사용자 삽입 이미지
최근 사생활보호를 위해 ‘모바일 암호화’가 유행처럼 번져가고 있는 가운데 미국과 유럽연합(EU) 등이 관련법 제정으로 암호화를 차단 방안을 마련하겠다고 밝혀 관심이 모아지고 있다.


이들은 “사생활보호를 위한 기업들의 암호화 서비스 제공이 범죄·테러 예방에 역효과”라고 입을 모으고 있다.

암호화로 인해 실시간 감시가 불가능해졌고, 이러한 점을 범죄자와 테러리스트들이 악용한다는 주장이다. 그러면서 이들은 “법률 제정을 통해 암호화 문제를 해결해야 한다”고 거듭 강조했다.

이슈의 시작은 2013년 6월 에드워드 스노든의 폭로부터다. 전 미 국가안전보장국(NSA) 직원이었던 그는 NSA가 개인정보 수집프로그램 프리즘(PRISM)을 통해 자국민을 비롯해 경쟁국가 정상급의 통화를 도청했다는 사실을 공개했다.
사용자 삽입 이미지

폭로 이후 기업들 사이에서 인터넷 도감청에 대한 이슈가 급부상했으며, 그 결과 구글과 애플 등 주요 글로벌IT기업들이 데이터 암호화를 기본적으로 도입할 것이라고 발표하기도 했다.

이 과정에서 미국 연방수사국(FBI)의 제임스 코메이(James Comey) 국장은 지난해 10월 “모바일 암호화로 인해 우리는 ‘매우 어두운 곳(very dark place)’으로 빠지게 될 것”이라고 말하며 도감청법(Communications Assistance for Law Enforcement Act, CALEA) 개정을 요구했다.

미 국회에 사정당국이 보다 쉽게 디지털 도감청이 가능하도록 관련 법령 개정을 요구한 것이다. 여기에는 사정당국이 필요시 인터넷서비스 업체들도 도감청에 협조해야 한다는 내용이 담겼다.

코메이 국장은 “우리는 사생활침해를 위한 권한을 요구하는 것이 아니라 이동통신에서 무선통신으로 변한 기술에 뒤처지지 않기 위한 것”이라며 “별도의 장치(백도어 등)없이 공식적으로 도감청을 할 수 있게 되길 원한다”고 전했다.

미국에 이어 영국도 암호화된 메시지에 대해 불편한 심기를 드러냈다.
사용자 삽입 이미지

지난 13일 데이비드 카메론(David Cameron) 영국 총리는 “암호화된 메시지가 테러리스트들에게 악용될 수 있기 때문에 정부는 개개인간 주고받은 메시지를 열람할 수 있어야 한다”며 “오는 2016년까지 관련법을 제정해 테러 등을 예방하겠다”고 전했다.

여기에 추가로 그는 오는 6월 하원선거를 앞두고 ‘테러 예방을 위해 암호화를 금지시키는 법안을 내놓을 것’이라는 공약도 내세웠다.

뿐만 아니다. EU도 이러한 분위기에 동참하고 있다. 지난 21일 로이터는 EU 내부문건을 공개하며 “질 드 케르쇼브(Gilles de Kerchove, 벨기에) EU 대테러사무관이 인터넷, 통신업체들이 사용자들의 암호화된 이메일을 복호화해 열람할 수 있는 규정을 마련해야 한다는 내용의 제안서를 제출했다”고 보도했다.

암호화가 일반적으로 적용되면서 경찰이 영장을 받아 펼치는 공식적인 감시 활동도 차질을 빚고 있다는 주장이다. 12개국 EU 내무부장관들도 이 주장에 동조한 것으로 알려지고 있다.

이러한 문제는 남의 일이 아니다. 지난해 우리나라에서도 카카오톡 도감청으로 인해 홍역을 치렀다. 결국 암호화 도입, 도감청 협조 불응 등으로 정리되긴 했지만 말이다.

한가지 생각해볼 점은 안보를 위해 사생활을 전적으로 침범당하는 것이 옳은 일이냐라는 것이다. 개개인의 표현의 자유와 사생활의 자유를 침해하는 국가가 과연 안보는 제대로 할 수 있겠냐는 지적이 세계 곳곳에서 나타나고 있다.

