지난 13일 프랑스 파리 극장과 축구경기장, 식당, 카페 등 7곳에서 동시다발 테러가 일어나 150명 이상이 숨졌다.
테러 대상은 레스토랑이나 공연장, 축구장 등에 모인 불특정 다수 일반인이어서 프랑스 국민과 세계 사람은 미국 9·11 테러에 버금가는 충격을 받았다. 누구든지 테러 피해자가 될 수 있다는 불안감이 더욱 강도 높은 테러 방지책을 마련해야 한다는 목소리로 이어지고 있다.
파리 테러 후폭풍은 정보통신기술(ICT) 업계에도 휘몰아쳤다. 테러범이 텔레그램 등 암호화된 모바일 메신저로 테러를 모의하고 실행한 것으로 알려지면서 정보기관 사이버 감시활동을 강화해야 한다는 목소리가 높아졌다.
다수의 테러범이 파리 도심 6곳에서 동시다발적 테러를 감행할 수 있었던 것도 메신저 등 사이버 공간에서 오간 테러 음모를 정보 당국이 사전에 적발하지 못했기 때문이다.
파리 테러 이후 안보를 위해 암호화를 완화하고 개인 프라이버시를 양보해야 한다는 목소리가 쏟아졌다. 애플과 구글 등 ICT기업이 암호화를 강화하면서 정보기관은 스마트폰이나 메일, 메신저상 테러 용의를 포착하고 증거를 수집하기가 더 어려워졌다. 수사상 필요하다면 암호화된 메시지를 풀 수 있는 ‘뒷문’(백도어)을 만들어놔야 한다는 정보기관 주장이다.
과거 ICT기업은 이런 정보를 국가에 제공했다. 2013년 에드워드 스노든이 미국 국가안보국(NSA) 무차별 감청행위를 폭로한 이후 상황이 바뀌었다.
스노든은 NSA가 일반인 통화기록과 인터넷 사용정보 등 개인정보를 프리즘이란 비밀정보수집 프로그램으로 무차별 수집, 사찰한 사실을 폭로했다. 수천만 건의 프랑스 국민 전화통화를 도청했으며 앙겔라 메르켈 독일 총리 개인 휴대폰 감청을 시도했다는 폭로가 이어졌다. 멕시코 전 대통령 이메일도 해킹했으며 이탈리아와 스페인에서도 수천만 건 전화통화를 도청한 것으로 드러났다. 최소한 36개국 이상이 NSA에 도청 당한 것으로 추정됐다.
스노든 폭로 이후 IT기업은 고객의 엄청난 지탄을 받으면서 정부에 자료를 넘겨주던 일을 모두 중단했다. 고객 프라이버시 보호를 위해 결국 뒷문을 막았고 암호화 강화에 속도를 냈다.
애플은 2014년 iOS8을 선보이면서 종단 간 암호화(End-to-End Encryption)를 구축했다. 종단 간 암호화는 처음 입력하는 단계부터 최종적으로 수신하는 모든 단계에서 메시지를 평문으로 저장하지 않고 모두 암호화하는 방식이다. 종점(엔드 포인트)과 종점(엔드 포인트) 사이 데이터를 암호화해 통신하는 패러다임이다.
애플은 암호화를 해제하는 키를 서버에 보관하고 있었던 방식을 버리고 애플조차도 암호화된 데이터에 접근할 수 없도록 OS를 업데이트했다.
암호화 방식을 변경한 후 애플은 여러 차례 정부의 ‘뒷문’ 요구를 공개적으로 거부했다. 애플은 “경찰이 쓰라고 매트 밑에 열쇠를 숨겨두면 도둑이 쓸 수도 있다”며 “숨겨둔 열쇠가 있다는 사실을 알면 범죄자나 다른 나라가 기를 쓰고 찾으려고 할 것”이라는 논리를 내세웠다.
구글도 최근 선보인 안드로이드 OS에 암호화를 기본기능으로 넣었고 이메일 서비스인 지메일도 암호화를 강화했다. 지난 12일에는 지메일이 아닌 계정에서 지메일로 전달되는 메일 중 암호화되지 않은 것은 이용자에게 이를 경고하는 메시지를 띄우는 방안을 준비하고 있다고 밝혔다.
