바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

국가 안보와 개인정보보호의 아슬아슬한 외줄타기

2016-04-27최필식 테크G 발행인



미국 뿐 아니라 세계를 충격에 빠뜨린 2015년 12월 샌버나디노 총기 난사 사건의 총성이 울려 퍼진 지 2개월 뒤에 그 사건이 IT 업계를 흔드는 지진파로 바뀔 것으로 예상한 이들은 거의 없었을 것이다.

샌버나디노 사건은 2015년 12월 2일, 미국 캘리포니아주 로스앤젤레스 동부에 있는 샌버나디노시 소재 발달장애인 복지재활시설인 ‘인랜드 리저널 센터’에서 일어난 총기 난사 사건으로 이날 최소 14명이 사망했고 22명이 다쳤다.

우발적 범행이 아닌 무슬림 부부의 계획적 테러 사건을 추적하던 FBI와 IT 업계의 충돌은 그야말로 예상하지 못했던, 매우 진지한 고민을 던진 사건의 시작이었다.



“아이폰의 잠금을 푸는 데 협조하라”
이 같은 명령을 내린 것은 다름 아닌 미국 법원이었고, 이 명령을 기다린 곳은 FBI였으며, 이 명령을 애플은 따르지 않았다. 그리고 얼핏 단순하게 보일 수 있는 이 명령은 지금도 뜨거운 뉴스를 낳는 도화선이 되었다.

지난 2월 16일 미국 캘리포니아 연방 법원은 이 같은 판결을 소송 당사자였던 FBI와 애플에 전달하였다. FBI가 샌버나디노 총기 난사 사건을 일으킨 무슬림 부부가 쓰던 아이폰 5c의 잠금을 해제하지 못하자 법원 명령을 통해 애플의 협조를 받아 이를 해결하려고 했던 것이다.

FBI는 이들의 아이폰에 범행과 관련된 상당한 정보가 있을 것으로 추측하고 아이폰의 잠금을 풀고자 다방면으로 노력했으나 헛된 일이었다. 결국 수사의 진척을 위해서 아이폰의 잠금 해제가 반드시 필요하다고 법원을 설득해 얻어낸 명령이었다.



이때 미국 법원에서 이 명령을 내릴 수 있던 근거는 국가 기관에서 공권력을 집행할 때 인용하던 1789년의 미국 재판법의 ‘모든영장법’(All Wrist Act)'이다.

이 법은 사건에 딱 맞는 관련 법령이 없거나 법률이 모호할 때를 대비한 법으로, 샌버나디노 사건처럼 특정 사안에 수사 당국을 도우라는 법률이 없거나 애매할 때 연방법원이 모든영장법에 따라 협조 명령을 내릴 수 있다.

실제로 이 법에 의해 통신사들이나 카드사들은 특정 사건에서 개인 정보로 취급되는 통신 이용 정보나 카드 이용 내역 등을 법원에 제출한 사례가 많았던 것으로 알려졌다.



그런데 명령을 받은 애플은 명령의 이행 대신 거부를 선택했다. 애플 CEO 팀 쿡은 고객들에게 보낸 공개서한에서 이번 명령을 받아들이면 앞으로 아이폰의 보안을 약화시킬 수 있을 뿐만 아니라 정부 감시의 선례를 남길 수 있다는 점에서 명령 이행을 거부했다고 밝혔다.

실제로 이 명령을 내린 법원의 세 가지 요구 사항은 수사 기관을 위해 보안을 해제하는 것을 골자로 하고 있다.

법원은 비밀 번호를 틀렸을 때 자동 지우기 여부와 관계 없이 이를 우회해야 한다거나 FBI가 물리적 또는 무선 랜이나 블루투스 같은 무선으로 해당 기기를 전기적으로 실험할 수 있도록 비밀번호를 활성화 한다거나 FBI에서 비밀번호를 입력한 이후 추가적으로 비밀번호를 입력을 하지 않도록 하는 등의 사항을 요구했다.

법원의 명령은 한마디로 보안과 관련된 모든 것을 우회해 아무런 손상 없이 아이폰을 들여다볼 수 있도록 무장 해제를 지시한 셈이다.



이런 상황에서 뉴욕 브루클린 연방지방법원은 2월 29일 앞서 캘리포니아 연방 법원과 정반대의 판결을 내린다.

2015년 10월 미국 정부가 마약상으로부터 압수한 아이폰의 잠금 화면을 풀어달라는 요청을 뉴욕 법원에 요청했지만 특정 기기의 잠금 장치를 풀라고 할 권한이 없다면서 이를 기각한 것이다. 이때도 미국 정부가 근거로 내세운 것은 모든영장법이었다.


캘리포니아와 뉴욕의 판결 비교 (출처: 조선일보)
(캘리포니아와 뉴욕의 판결 비교 (출처: 조선일보))




모든영장법을 근거로 뉴욕 법원이 잠금해제를 거부함에 따라 애플이 캘리포니아 법원의 명령을 거부할 수 있는 이유를 마련해 준 셈이 됐다.

