바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

[MIT리뷰] ④스노든 사건 그 후 : 암호화를 위한 절반의 노력

2016-03-25MIT테크놀로지리뷰
전 CIA요원 에드워드 스노든
(전 CIA요원 에드워드 스노든)
2013년 6월, 미국 CIA 요원 에드워드 스노든이 미 정보기관이 세계적으로 감찰을 자행했다는 내용을 포함한 기밀 문서를 공개할 당시 애플, 구글, 야후, 마이크로소프트 등 인터넷 기업은 개인정보와 데이터 보안에 큰 관심을 기울이지 않던 것으로 밝혀졌다. 불법 감찰이 가능했던 것은 기업 데이터센터와 서비스 제공업자 사이를 오가는 데이터가 암호화되지 않았기 때문이었다. 스노든의 폭로는 기술 업체와 기업 및 소비자 간의 관계를 와해시켰다. 총 피해 금액에 대해서는 여러 설이 있다. 하지만 해외 기업고객이 미국 클라우드 컴퓨팅 업체와의 계약을 철회하고 해외 경쟁사로 등을 돌리는 바람에 잔류한 고객들을 안심시키기 위해 홍보활동에 돈을 쏟아 부으면서 총 350억 달러에서 1800억 달러 사이의 손실이 발생한 것으로 추정됐다. 그러나 장점도 있었다. 폭로 덕분에 사찰과 도용으로부터 사용자 정보를 보호하기 위해 암호화를 사용하려는 움직임이 일어났다. 다만 결과는 복합적이었다. 구글, 야후, 마이크로소프트 같이 이메일, 검색, 저장, 메시지 같은 클라우드와 웹 기반의 서비스를 제공하는 서비스 업체들은 내부 인프라에서 이동하는 사용자 데이터를 암호화했다. 그러나 스마트폰에 저장된 데이터나 스카이프와 구글 행아웃 등 인기 메시징 앱을 통해 네트워크를 오가는 데이터는 상황이 다르다. 가장 모범적인 사례는 애플이다. 비교적 최신 버전의 운영체제가 설치된 아이폰 등의 기기에서는 데이터가 기본적으로 암호화되도록 설정됐고 발신자와 수신자만 정보를 볼 수 있도록 통신데이터를 암호화했다. 그러나 애플 제품은 빈곤지역에서는 많이 사용되지 않는다. 전세계에서 사용되는 스마트폰 34억 대 중 80% 이상이 구글의 안드로이드 체제로 운영된다. 대다수가 아이폰과 달리 보안이 내장되지 않은 저가형 전화기다. 미국시민자유연맹 수석기술자 크리스 소호이안은 이로 인해 ‘디지털 보안 격차’가 벌어졌다고 말한다. 지난해 11월 열린 MIT테크놀로지리뷰의 엠테크 컨퍼런스에서 그는 “부유한 사람들이 사용하는 스마트폰은 기본설정으로 암호화되고 감시할 수 없지만 남반구와 빈민층 그리고 미국의 소외계층이 사용하는 전화기는 사찰 대상이 될 수 있다”고 말했다. 스노든의 폭로 후 새로운 암호화 계획에 관한 선언이 빠르게 뒤따랐다. 2013년 11월 야후는 자사의 데이터센터에서 송수신하는 데이터를 암호화하고 사용자의 기기와 자사 서버 간에 이동하는 트래픽(주소 앞에 고정된 HTTPS가 보내는 신호로 수집된다)도 암호화할 것이라고 발표했다. 마이크로소프트는 2013년 11월과 12월 다수의 주력 상품과 서비스의 암호화를 확장할 것이라고 발표했다. 즉 전송 중 데이터와 마이크로소프트 서버 내의 데이터를 암호화한다는 것이다. 구글은 2014년 3월 지메일 접속에 HTTPS를 사용할 것이며 야후 등 암호화를 지원하는 다른 업체로 보내지는 이메일도 암호화할 것이라고 밝혔다. 2013년과 2014년 애플은 그중 가장 인상적인 변화를 이끌어냈다. 모든 아이폰과 아이패드에 설치된 iOS 운영체제의 최신버전이 문자와 동영상 메시지의 종단간 암호화를 내장할 것이라고 발표한 것. 또 이 정보를 해독하기 위한 키를 애플의 서버가 아닌 사용자의 기기에만 저장, 해커나 애플 내부직원, 혹은 법원 명령을 받은 정부 관계자조차 정보에 접근하기가 어렵도록 했다. 구글, 마이크로소프트, 야후는 이러한 통신 정보의 종단간 암호화를 제공하지 않는다. 그러나 최근에는 쉽게 사용할 수 있는 제3자 앱이 늘고 있다. 챗시큐어와 시그널 같이 무료로 제공되는 앱들은 암호화를 지원하고 사용자가 검토할 수 있도록 소스코드를 공개한다. 이런 도구를 배우고 실제로 활용하는 사용자들은 상대적으로 적다. 더블린 트리니티대의 컴퓨터공학자로 인터넷 프로토콜을 개발하는 인터넷공학 태스크포스의 보안팀을 이끄는 스티븐 패럴은 안전한 메시징앱 덕분에 인터넷 전반에 암호화를 적용하기 더 쉬워질 수 있다고 말한다. 그는 “대형 메시징 제공업체들은 종단간 암호화가 적용된 메시징 도입에 경험을 쌓고 그 경험을 기반으로 표준화에 착수해야 한다”며 “이것이야말로 인터넷 전반에 걸친 메시징 보안 문제를 해결하기 위한 숙제”라고 지적했다. <본 기사는 테크M 제35호(2016년3월) 기사입니다>