최근 테크 업계 대기업을 제한하려는 취지로 도입된 법률이 대중의 인기 메시지 앱 여러 개를 함께 간단하게 작동하는 규정을 적용하고자 한다. 듣기에는 좋은 규정 같다. 그런데 몇 가지 나쁜 소식이 있다.
매일 최종 암호화 기술로 전송되는 메시지 수는 수십억 개에 이른다. 수백만 명이 아이메시지, 왓츠앱, 시그널 등을 사용해 친구와 가족, 동료와 함께 소통하며, 모든 대화는 강력한 암호화 기술의 자동 보호 적용 대상이 된다. 그러나 특정한 암호화 메시지 앱에서 다른 메시지 앱 사용자에게 메시지를 전송할 수 없다. 만약, 시그널 사용자라면, 왓츠앱 사용자와 메시지를 주고받을 수 없다. 이때는 둘 중 한 명이 상대방이 사용하는 메시지 앱 계정을 새로 생성하는 수밖에 없다.
유럽연합이 광범위하게 적용하는 디지털시장법(DMA)은 2022년 3월 자로 유럽 국회의원이 승인해, 올해 중으로 본격 시행할 전망과 함께 여러 메시지 앱 운영사에 경쟁사 서비스와의 상호운용성을 갖출 것을 요구한다. 그 결과, 왓츠앱과 페이스북 메신저, 아이메시지 등 디지털시장법이 통제하고자 하는 최대 메시지 플랫폼 모두 경쟁사에 자사 기능을 개방해야만 한다.
유럽 국회의원은 “소규모 혹은 대규모 플랫폼 사용자 모두 다른 모든 메시지 앱 사용자와의 메시지 교환이나 파일 전송, 영상 통화 기능을 원하며, 이를 지원해야 한다. 따라서 사용자에게 더 많은 선택권을 제공해야 한다”라고 공식 발표했다. 현재 계획상 시그널이 페이스북 메신저와의 협업을 요청하는 등 여러 메신저와 기능을 공유해야 한다. 혹은 메타가 왓츠앱에 아시메시지와의 호환 기능을 지원하도록 요청할 수도 있다. 메타와 애플이 장기간 설전을 벌이지 않았더라도 논리적인 변화이지만, 유럽 국회의원 공식 발표로 언급된 부분은 해결할 가치가 있다.
상호운용성을 지지하는 이들은 디지털시장법이 소비자의 선택 범위를 넓히면서 서드파티 클라이언트의 추가 기능 개발을 지원할 것이라고 주장한다. 또, 디지털시장법 대표 협상가인 안드레아스 슈왑(Andreas Schwab) 유럽의회 의원은 암호화 기능을 저해하지 않는 방법을 찾고 있다고 주장하지만, 다수 암호학 전문가는 메시지 앱 간의 상호운용성은 사실상 최종 암호화 기술 수준을 유지한 채로 제공할 수 없다고 입을 모아 말한다. 또, 대다수 사용자가 매일 주고받는 메시지 수십억 개의 보안이 위험에 처할 수 있다고 경고한다.
최종 암호화 기술은 메시지 앱 사용자에게 간편한 서비스를 제공하며, 앱마다 다른 암호화 기술을 적용한다. 왓츠앱은 시그널 암호화 프로토콜을 자사 서비스에 맞춤 변경하여 사용한다. 그러나 다른 앱 사용자는 서로 메시지를 주고받을 수 없다. 애플 아이메시지는 SMS와 상호운용성을 갖추었으나 아이메시지와 SMS 간 오가는 메시지는 암호화 기술이 적용되지 않았다.
다수 암호학자와 보안 전문가가 이미 유럽연합이 디지털시장법을 통해 추진하려는 상호운용성 문제를 지적했다. 3월 26일(현지 시각), 암호학 세계 최고 권위자이자 전직 연방거래위원회(FTC) 최고 기술자인 스티브 벨로빈(Steve Bellovin)은 “상호운용성을 갖춘 최종 암호화 기능은 현실이 되기 매우 어려운 기술과 불가능한 기능 그 사이에 존재하는 개념이다”라는 트윗을 게재했다.
[사진=Unsplash]
응용 암호학자이자 분산 출판 플랫폼 캡슐 소셜(Capsule Social) 창립자인 나딤 코베이시(Nadim Kobeissi)는 “다른 기업과 암호화 커뮤니케이션을 서로 교환하는 방안을 이야기할 때, 해결하기 극도로 어려운 문제가 있다”라며, “상호운용성을 적용할 때, 그에 필요한 기능을 적용하기 위해 암호화 기법 적용 수준이 심각한 수준으로 저하될 확률이 매우 높다”라고 말했다.
