본문 바로가기 주메뉴 바로가기 검색 바로가기
스마트폰 수천 대 해킹한 경찰, 합법인가?
상태바
스마트폰 수천 대 해킹한 경찰, 합법인가?
2020년, 경찰이 엔크로챗 스마트폰 시스템에 침투했을 때, 수많은 정보에 접근하게 되었다. 그러나 유럽 전역에서 그후 법률이 개정됐다.
By MATT BURGESS, WIRED UK

2020년 10월, 크리스티안 뢰덴(Christian Lödden) 변호사의 잠재적인 의뢰인 단 한 가지만 말하고자 했다. 독일 형사 사건 변호사라면 누구나 암호화된 스마트폰 네트워크인 엔크로챗(EncroChat)을 언급하며, 기기 해킹 가능성과 함께 자신이 저지른 범죄가 노출되었을 것을 우려했다. 뢰덴 변호사 "기기 해킹 가능성을 우려하는 고객과 20여 차례 만났다. 그리고 암호화 문제가 대거 발생할 것을 깨달았다"라고 말했다.

몇 달 전 프랑스와 독일 경찰국이 이끄는 유럽 전역의 경찰은 엔크로챗 네트워크 침해 사실을 폭로했다. 경찰이 몰래 엔크로챗에 심은 멀웨어는 1억 건이 넘는 메시지에 침입하고는 불법 범죄 세계의 내부 범죄 활동의 민낯을 드러냈다. 범죄 세계 내부에서는 많은 이들이 마약 거래 논의와 납치 조직 형성, 살인 계획을 포함해 그보다 더 심각한 다수 범죄를 공개적으로 이야기했다.

경찰이 시행한 역대 최대 규모의 해킹 작전 중 하나인 엔크로챗 해킹은 범죄 조직 소탕 시 중요한 정보를 풍부하게 수집할 수 있는 결과로 이어졌다. 범죄자 수백 명을 일망타진하고, 범죄자 자택 급습과 수천 kg 상당의 마약을 압수했다. 그러나 시작에 불과했다. 2년 뒤 상황을 빠르게 이야기하자면, 영국과 독일, 프랑스, 네덜란드를 포함한 유럽 전역의 엔크로챗 사용자 수천 명이 수감됐다.

그러나 갈수록 많은 법률문제로 해킹 작전에 대한 의문이 제기되었다. 엔크로챗 사건 담당 변호사 다수는 조사에 결점이 있으므로 경찰이 해킹한 메시지를 법원에 증거로 제출해서는 안 된다고 주장했다. 그 근거로 데이터 공유 규정 위반과 해킹이 비밀리에 진행된 사실이 용의자의 공정한 재판이 불가능하다는 사실을 의미한다고 지적했다. 2022년 말, 독일에서 엔크로챗 해킹으로 용의자를 포착한 어느 한 형사 사건을 유럽 대법원으로 보내게 되었다. 만약, 대법원에서 사건을 받아들인다면, 유럽 전역의 범죄자 대상 유죄 선고 가능성을 해칠 수도 있다는 의미이다. 또, 다수 전문가는 전 세계 단대단 암호화 기술에도 악영향을 미칠 것을 우려한다.

뢰덴 변호사는 "유럽의 법치주의에 대한 자부심 때문에 범죄자도 유럽에서는 권리를 인정받는다. 변호사는 범죄자나 범죄 행위를 옹호하지 않는다. 기소된 이의 권리를 옹호할 뿐이다"라고 주장했다.
 
[사진=Unsplash]
[사진=Unsplash]

엔크로챗 해킹
2016년 발견돼, 경찰이 해킹했을 당시 엔크로챗 스마트폰 네트워크 가입자 수는 약 6만 명에 이른다. 엔크로챗 공식 웹사이트에 따르면, 엔크로챗 구독자는 수천 달러를 부담하여 맞춤 설계된 안드로이드 스마트폰을 사용할 수 있어 익명성을 보장받는다. 스마트폰의 보안 기능 중에는 시그널(Signal) 프로토콜 버전을 사용한 암호화 대화와 노트, 통화는 물론이고, 스마트폰의 모든 정보를 순식간에 삭제하는 기능과 실시간 고객 지원 기능 등이 포함되었다. 카메라와 마이크, GPS 칩 모두 제거할 수 있다.

스마트폰 네트워크를 해킹한 경찰은 암호화 기능의 보안을 침입하지 않은 것으로 나타났다. 다만, 프랑스 루베 지역의 엔크로챗 서버는 보안 침입이 발생했으며, 결과적으로 기기에 멀웨어를 설치했다. 법원 문서에 기술된 바와 같이 해킹 툴 설치 방식이나 경찰이 사용한 멀웨어 정보는 알려진 바가 거의 없다. 다만, 엔크로챗 사용자 6만 6,134명 중 122개국 사용자 3만 2,477명이 경찰이 설치한 멀웨어의 영향을 받은 것으로 확인됐다. 뉴스 미디어 마더보드가 입수한 문건은 수사관이 손에 넣었을 가능성이 있는 스마트폰의 모든 데이터를 보여준다. 데이터는 수사와 관련된 여러 법률 집행 기관과 공유한 것으로 확인된다.