구글은 또 최근 투명성보고서에서 국제표준 암호화 방식인 TLS(전송계층보안)를 기준으로, 이메일 서비스 업체가 이 방식을 지원하는지를 가려내 공개했다. TLS는 수신 및 발신 메일 트래픽에서 메일을 안전하게 암호화하고 전달하는 프로토콜이다. 이메일 제공업체 간에 메시지가 이동할 때 메시지가 공개되지 않게 유지하므로 메일 서버 간 스누핑을 방지할 수 있다.
페이스북이 소유한 세계 최대 모바일 메신저 와츠앱도 지난해 종단 간 암호화를 도입했다. 이에따라 와츠앱 메시지는 보낸 사람과 받은 사람만 접근이 가능하다.
반면에 암호화 강화로 각국 정보기관은 인터넷 트래픽에서 테러리스트 대화를 엿보는 게 어려워져 국가 안보가 위협을 받고 있다고 불만을 토로한다. 정보기관이 들여다보기 어려운 메일과 메신저가 등장하면서 테러집단 소통수단으로 사용되고 있다는 의심은 높아졌다.
채팅 앱인 킥과 슈어스폿은 IS가 관심을 보이는 수단으로 언급된 적도 있다. 이들 메신저 앱은 백도어가 심어져 있지 않은데다 암호화 수준이 높고 익명 대화가 가능하다는 점에서 활용 가능성이 높은 소통 채널로 지목되고 있다.
파리 테러가 터지면서 프라이버시 보호로 기울었던 무게추는 다시 정보기관 감시활동을 강화하는 쪽으로 기울어졌다.
파리 테러 이후 존 브레넌 미 중앙정보국(CIA) 국장은 “스노든 폭로 탓에 정보기관의 공격적인 첩보활동이 어려워졌다”며 “감시프로그램이 노출되면서 이슬람 테러리스트를 확인하기 어려워졌다”고 지적했다.
그럼에도 애플과 구글 경영진은 안보와 프라이버시 모두 중요하다며 정부가 암호화된 메시지에 접근하는 것에는 반대 의사를 분명히 했다. 팀 쿡 애플 CEO는 사용자기기에 정부가 접근할 수 있게 하는 것은 끔찍한 결과로 이어질 수 있다고 경고했다. 구글 모회사인 알파벳 에릭 슈미트 회장도 공감을 표했고 마이클 델 델 CEO도 정부의 정보접근에 반대했다.
애플, 구글, 마이크로소프트 등을 회원사로 두고 있는 미국 정보기술산업협의회도 통신감청·백도어 거부 방침을 재확인했다.
이 단체는 “암호화는 범죄자가 은행계좌를 털어가거나 해킹으로 자동차·비행기를 탈취하지 못하도록 지켜주는 보안 수단”이라며 “좋은 목적으로 쓰려는 것이라 하더라도 암호화된 기계·데이터 암호화를 약화시키거나 백도어를 만들면 오히려 범죄자에게 취약점을 노출시킬 것”이라고 밝혔다.
지난달 미국 백악관은 ICT업계 반대를 감안해 암호화된 메시지를 정부가 접근하지 못하도록 하겠다는 방침을 공식화했다. 프랑스 테러로 정보기관 주장이 힘을 얻고 있어 백악관 방침이 계속 유지될지는 미지수다.
ICT 서비스업체는 고객 정보를 정보기관이나 해킹 집단으로부터 보호할 의무가 있다. 더 철저하게 암호화를 해야 하는 이유다. 반면에 정보기관은 국가안위를 위해 범죄집단 행적과 통화를 추적 조사해야 한다. ICT업계에 암호화 완화를 요구하는 배경이다. 두 가지 명제는 모순이나 다름없다. 테러가 계속되고 해킹이 존재하는 한 정보기관과 ICT업체 신경전은 계속될 것이다.
권상희기자 shkwon@etnews.com