이후 애플은 3월 2일 아이폰 잠금 해제 명령을 내린 미국 캘리포니아 연방 법원에 명령 취소를 위해 정식 항소했고, FBI 역시 뉴욕 브룩클린 지방 법원에 이의를 제기하는 항소장을 3월 8일 제출했다.

FBI를 비롯한 미국 수사 기관들은 수많은 첨단 수사 기술을 갖고 있는 것으로 알려졌지만, 법원의 명령으로 애플의 협조를 얻어 아이폰 5c의 잠금을 해제하는 것에 기대야 했을 만큼 아이폰의 보안은 기술적으로 풀어내기 어려웠던 모양이다.



이용자가 선택할 수 있도록 옵션으로 뺀 안드로이드와 달리 아이폰 5c를 비롯한 iOS 8, iOS 9 장치들은 기본적으로 저장 장치의 모든 내용을 암호화한 뒤 이용자가 정해 놓은 키를 잠금화면에서 입력해야만 정상적으로 내용을 볼 수 있도록 해두었다.

한마디로 비밀번호를 잘못 누르면 아이폰을 열지 못하는 것뿐만 아니라 데이터를 꺼낼 수도 없고, 심지어 데이터가 완전히 삭제될 수도 있다. 아이폰의 잠금 화면에서 암호 입력을 5차례 틀리면 1분을 기다려야 입력할 수 있고 9차례 틀리면 1시간 뒤에 입력할 수 있다.

옵션을 걸어 놓으면 10번 넘게 틀렸을 때 자동으로 데이터를 삭제할 수도 있다.



하지만 단순히 암호화된 것만이 문제가 아니다. 아이폰은 잠금 화면을 푸는 과정에서 까다로운 보안 장벽을 만들어 뒀다. 이 보안 장벽으로 인해 아이폰의 잠금을 푸는 데만 산술적으로 최대 144년이 걸릴 수도 있는 것으로 알려졌다.

아이폰은 1초에 12개의 암호 조합을 인지하는 데, 6자리 암호가 숫자와 알파벳 대소문자로 복잡하게 조합되었을 때 경우의 수가 568억개나 되는 터라 1초에 12개씩 대입하면 최대 144년이 걸려야 풀 수 있다는 것이다.

때문에 FBI가 오랜 수고를 덜 수 있도록 아이폰을 무장 해제할 수 있는 일종의 마스터키를 만들어달라고 요구할 수밖에 없던 것이다.






철벽 방패라던 아이폰, 결국 뚫리다
흥미로운 사실은 FBI가 애플과 보안 해제 공방을 벌이기 시작한 이후 아이폰 5c의 암호화를 풀기 위한 비밀스러운 움직임이 많아졌고, 결국 FBI는 애플의 도움 없이 문제의 아이폰 잠금을 해제했다.

FBI는 3월 21일 외부인의 조언을 받아 아이폰 5c의 잠금 화면을 해제하는 데 성공했으며 아무런 손상 없이 데이터를 확보했다고 밝힌 것이다.

하지만 잠금 화면 해제에 도움을 준 외부인이 누구인지 밝히지는 않아 궁금증을 낳았다. 외신들은 이스라엘의 디지털 포렌식 업체인 셀레브라이트가 관여했다는 보도에 뒤이어 최근 소프트웨어의 취약점을 집중적으로 찾아내 정부 기관이나 기업에 판매하는 해커, 일명 ‘회색 모자’가 자동 삭제 기능을 해제한 상태에서 4자리 비밀 번호를 26분만에 풀어냈다고 전하기도 했다.



FBI가 아이폰 5c의 잠금 해제를 위해 찾아낸 방법은 다른 아이폰 기종에서 쓸 수 없는 방법이다. 하지만 아이폰 5c의 보안 허점을 찾아내 공략한 끝에 잠금을 풀었다는 점에서 미묘한 파장과 함께 새로운 고민을 던지고 있다.

144년이나 걸릴 것이라며 철벽 보안이라던 아이폰이 26분 만에 뚫린 것과 아울러 이러한 취약점을 알게 된 정부의 대응에 주목하게 된 것이다. 특히 FBI가 더 이상 기업에 잠금 해제를 요구할 필요는 없지만, 정부가 입수한 취약점을 해당 기업에 제공해야 할 것인지에 대한 새로운 논란이 일어났다.

FBI는 백악관과 논의한 뒤 이 문제를 결정한다고 밝히긴 했지만, 아이폰 5c를 제외한 다른 아이폰에서 작동하지 않고 이에 대한 반대 의견도 있어 어떻게 결론이 날지 지금은 미지수다.



애플의 공개 서한과 IT 업계의 재빠른 결속
애플 CEO 팀쿡은 아이폰의 보안 해제 명령 불응과 관련한 대고객 서한을 한 번도 아닌 두 번이나 보냈다. 그 서한의 영향력은 대단했다.

공개 서한에서 애플은 정부의 명령을 이행하는 것이 수백, 수천만의 이용자에게 위험한 선례를 남길 수 있다고 공개적으로 언급하면서 개인정보보호를 지키는 일이 얼마나 가치 있는지 일깨우려 했다.

