테크 기업과 프라이버시 사회 운동가 단체가 장기간 펼쳐진 단대단 암호화 갈등을 두고 영국 정부가 진행한 11시간 동안의 회의 후 양보와 함께 승리를 선언했다.
영국 온라인안전법(Online Safety Bill)의 이른바 ‘감시 조항(spy clause)’은 정부가 보안을 갖춘 채로 암호화 메시지 내 아동 성 착취 게시물 공유 조짐을 감지하면서 사용자 프라이버시를 보장할 기술이 존재하지 않는다는 사실을 인정한 덕분에 시행되지 않을 예정이다. 앞서 다수 전문가는 감시 조항을 두고 영국 내 단대단 암호화 기술 실현이 불가능하다고 주장했다. 왓츠앱, 시그널 등 암호화 메시지 서비스는 온라인안전법이 통과한다면, 영국 서비스 제공을 중단할 계획이라고 위협했다.
메시지 앱 서비스 시그널 운영 기관인 시그널 재단(Signal Foundation) 회장 메레디스 휘태커(Meredith Whittaker)는 “영국 정부가 프라이버시를 보장한 암호화 메시지 스캔 기술이 존재하지 않는다는 사실을 인정한 것을 승리라고 확신할 수 있다”라고 말했다. 휘태커 회장은 “암호화 메시지 스캔 기술 사용은 단대단 암호화 수준을 해치려 결함이 있는 기술이나 기법을 사용하지 않는다는 약속이다”라고 덧붙였다.
영국 디지털문화미디어스포츠부는 와이어드의 의견 공개 요청에 답변하지 않았다.
[사진=Freepik]
영국 정부는 테크 플랫폼이 암호화 서비스에서 전송된 아동 성 착취 게시물을 식별할 기술을 구체적으로 이야기하지 않았다. 그러나 가장 보편적으로 언급된 해결책은 클라이언트 측 스캔이다. 단대단 암호화 기술에서는 메시지 전송자와 수신자만 메시지 내용을 볼 수 있다. 서비스 제공 기업도 데이터 암호화를 해제할 수 없다.
클라이언트 측 스캔 사용은 메시지 전송 전 사용자 기기에서 메시지 내용을 확인하고는 서버 어디엔가 저장된 아동 성 착취 게시물 데이터베이스와 비교한다. 서레이대학교 사이버 보안 객원 교수 앨런 우드워드(Alan Woodward)는 클라이언트 측 스캔 사용을 두고 “정부 제재에 따라 사용자 개인 사진이나 메시지를 스캔하는 스파이웨어 추가”라고 지적했다.
2022년 12월, 애플은 아이클라우드의 클라이언트 측 스캔 기술 개발 계획을 중단했다. 이후 애플은 사용자 프라이버시를 침해하지 않고 아이클라우드 사진과 영상을 스캔할 기술을 개발할 수 없다고 발표했다.
온라인안전법 반대 세력은 사용자 기기에 백도어를 심고, 아동 성 착취 게시물을 검색하는 것이 십중팔구 정부 차원의 광범위한 감시 행위의 토대를 마련하게 될 것이라고 주장한다. 우드워드 교수는 “정부가 암호화 메시지 스캔 기술을 손에 넣는다면, 대규모 감시를 피할 수 없을 것이다. 보안 기관은 암호화 메시지 스캔 기술을 다른 정보를 수색할 영장으로 생각하는 ‘예외 사항’이 항상 존재한다”라고 언급했다.
영국 정부는 테크 기업을 대상으로 입증되지 않은 기술 채택을 강요하지 않을 것이며, 온라인안전법으로 암호화 메시지 스캔 기술 권한을 이용하지 않을 것이라고 발표했다. 하지만 온라인안전법에는 법률 통과 가능성이 있는 논란의 암호화 메시지 스캔 관련 조항이 남아있다. 우드워드 교수는 “암호화 메시지 스캔 조항이 사라지지 않았지만, 지금은 올바른 방향으로 가고 있다”라는 견해를 전했다.
온라인안전법 통과를 반대하는 비영리단체인 공개 권리 단체(Open Rights Group) 캠페인 관리자 제임스 베이커(James Baker)는 온라인안전법에 암호화 메시지 스캔 권한이 남아 있다는 사실은 추후 암호화 해제 감시 관련 법률이 통과될 가능성을 시사한다고 보았다. 베이커는 “암호화 메시지 스캔 기술을 온라인안전법 조항에서 전면 삭제했다면 더 나았을 것이다”라고 말했다.
일각에서는 암호화 메시지 스캔 권한의 전면 변화를 다소 부정적으로 본다. 군사 기관 및 정부 기관을 대상으로 단대단 암호화 메시지 서비스를 제공하는 영국 기업 엘리먼트(Element) CEO 매튜 호지슨(Matthew Hodgson)은 “달라진 것은 없다. 온라인안전법에 작성된 조항만 바뀌었다. 메시 스캔은 기본적으로 단대단 암호화 메시지 앱과 함께 존재할 수 없다. 스캔 기술은 암호화 기술을 우회하여 스캔하고, 사용자 메시지가 해커 세력에게 노출되도독 한다. 따라서 영국 정부가 언급한 ‘기술적으로 쉬워질 때까지’라는 조건은 현재가 아닌 미래에 암호화 메시지 스캔 기술을 사용할 가능성을 열어 둔다. 변화가 아니라 스캔 기술 관련 난제를 미루는 것이다”라고 분석했다.
휘태커 회장도 단순히 엄격한 법률 집행을 하지 않는 것만으로는 충분하지 않다는 점을 인정했다. 이어, “하지만 영국이 프라이버시를 침해하지 않는 암호화 메시지 스캔 기술이 존재하지 않는다고 인정한 점을 최종 승리라고 선언할 수 있다”라고 말했다.
휘태커 회장은 영국 정부의 암호화 메시지 스캔 기술 채택 중단은 일부분이라도 영국 외 다른 국가에서도 반복될 것으로 본다. 전 세계 정보 산하 보안 기관은 단대단 암호화 기술을 약화할 조처를 추진했다. 또, 유럽에서도 아동 성 착취 게시물 스캔 기술 적용을 두고 다툼이 이어지고 있다. 유럽연합 집행위원회 내무부 장관 이브라 요한슨(Ylva Johannson)도 영국과 비슷하게 입증되지 않은 스캔 기술을 추진했다.
휘태커 회장은 “영국의 사례는 전 세계가 마련하고자 하는 허용할 수 있는 암호화 메시지 스캔 기술 중단 측면에서 중요한 일이다. 영국은 전 세계 국가 중 최초로 대규모 감시 기술을 추진했다. 이제 대규모 감시로 이어질 수 있는 스캔 기술 채택 추진을 중단한다. 전 세계에도 매우 중요한 일이기도 하다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202309/5028_6551_923.jpg)
뉴스레터 신청