아직 완벽히 공개되지 않은 메시지 앱 간 상호운용성은 디지털시장법의 일부 규정이 제안하는 것처럼 상호운용성의 기술적 적용 방식을 자세히 다루지 않았다. 그러나 유럽의회 다수 관료는 여러 해에 걸쳐 변화 사항을 배포해야 한다고 말한다. 1대1 메시지 교환과 같은 기본적인 기능은 테크 기업이 상호운용성 제공 요청 전 3개월 이내로 적용해야 한다. 다른 메시지 앱과의 음성 통화와 영상 통화 기능은 4년 이내로 지원해야 한다.
메타의 왓츠앱 사장인 윌 캐시카트(Will Cathcart)는 “최종 암호화 메시지 앱의 상호운용성은 기술적으로 매우 어려우며, 현실적으로 프라이버시와 안전, 혁신 위험성을 만들 수 있다. 이와 같은 복잡한 변화 적용 시 자칫하면 경쟁이 치열한 혁신적인 업계가 스팸을 완벽히 보호하지 못하는 SMS와 이메일과 같은 수준으로 앱 제공 수준이 저하될 수밖에 없다”라는 공식 성명을 발표했다. 또, 케이시 뉴턴(Casey Newton) 테크 전문 기자와의 인터뷰에서 상호운용성 적용 시 왓츠앱의 거짓 정보와 관리 문제가 발생할 수 있다고 말했다. 캐시카트 사장은 인터뷰를 통해 “다른 앱과의 상호운용성이 프라이버시 보호 기능을 침해하거나 심각한 수준으로 저하할 것이 매우 우려된다. 실제 상호운용성 제공의 결과가 그동안 왓츠앱이 자부심을 지닌 안전 작업 저하로 이어질 것인지, 아니면 실제로 혁신과 경쟁력 강화로 이어질 것인지를 떠나 우려스럽다”라고 설명했다.
애플은 암호화 기능 관련 문의에 답변하지 않았다. 다만, 디지털시장법 일부 규정이 불필요한 프라이버시 및 보안 침해를 일으킬 수 있다는 점을 우려한다고 밝힌 바 있다. 시그널은 와이어드의 문의에 답변하지 않았다.
모두가 상호운용성과 최종 암호화 기술을 반대하는 것은 아니다. 암호화 기술 오픈 소스 표준 개발 비영리단체인 매트릭스(Matrix)는 여러 차례 유럽연합의 상호운용성이 적용될 방식을 설명한 블로그 게시글을 게재했다. 매트릭스 측은 블로그에 “가장 어려운 부분은 상호운용성과 최종 암호화 기술을 제공하는 기업의 프라이버시 보호 간 일정 부분을 포기하는 것이다”라고 작성했다.
다른 기업이 운영하는 메시지 앱 전체에 걸쳐 암호화 기술을 지원하는 경로는 크게 두 가지이다. 첫 번째 방법은 테크 기업이 자사 메시지 서비스와의 연결을 제공하는 API 전체에 접근하도록 하는 것이다. 바로 슈왑 의원을 포함한 유럽의회의 다수 의원이 의존하는 부분이다. 두 번째 방법은 더 과감한 변화를 채택해야 한다. 모든 기업이 한 가지 통합 암호화 표준을 채택하여 자사 앱에 구축하는 것이다.
그러나 둘 중 어떤 방법도 쉽지 않다.
공개 API 연결할 때, 기업은 두 플랫폼을 함께 연결하는 브릿지(bridge)를 사용해야 한다. 예를 들어, 시그널은 다른 앱과의 메시지 기능을 지원하려면, 여러 개의 브릿지를 구축해야 한다. 리우데자이네루의 푼다차오스 게투리오 바르가스 법학 대학원(Fundação Getulio Vargas Law School) 객원 교수인 이안 브라운(Ian Brown)은 인터라퍼러빌리티(Interoperability News)에 “모든 기기는 모든 언어 구사를 지원한다. 그러나 사용자는 다른 앱과의 메시지 전송 및 수신 기능을 위해 기업이 임의로 메시지를 막는 대신 블록을 설치해야 한다”라는 기사를 작성했다.
브릿지를 사용하려면, 메시지 암호를 해제해야 한다. 그러나 누군가의 기기에서 암호를 해독하고 다른 앱에 메시지를 전달해야 할 수도 있다. 최종 암호화 기술을 제거한다면, 해커나 악성 사용자의 새로운 보안 공격 경로가 열릴 수 있다. 인터넷 소사이어티(Internet Society)의 인터넷 신뢰 국장 로빈 윌튼(Robin Wilton)은 “메시지 앱에 설정하는 요소로 매출과 보안 위험성이 없다는 사실을 보장할 방법이 있을까?”라고 말했다. 이에, 코베이시는 공개 암호화 키 교환 관리 담당 기업과 암호화 메타데이이터를 기업 간 공유하는 방식 모두 현재 발의안으로는 확실히 알 수 없다고 덧붙여 전했다. 시그널과 아이메시지 간 상호운용성이 지원된다면, 둘 중 어느 쪽이 상대 기업 서비스에 적합하게 암호화 기술을 변경할까?