앞으로 사생활보호와 안보는 세계 각국에서 벌어지고 있는 테러 등으로 인해 지속적으로 충돌할 것으로 보인다.

미국 정치가인 벤자민 프랭클린은 이렇게 말했다.

“순간의 안전을 얻기 위해 근본적인 자유를 포기하는 자는 자유도 안전도 보장 받을 자격이 없다(Those who would give up essential liberty to purchase a little temporary safety deserve neither liberty nor safety)”

프라이버시라는 인간의 근본적인 자유를 정부가 침해해선 안된다.
2015/01/27 06:01 2015/01/27 06:01

[IT전문 미디어 블로그=딜라이트닷넷]

지난해 SK커뮤니케이션즈 해킹사태 이후 많은 인터넷서비스업체들은 보안강화를 위해 SSL암호화를 도입하고 있는 추세다.

SSL암호화는 웹브라우저와 서버간 데이터를 안전하게 주고받기 위한 표준 프로토콜이다. 네츠케이프가 개발했으며 모든 웹브라우저 개발업체들이 이를 사용하고 있다.

SSL암호화를 웹에 적용시키면 HTTPS로 귀결된다. HTTPS는 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 프로토콜이다.

‘HTTPS’로 접속되는 사이트들은 모두 SSL암호화를 사용하고 있다고 보면 된다. HTTPS는 데이터를 전달할 때 공개키와 비밀키에 기반한 암호화/복호화 과정이 있어 데이터를 주고받을 때 안전하다.

미국 페이팔이나 구글은 사이트전체에 SSL암호화를 적용했다. 페이스북이나 트위터는 사용자의 필요에 따라 이를 적용할 수 있도록 했다.

반면 국내 주요 포털들은 로그인시에만 SSL암호화를 사용하고 있다. 사용자의 아이디와 패스워드 탈취만은 막겠다는 의도다. SSL암호화를 아예 적용하지 않은 사이트도 부기지수다.

과거 페이스북은 사용자가 로그인시에만 HTTPS를 사용했다.


그러나 마크 저커버그 페이스북 최고경영자는 “로그인시에만 HTTPS를 적용하는 것은 매우 위험한 생각이다. HTTPS이 미적용된 상황에선 로그인 후 페이스북을 사용하면서 주고받는 메시지를 탈취당할 수 있기 때문이다”라고 말하며 전 영역에 SSL암호화를 적용했다.

이는 포털사들의 메일서비스에도 그대로 적용된다. SSL암호화를 통해 로그인 정보는 보호받을 수 있지만 이메일을 확인하거나 쓰는 동안 동일한 네트워크의 다른 사용자가 이를 손쉽게 가로챌 수 있기 때문이다.

문제는 이것이 모바일에도 그대로 적용된다는 것이다.

스마트폰 보급률이 높아지면서 공짜 AP(액세스포인트)도 급격하게 증가했다. 스마트폰이나 노트북을 공짜 AP에 접속시켜 사용하는 사람도 많아졌다. 그러나 해커들이 공짜 AP에 접속한 사용자들의 정보를 탈취할 수 있다는 사실을 아는 사람은 많지 않다.

예를 들어보자.

A는 ‘freeap’라는 AP에 접속해 모바일 네이버로 들어갔다. A는 네이버 메일 서비스를 사용해 지인에게 메일을 보냈다. ‘freeap’에는 사용자들의 정보탈취를 목적으로 한 해커도 접속해 있었다. ‘freeap’의 패킷을 감청하고 있던 해커는 특정 주소에서 발송되는 메시지(메일)을 포착했고 이를 빼돌릴 수 있게 됐다.

사용자 디바이스 내부 데이터를 탈취한다는 의미는 아니다. SSL암호화가 적용되지 않은 서비스(앱도 포함)와 서버간의 메시지를 탈취한다는 의미다. 이러한 이유로 구글, 야후는 메일서비스 전체에 SSL암호화를 적용했다.

이러한 우려를 인지했는지 네이버, 다음, 네이트와 같은 국내 포털업체들도 메일서비스에 SSL암호화를 도입할 준비를 하고 있다고 한다.


개인정보유출문제로 뒤숭숭한 상황에 국내 인터넷서비스 업체들의 SSL암호화는 이제 선택이 아닌 필수가 아닐까?


2012/05/11 08:08 2012/05/11 08:08