유럽연합이 새로 발의한 법안이 시행된다면, 모든 왓츠앱 사진과 아이메시지 테스트, 스냅챗 영상까지 아동 성 착취 사진과 영상 감지 과정에서 스캔 대상이 된다. 다수 전문가는 법안이 매일 메시지를 전송하는 사용자 수십억 명을 보호하는 최종 암호화 기술을 저하해, 온라인 프라이버시를 침해할 수 있다고 경고한다.
5월 11일(현지 시각), 유럽연합 집행위원회가 매년 웹에 게재되는 다량의 성 착취 게시물(CSAM) 퇴치 목적을 지닌 오랫동안 계류된 법안을 공개했다. 법안은 아동 착취 콘텐츠를 다룰 유럽연합 센터를 신설하고, 테크 기업에 자사 플랫폼에 게재되는 아동 성 착취 게시글 감지 및 보고, 차단, 제거 의무를 지도록 한다. 이번 법안을 마련한 일바 요한슨(Ylva Johansson) 유럽연합 집행위원회 내무부 위원장은 테크 기업이 그동안 자발적으로 착취 콘텐츠를 제거하지 못했다고 주장했으며, 아동 보호 및 안전 단체의 적극적인 지지를 받았다.
법안에 따라 웹 호스팅 서비스 기업부터 메시지 플랫폼 기업까지 테크 기업은 새로이 발견하거나 이전부터 존재한 아동 성 착취 게시물 감지는 물론이고, 그루밍 범죄 조짐까지 찾아내라는 명령을 받을 수 있다. 감지 행위는 채팅 메시지나 온라인 서비스에 게재된 파일, 착취 게시물을 공급하는 웹사이트 등을 대상으로 시행된다. 유럽연합의 계획은 2021년, 애플이 사용자 아이폰의 사진을 스캔해 아이클라우드 게재 전 착취 콘텐츠를 찾아내려 한 것과 같다. 그러나 애플은 대중의 집단 반발 이후 아이폰 사진 스캔 계획을 중단했다.
법안이 유럽 의회에서 통과된다면, 테크 기업은 자사 서비스 대상 위험 평가에 착수해, 플랫폼 상의 아동 성 착취 게시물 게재 수준과 기존의 예방 대책을 평가해야 한다. 필요에 따라 규제 기관이나 법원이 테크 기업의 아동 성 착취 게시물 감지 기술 설치 및 운영 시작을 의무화하는 감지 명령을 발행할 수 있다. 감지 명령은 특정 시기 동안 이루어질 예정이다. 법안 초안은 아동 성 착취 게시물 감지 목적으로 설치해야 할 기술이나 아동 성 착취 게시물 감지 기술 실행 방식 등을 구체화하지 않았다. 이와 관련된 사항은 신설될 유럽연합 센터가 신중히 검토할 예정이다. 다만, 법안은 최종 암호화 기술이 적용되었을 때도 아동 성 착취 게시물 감지 기술을 사용해야 한다는 조건을 명시했다.
아동 성 착취 게시물 퇴치라는 취지로 대중이 주고받은 메시지를 스캔한다는 유럽연합의 법안은 시민 권리 단체와 보안 전문가의 분노를 일으켰다. 모두 아이메시지와 왓츠앱, 시그널 등 다수 메시지 앱에 기본 설정된 최종 암호화 기술 저하 위험성을 지적했다. 윌 캐스카트(Will Cathcart) 왓츠앱 사장은 트위터를 통해 “유럽연합이 최종 암호화 기술로 대중을 보호하지 못하는 규제를 발의한 소식이 실망스럽다”라며, “유럽연합의 법안은 테크 기업이 모든 사용자 메시지를 스캔하도록 강행하면서 유럽 시민의 프라이버시와 보안을 심각한 위험에 몰아넣을 것이다”라고 비판했다. 다수 연구원은 최종 암호화 기술 약화 문제를 일으킬 수 있는 시스템은 그 종류를 막론하고 다른 유형의 콘텐츠를 찾는 과정에도 악용되거나 메시지 스캔 범위를 확장할 수도 있다고 설명했다.
[사진=Unsplash]
서레이대학교 사이버 보안 교수인 앨런 우드워드(Alan Woodward) 교수는 “최종 암호화 기술을 사용하거나 반대로 사용하지 못하는 상황이 될 것이다”라고 언급했다. 최종 암호화 기술의 대중 프라이버시 및 보안 보호는 수신자와 발신자만 콘텐츠를 보도록 보장한다. 예를 들어, 왓츠앱 모기업인 메타는 사용자 메시지를 읽거나 데이터 수집 목적으로 사용자가 대화 상대와 주고받은 콘텐츠를 수집할 수 없다. 유럽연합의 법안 초안은 아동 성 착취 게시물 스캔이 암호화 수준을 저하하지 않으며, 보호 수준 저하를 예방하기 위한 안전 기능을 포함할 수 있다고 주장했다. 그러나 구체적인 보호 기능 유지 방식은 설명하지 않는다.
우드워드 교수는 “유럽연합이 주장하는 사용자 콘텐츠 스캔 과정의 보안 수준 유지에는 단 한 가지 논리적인 해결책이 있다. 바로 사용자가 콘텐츠를 보거나 메시지를 읽을 때 사용하는 기기가 암호화 해독 시 콘텐츠를 검토하는 클라이언트 사이드 스캔 작업이다”라고 말했다. 2021년, 애플은 클라이언트 사이드 스캔 도입 계획을 발표했다. 바로 애플 서버가 아닌 사용자 아이폰에서 콘텐츠를 스캔한다는 계획이다. 그러나 감시 위험성 때문에 시민 권리단체부터 미국 중앙정보국 내부고발자인 에드워드 스노든(Edward Snowden)까지 많은 이들의 분노를 자극했다. 결국, 애플은 초기 발표 후 한 달 만에 스캔 기능 도입 계획을 중단했다. (애플은 아동 성 착취 게시물 스캔 관련 와이어드의 문의에 답변하지 않았다.)