이는 아이폰을 쓰든 안쓰든 스마트폰을 쓰는 이들에게 IT 기술이 개인 정보 보호에 얼마나 큰 위협이 될 수 있는가를 단숨에 이해시키는 계기가 되었으며, 애플의 결정에 대한 지지를 이끌어 내는 데 적지 않은 영향을 미쳤다.


애플 공식 홈페이지 게시글
(애플 공식 홈페이지 게시글)




물론 이 공개 서한이 순수한 저항적 의미를 담은 것으로 받아들이기는 힘들지만, 한 가지 분명한 것은 이 서한에 이용자 스스로 보호하도록 그 본능을 되찾는 데 충분한 메시지를 담고 있었다는 점이다.

공공의 이익을 위한 가치도 무시할 수 없지만, 기기 분실이나 도난에서 개인 정보의 유출에 의한 위협을 더 크게 느끼는 이용자들을 자극했던 것이다. 국가의 명령에 의해 만능키가 작동하는 백도어를 넣는 순간 이런 위협에 직면할 수 있다는 가정만으로도 이용자들은 애플의 결정에 지지를 보낼 수밖에 없던 것이다.



이처럼 이용자들의 지지를 끌어낸 애플의 행동에 구글, MS, 페이스북 등 수많은 IT 기업과 개인정보보호 관련 인터넷 단체들이 동조하고 나선 것은 단순히 개인 정보 보호를 위한 목적만은 아니라는 해석이 많다.

애플이 아이폰 잠금 해제 명령 취소를 위한 항소에 나선 직후 17개 IT 기업들은 아이폰 보안 해제의 위헌성 및 인권 침해 소지에 대한 법정 조언자 의견서를 3월 초 법원에 제출했다.

당시 이용자들의 지지에 의지해 명령에 불응한 애플이 이 소송에서 불응의 정당성을 인정받으면 IT 업계 역시 개인정보보호를 이유로 정부의 부당한 명령에 대응할 수 있는 근거가 마련된다.



때문에 아이폰 사태에 따른 IT 기업들의 결속은 지극히 개인정보보호만을 목적으로 한 것으로 보긴 어렵다. 다만 아이폰 사태처럼 테러를 포함해 수많은 내외부 위협에서 국민들을 지킨다는 명목 아래 기술적인 해결책에 대한 요구나 간섭을 피할 수 있는 길을 찾고 있는 것은 숨기기 어려워 보였다.

이 같은 IT 업계의 속내를 FBI와 미국 법원이 간파한 것일까? 미국 법원은 4월 20일, 애플을 상대로 낸 소송을 모두 취하했다.



창에 뚫리는 방패를 만들 것인가?
비록 개인정보보호를 앞세운 애플이 이용자의 지지를 얻는 데는 어느 정도 성공한 모양새지만, 이번 사태에서 애플도 적지 않은 상처를 입은 것으로 보인다.

애플의 도움 없이 아이폰의 잠금을 해제해 보안을 뚫었을 뿐만 아니라 국가 안보에 기여하지 않는다는 비판에서 자유롭지 못해서다. 기어코 아이폰의 잠금 해제에 성공한 FBI도 테러와 관련된 의미 있는 데이터를 얻어내지 못한 것으로 알려져 두 당사자 모두 이번 논란에서 얻어낸 것보다 잃은 것이 더 많은 상황이다.



하지만 누가 더 이익이고 상처를 받았는가를 정량적으로 평가하는 것을 떠나 이번 사태는 앞으로도 끊임없는 논란을 낳을 것은 분명하다.

이번 논란을 불러온 샌버나디노 총기 난사 사건처럼 국가 안보와 관련된 다른 사건이 발생하거나 그럴 위험에 대비해야 할 때 정부 기관들은 국가 안보를 앞세워 IT 기업에 이와 비슷하게 요구할 수 있기 때문이다.

특히 이번 사태를 지켜본 미국 정치인들 가운데 애플의 이러한 태도를 못마땅하게 여겨 의회에서 백도어 의무화 법안을 논의하고 있다는 소식도 들린다. FBI와 애플의 변호인이 미 하원에서 설전을 벌인 것도 이미 전파를 타고 세계로 소식이 날아갔다.



그럼에도 불구하고 IT기업이나 보안 전문가들의 주장처럼 대다수의 이용자의 개인정보를 지켜줄 더 안전하고 강력한 방패를 만드는 쪽에 집중할 것으로 보인다. 애플 아이폰이 뚫린 데다 인터넷 상에서 수많은 보안 위협은 시시각각 일어나고 있는 일이기 때문이다.

반대로 국가 기관 역시 국가 안보를 위해 스스로 강력한 창을 만드는 것을 억지로 막기는 어려워 보이지만, 지금은 창으로 뚫리는 방패를 만들라는 요구도 강해지고 있다. 그렇다면 이 같은 압박에 IT 기업들의 언제까지 어떤 방법으로 저항할 수 있을까? 이런 저항을 우리는 너무 일찍 포기했던 것은 아닌지 모르겠다.



공동기획