때문에 심화되었다. 호주를 포함해 미국 정보기관의 동맹인 ‘파이브 아이즈(Five Eyes)’의 또 다른 회원국 영국도 법률 집행기관이 주요 최종 암호화 서비스에 접근할 방안을 모색하는 의견을 제시했다. 일례로 2019년, 영국의 GCHQ 정보기관은 법률 집행기관의 이익을 위해 최종 암호화 플랫폼 서비스가 채팅방에 아무런 경고 없이 타인이 볼 수 없는 참가자를 추가하는 기능이나 다른 커뮤니케이션 기능을 지원하는 메커니즘 구축을 제안했다. GCHQ 측은 이를 통해 여러 기업이 암호화 프로토콜을 위반하지 않게 될 것이라고 주장했다. 그저 또 다른 멤버를 그룹 대화방에 추가하는 등 또 다른 책임 당사자를 두기만 할 수 있다고 덧붙였다.

다수 보안 연구원과 암호화 전문가, 프라이버시 운동가, 인권 단체, 그리고 구글과 마이크로소프트, 애플 등 테크 기업 등이 신속하면서 확고하게 GCHQ의 제안에 반대한다는 반응을 보였다. 모두 법률 집행기관 관계자를 대화방에 유령 참가자로 추가하도록 지원하는 툴을 해커 세력이 발견하고 악용할 수 있으며, 결국 모든 서비스 사용자가 위험에 처하게 되면서 궁극적으로 최종 암호화 보호 기능의 목적이 저해된다고 주장했다.

아놈의 사례를 비롯해 여러 법률 집행기관이 보안 커뮤니케이션 기업을 비밀리에 운영한 여러 사례는 법률 집행기관의 대규모 커뮤니케이션 접근 권한이라는 분노를 유발하는 꿈을 충족하기에는 부족하다. 다만, 갈수록 증가하는 법적 규정이 모호한 영역에 대한 법률 집행기관의 갈수록 증가하는 요구와 잠재적인 프라이버시 여파 등과 함께 법률 집행기관이 원하는 정보를 손에 넣을 방법이 얼마든지 있다는 사실을 나타낸다. 범죄 조직의 세계는 법률 집행기관이 생각하는 것처럼 매우 심각한 수준으로 수사 일시 중단 문제를 일으키지 않았다.

존스홉킨스대학교 암호학자인 매튜 그린(Matthew Green) 박사는 “범죄 세력이 여전히 특수 목적의 암호화된 범죄 암호화 애플리케이션에 스스로 대거 발을 들일 정도로 어리석다는 사실이 다행이라고 생각한다. 개인적으로 실제로 우려하는 부분은 일부 범죄 세력이 법률 집행기관의 함정에 속지 않을 정도로 영리해지면서 훌륭한 암호화 메시지 시스템을 범죄에 악용하게 되는 것이다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The FBI's Anom Stunt Rattles the Encryption Debate
이 기사를 공유합니다
RECOMMENDED