현재 답변이 이루어지지 않은 가장 큰 의문점 중 하나는 메시지 앱이 사용자에게 메시지 기능 사용 시 상호운용성을 보장하는 방법이다. 암호화 메시지 앱 와이어(Wire) 공동 창립자인 앨런 듀릭(Alan Duric)이 지적한 바와 같이 사용자는 플랫폼마다 다른 이름을 사용하며, 신원 문제를 유발할 이를 알 수 없다. 듀릭은 “와이어 사용자와 왓츠앱 사용자가 메시지를 주고받을 때, 와이어 사용자가 왓츠앱 사용자의 신원이 진짜임을 알 방법이 있는가? 또, 상대가 왓츠앱을 사용한다는 사실 자체를 어떻게 확인할 수 있을까?”라는 질문을 던졌다. 이어, 대화 당사자 모두의 신원 검증으로 해결해, 악용과 스팸 문제를 줄이는 데 도움이 될 수 있다고 말했다.
상호운용성 옹호 세력은 모든 기업이 한 가지 암호화 표준을 채택하면서 암호화 수준을 유지할 가장 좋은 방법이라고 주장한다. 암호화 표준은 이미 존재한다. 예를 들어, 매트릭스의 메시지 프로토콜 XMPP 표준과 곧 공개될 메시지 레이어 보안(Messaging Layer Security) 등을 언급할 수 있다. 매트릭스 표준 공동 창립자인 아마다인 르 파페(Amandine Le Pape)는 “최종 암호화 메시지 서비스 대기업은 물론이고 소규모 기업까지 업계의 모든 기업이 똑같은 표준으로 연결한다면, 다른 서비스 간의 강력한 연결 기능을 지원하게 될 것이다”라고 말했다. 결국, 여러 기업이 간단한 과정을 통해 API를 구축할 필요성이 사라진다. 그러나 유럽연합은 현재 이를 채택하지 않았다. 르 파페는 “디지털시장법은 상호운용성을 위한 첫 번째 단계일 뿐이다”라고 말했다.
모든 메시지 앱이 한 가지 표준을 채택하는 일은 매우 규모가 크면서 오랜 시간을 소비하는 문제가 될 수 있다. 코베이시는 “모든 메시지 앱이 매트릭스 표준으로 변경하게 될 수도 있다. 그러나 매트릭스는 최종 암호화 기술 측면뿐만 아니라 위협 모델링 측면에서도 근본적으로 보안 구성이 다르다”라고 말했다. 모든 앱은 사용자 기반과 운영을 바탕으로 자사 앱을 겨냥한 각종 잠재적인 공격을 직면한다. 따라서 한 가지 암호화 표준 모델로 전환한다면, 메시지 앱 서비스 기업은 사용자의 보안 침해 위험성을 재평가해야 한다.
모든 기업은 전체 암호화 시스템을 재구성한 뒤 자사 앱 기능 여러 개를 변경해야 한다. 메타를 예시로 살펴보자. 메타는 2019년, 인스타그램 DM과 메신저의 최종 암호화 기술에 기본적으로 암호화 기능을 적용하고는 왓츠앱과 자사 인프라를 통합할 계획이라고 발표했다. 3년 뒤에도 메타는 자사 시스템의 자유로운 연결과 안전 기능 추가 노력 중이라고 말한다. 암호화 기술 표준 변화는 생각보다 어렵다. 메타는 암호화 기술과 관련된 모든 기술을 관리한다.
결과적으로 여러 기업의 변화 수준은 기술적으로 현실적인 문제와 디지털시장법 집행 기관인 유럽연합 집행위원회의 압박 수준을 낮추도록 적용하는 범위에 달려있다. 디지털시장법은 개인정보보호 규정(GDPR)과 마찬가지로 규정 위반 기업에 수십억 달러 상당의 과징금을 부과할 수 있다. 그러나 지금까지 다른 앱으로의 데이터 전송 투명성 조항을 포함해 GDPR 집행 수준은 매우 부실했다. 유럽연합 집행위원회가 디지털시장법을 집행한다면, 기업은 따를 수밖에 없다. 그러나 규정을 따르면서도 기업마다 적어도 우려하는 부분이 뒤따르게 될 것이다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202204/3870_5153_4636.jpg)
뉴스레터 신청