테크 기업은 이전에도 아동 성 착취 게시물 감지와 일부 소통 기록 스캔 작업을 한 적이 있다. 미국에서 사업을 운영하는 기업은 직접 발견하거나 사용자가 신고한 아동 성 착취 게시물을 현지 비영리단체인 국립 실종 아동 착취 센터(NCMEC)에 보고해야 한다. 2021년 NCMEC가 접수한 신고는 총 2,900만 건 이상이다. 전체 신고 건수 중 아동 성 착취가 담긴 사진과 영상은 각각 3,900만 개, 4,400만 개이다. 유럽연합의 법안 시행 시, 유럽연합 센터가 테크 기업의 아동 성 착취 게시물 보고를 받는다.
요한슨 위원장은 법안 발표 기자 회견 현장에서 “오늘날 상당수 기업이 아동 성 착취 게시물을 감지하지 않는다. 암호화 기술 발의가 아닌 아동 성 착취 게시물 문제 관련 법안 발의이다”라며, “법안의 핵심은 사용자의 메시지를 읽는 것이 아니라 불법 착취 콘텐츠를 감지하는 것이다”라고 덧붙여 전했다.
현재 테크 기업의 아동 성 착취 게시물 발견 방식은 다르다. 여러 테크 기업의 착취 콘텐츠 감지 및 보고 수준이 향상됨과 동시에 실제로 발견하는 아동 성 착취 게시물 수도 증가하는 추세이다. 간혹 일부 기업이 다른 여러 기업보다 더 훌륭한 방식으로 불법 콘텐츠를 적발한다. 간혹 인공지능(AI)을 동원해 과거에 발견하지 못한 아동 성 착취 게시물을 찾아낸다. 기존 착취 사진과 영상 복제는 해싱 시스템(hashing system)으로 감지할 수 있다. 착취 콘텐츠에 고유 지문을 분배해, 웹에 재등록된 것을 감지하는 시스템이다. 구글부터 애플까지 200곳이 넘는 기업이 마이크로소프트의 포토DNA(PhotoDNA) 해싱 시스템을 이용해 온라인에 공유된 불법 착취 파일 수백만 개를 찾아낸다. 그러나 해싱 시스템을 이용하려면, 사용자가 전송하는 메시지와 파일 접근 권한을 보유해야 한다. 사실상 최종 암호화 기술 적용 시 적용할 수 없는 방식이다.
디에고 나란조(Diego Naranjo) 시민 자유 단체 유럽 디지털 권리(European Digital Rights) 정책국장은 “아동 성 착취 게시물 감지와 함께 아동 그루밍 범죄 감지 의무도 존재한다. 이는 대화를 항상 읽을 수 있어야 한다는 의미이다”라며, “커뮤니케이션 신뢰에 재앙과 같은 부분이다. 기업은 아동 성 착취 감지 명령을 요청받거나 아동 성 착취 감지 의무 준수를 원한다면, 위험 완화 조치를 통해 모든 이에게 보안 수준이 낮은 서비스를 제공하는 이익을 누리게 될 것이다”라고 주장했다.
아동 온라인 권리 보호와 최종 암호화 기술을 이용한 아동 성 착취 게시물 퇴치 방식과 관련된 논의는 취약 계층 아동을 겨냥한 끔찍한 범죄와 함께 기술적으로 매우 복잡하다. UN 산하 아동 기금인 유니세프가 2020년에 발행한 연구 보고서는 아동을 포함한 대중의 프라이버시 보호에 암호화 기술이 필요하지만, 대중이 공유하는 아동 성 착취 게시물 제거와 발견 노력을 위해 암호화 기술 적용을 미룰 수 있다고 제시한다. 우드워드 교수는 “프라이버시를 대가로 아동 성 착취 게시물 단속에 나서야 한다고 주장하고 싶지 않다. 누구나 아동 착취 행위가 경멸스러운 행위라는 점에 동의할 것이다. 그러나 메시지 및 콘텐츠 스캔 적용 시 등장할 수 있는 위험성이 효과적인 아동 착취 퇴치 가치가 있는지 제대로 된 대중의 객관적인 논의가 필요하다”라는 견해를 피력했다.
다수 연구원과 테크 기업은 최종 암호화 기술과 함께 활용할 수 있는 안전 툴에 더 집중하는 추세이다. 유럽연합의 법안에는 암호화된 메시지의 메타데이터를 활용한 사용자 행동 및 잠재적인 범죄 분석도 포함되었다. 메타데이터는 콘텐츠가 아닌 메시지 전송 방법과 메시지 종류, 메시지 전송 이유 등을 기준으로 아동 성 착취 게시물을 감지한다. 메타가 위임한 비영리 단체인 기업 공헌 활동(BSR)의 최신 보고서는 최종 암호화 기술이 대중의 인권 보호 유지의 지나치게 긍정적인 특성이라고 분석했다. 보고서는 암호화 기술과 안전을 함께 유지하면서도 대중의 대화에 접근하지 않을 권고사항 45가지를 제시했다. 2022년 4월, 해당 보고서 관련 내용을 보도 당시 린제이 앤더슨(Lindsey Andersen) BSR 인권 부총괄은 와이어드에 “대중의 믿음과 달리 실제로 사용자 메시지에 접근하지 않고도 보안 기능을 유지하면서 불법 콘텐츠를 찾아낼 방법이 많다”라고 주장했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202205/3930_5228_5431.jpg)
뉴스레터 신청