유럽 전역에서 법적 문제로 둘러싸여 있다. 여러 국가에서 법원은 엔크로챗의 메시지를 법원에 제출할 증거로 사용할 수 있다는 판결을 내렸다. 그러나 이제 해당 판결이 바뀌었다. 컴퓨터 위클리(Computer Weekly)가 심층 보도로 다룬 바와 같이 상당 부분이 복잡하다. 국가마다 법원에서 사용할 수 있는 증거 유형과 따라야 할 기소 과정을 별도로 다룬 법률 체계가 다르기 때문이다. 예를 들어, 영국에서는 몰래 가로챈 정보 대부분 법원 증거로 채택하지 않는다. 반면, 독일은 스마트폰에 멀웨어를 설치하는 것을 금지한다.

지금까지 다룬 사건 중 가장 중대한 사건은 독일 변호인단이 담당한 사건이다. 2022년 10월, 베를린 지방법원은 유럽사법재판소(Court of Justice of the European Union, CJEU)에 엔크로챗 항소 사건을 보냈다. 판사는 유럽사법재판소에 유럽 전역의 데이터 전송 방법과 형사 사건에 사용한 방법과 관련한 14가지 사건 판결을 요청했다. 베를린 지방 법원은 수사의 비밀이라는 특성을 강조했다. 법원 판결문의 기계 번역문에는 "프랑스 당국과 유로폴의 트로이 목마 소프트웨어와 저장소, 제출, 데이터 필터링 기능의 기술적 상세 정보는 알려진 바가 없다. 트로이 목마 소프트웨어 기능은 기본적으로 프랑스 군사 기밀을 겨냥했다"라는 내용이 기술되었다.

유럽사법재판소로 넘긴 사건을 담당하지 않았으나 유럽 전역의 엔크로챗 사건 담당 변호사 10여 명과 협력한 뢰덴 변호사는 많은 이들이 판사에게서 유리한 판결을 받았으며, 처음 직접 담당했던 몇 가지 사건에서는 유죄 판결 내용이 줄어들었다고 전했다. 그러나 이후 몇 가지 옹호 표현을 사용했다. 뢰덴 변호사가 직면한 몇 가지 어려움은 종종 범죄자의 기기로 데이터를 손에 넣을 때 사용하는 행위를 정당화할 법적 근거를 둘러싼 의문점이 포함된다. 또, 데이터 자체에도 의문을 제기했다. 뢰덴 변호사는 "프랑스 당국의 데이터 수집 방을 알지 못한다. 데이터 수집 및 증거 채택 법률의 차이와 데이터 암호화를 완벽하게 해제한 것이 아니기 때문이다"라고 주장했다.

유럽연합 법원의 사건 검토 기한은 정해지지 않았다. 다만, 또 다른 중대한 법률 문제로 영국 엔크로챗 사용자 두 명의 사건이 유럽 최고 인권재판소에 제출된 사건이 있다. 그러나 2022년 12월 자로 판결이 선고될 예정이었던 프랑스 사건은 유럽 전역의 비슷한 사건 판결 결과에 차이를 가져올 수 있다. 2022년 10월, 프랑스 대법원은 기존 엔크로챗 사건 판결에 의문을 제기하며, 과거 사건 재조사가 필요하다고 주장했다. 엔크로챗 사용자 데이터 수집 방식에 의문을 제기한 로빈 빈사드(Robin Binsard) 변호사와 기욤 마틴(Guillaume Martine) 변호사는 "엔크로챗 사건을 담당 판사는 총 6만 건에 이르는 사건이 아닌 단 한 건의 사건만 조사했다. 수사 진행 방식을 알지 못하는 의뢰인을 변호해야 한다"라고 말했다.

법적 문제가 존재하지만, 유럽 전역의 변호사는 엔크로챗 해킹과 범죄자 체포 방식에 찬사를 보냈다. 2020년 6월, 해킹 당시 경찰의 대규모 협력 작전으로 수백 명을 체포할 수 있었다. 네덜란드 경찰은 범죄 세력이 사용하는 '고문의 방’으로 사용한 제품 출하용 컨테이너를 발견했다.

이후 일련의 엔크로챗 해킹 사건이 법원에 제출돼, 가장 죄질이 악한 일부 범죄자는 수감되었다. 엔크로챗 데이터는 법률 집행 기관이 범죄자를 기소할 증거가 풍부한 정보 출처가 되었다. 일례로, 독일의 조직 범죄 용의자 체포 건수는 경찰의 해킹 이후 17% 증가했다. 또, 영국에서는 엔크로챗 해킹 이후 수집한 데이터를 이용해 2,800명을 체포했다.

영국 사건은 보복 총격 사건을 계획한 남성 두 명에게 각각 징역 18년형을 선고했다. 8kg 상당의 코카인과 헤로인을 공급한 마약 거래상은 징역 14년 형을, 엑스터시를 조직 내에서 해외 밀반입할 계획을 음모한 범죄자 6명은 총 징역 140년형을 선고받았다.

프랑스 군사 경찰과 영국 국가범죄수사국, 독일 연방수사청인 분데슷크리미나람트(Bundeskriminalamt) 모두 현재 처리 중인 사건에 대한 문의에 답변을 거부했다. 유로폴 대변인 옵 겐 우스(Op Gen Oorth)는 엔크로챗 해킹을 동원한 사건 수사가 여러 유럽연합 기구와 국가 경찰국이 개입한 합동 조사팀의 계회고 일부분으로 시행하는 것이라고 밝혔다. 우스 대변인은 "사건 데이터는 국제 사법 및 법률 집행 협력 기준을 통해 프랑스 법률 조항과 사법 관할 당국의 조항을 기준으로 수집한 것이다"라고 말했다.

암호화 분쟁
경찰이 해킹하거나 침입한 암호화 스마트폰 네트워크는 엔크로챗뿐만이 아니다. 미국 연방수사국(FBI)이 이후 몰래 정보를 가로채고는 네트워크를 운영한 에네트콤(Ennetcom)스카이 ECC(Sky ECC), 아놈(Anom)을 대상으로 한 법률 집행 작전은 암호화 기술을 둘러싼 폭넓은 긴장감을 강조한다. 경찰은 수년간 암호화 기술 때문에 데이터 접근이 불가능하다는 점에 불만을 제기하면서 암호화 기술을 우회할 여러 가지 대체 수단을 이용했다. 유럽과 미국 법률 집행 기관 모두 암호화 기술을 약화할 기술을 기본으로 설정했다.

간혹 합법적인 기기와 합법성이 모호한 암호화와 강력한 보안 수준을 강조한 스마트폰 네트워크 보안 침입은 법률 집행 기관의 전략과 투명성에 대한 의문을 불러일으켰다. 유럽 사법 정의 비영리 단체 페어 트라이얼(Fair Trials) 유럽 법률국장 로르 바우드리하예 제라드(Laure Baudrihaye-Gérard)는 "경찰 당국과 법률 집행 당국은 감시 측면에서 매우 위험한 선례를 남길 조사 관행을 효과적으로 정상화한다"라고 지적했다.

엔크로챗 사건의 법적 문제를 분석한 적이 있는 영국 노섬브리아대학교 법학 교수인 애덤 잭슨(Adam Jackson) 교수와 세리안 그리프트(Cerian Griffiths) 교수는 범죄자 유죄 판결 선고를 위한 데이터 수집에 사용하는 사법적 선호도가 있지만, 앞으로 엔크로챗 해킹과 관련된 사건이 더 등장할 가능성이 있다는 점에서 올바른 과정을 따라야만 한다고 말한다. 잭슨 교수와 그리프트 교수는 "중범죄를 음모하는 이를 기소하는 것을 원할 것이다. 증거가 성립하는 듯한 방식으로 적합한 절차에 따라 기소한다는 사실을 확인하고자 할 것이다. 이는 유죄 판결 적합성 저하라는 문제가 발생하지 않는다는 의미이다"라고 설명했다.

핀란드의 어느 한 법원은 이미 FBI가 아놈 해킹으로 수집한 데이터를 증거로 사용할 수 없다는 판결을 내렸다. 현지 언론 보도 내용과 같이 FBI가 해킹으로 손에 넣은 데이터는 접근 방식을 정당화할 수 없다. 반면, 이탈리아 대법원은 스카이 ECC 메시지 데이터에 접근한 방식을 공개해야 한다는 판결을 내렸다.

네덜란드 변호사 100여 명은 경찰의 해킹 방식 투명성 부재가 걷잡을 수 없는 데이터 접근 합법성 문제를 일으킬 것이라고 경고했다. 네덜란드 변호사는 공개서한에 "앞으로 시그널이나 왓츠앱도 경찰의 해킹 대상이 될 것"이라며, "암호화 메시지 서비스는 이미 의심을 받고 있어, 경찰이 범죄 수사 목적으로 해킹으로 메시지에 접근할 수 있다. 반면, 용의자는 강력한 암호화 기술 사용과 프라이버시 보호만 기반으로 두고 의존한다"라고 작성했다.

미국 검사 출신인 서섹스대학교 법학 부교수인 제시카 서손(Jessica Shurson)은 해킹 사건이 개인의 보안에 대한 암호화 기술의 중요성을 둘러싼 대대적인 논의로 이어질 것이라고 말한다. 서손 부교수는 "경찰을 비롯한 법률 집행 기관은 해킹이나 자체 멀웨어를 통해 암호화 시스템에 접근할 방식을 찾을 것이다. 매년 해킹을 통해 경찰이 암호화 시스템에 접근할 수 있다는 사실이 드러난 사건을 접할 때마다 암호화 데이터 때문에 경찰이 법적으로 부적절한 행동을 한다고 말할 수 있는가?"라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Cops Hacked Thousands of Phones. Was It Legal?
이 기사를 공유합니다
RECOMMENDED