Hard Question은 페이스북의 서비스가 사회에 미치는 영향에 대해 설명 드리�� 연재게시물입니다.
By Gail Kent, Global Public Policy Lead on Security
종단간 암호화(End-to-End Encryption)는 보안과 안전을 도모하는 강력한 도구입니다. 환자와 의사가 서로를 완전히 믿고 대화할 수 있도록 돕고, 기자와 취재원이 정부의 감시를 걱정하지 않고 대화할 수 있도록 돕고, 억압적인 정권 하에 있는 시민들이 안심하고 인권단체에 도움을 요청할 수도 있도록 돕습니다. 더불어, 종단간 암호화 기술을 통해 사적인 대화 내용을 악용하려는 사이버 공격의 성공 가능성도 낮출 수도 있습니다. 하지만, 모든 기술이 그러하듯, 종단간 암호화에도 단점은 존재합니다. 기업이 자신들의 서비스를 악용하는 세력을 단속하거나 일부 범죄 행위에 대한 법률집행기관의 수사를 어렵게 하는 경우가 있기 때문입니다.
Facebook에 입사하기 전, 저는 영국 국가범죄청(British National Crime Agency)에서 20년 가량 근무하며 국제 수사를 담당했습니다. 당시 제 업무는 인터폴이나 유로폴과 같은 다른 국가의 범죄수사기관과 협조해 범죄자들이 서로 어떤 방식으로 소통 하는지 연구하는 것이었습니다.
당시 기관 내는 물론 외부 정보원들과의 안전한 소통을 위해 매일 암호화 기술을 사용했습니다. 반면, 동시에 증거를 남기기 어려워 암호화 기술의 필연적인 단점 역시 직접 경험했습니다. 그럼에도, 보다 안전한 사회를 위해서는 암호화 기술이 꼭 필요하다고 생각합니다.
종단간 암호화 기술의 작동 원리
종단간 암호화는 모든 WhatsApp 대화에 적용되며, Facebook Messenger에서도 옵션으로 선택할 수 있습니다. 종단간 암호화가 적용된 대화는 잠금 상태로 전송되며 발신자와 수신자 모두 특별한 해제 코드가 있어야만 잠금을 해제하고 메시지를 읽을 수 있습니다. 추가 보호장치로 여러분이 보내는 모든 메시지에는 잠금을 해제할 수 있는 고유 키가 할당되며, 누구도 중간에서 대화를 엿들을 수 없습니다.
공직에서 일하던 당시, 암호화 기술로 인해 당장 눈 앞에 닥친 위협에 대응하는 일에 어려움을 겪었던 적이 있습니다. WhatsApp의 모회사인 Facebook에서 일하고 있는 지금, 정부 관계자들로부터 비슷한 얘기를 듣습니다. 옳지 않은 목적을 가진 사람들이 서로 대화를 나누고 있다는 걸 알면서도 어째서 종단간 암호화 기술을 계속 유지하느냐는 질문을 자주 듣습니다. 정부 입장에서는 당연히 가질 수 있는 의문입니다. 하지만, 암호화 기술을 유지하지 않을 경우 희생해야 하는 부분은 명확합니다. 우선, 법률을 준수하고 있는 수억 명의 선한 이용자들에게 제공하는 보안 기능이 약화됩니다. 게다가 암호화 기능을 없앤다고 나쁜 의도를 가진 세력의 활동을 차단할 수 있는 것도 아닙니다. 종단간 암호화 기술을 사용하면서도 책임감은 덜한 다른 서비스들이 있습니다.
일부 정부 관계자들이 공개적으로 종단간 암호화 기술의 장점을 인정하기는 하지만, 동시에 해당 기술로 보호한 정보를 우회하기 위한 시도를 지속하는 분들도 있습니다. 비영리 단체 EFF(Electronic Frontier Foundation)가 올해 초 발표한 내용에 따르면, 해외의 한 국가가 첩보 활동을 목적으로 사람들을 속여 가짜 메시징 앱을 설치하도록 유도한 사례가 적발되기도 했습니다. 아울러, 소위 ‘백도어(backdoor)’의 역할을 신봉하고 있는 사람들의 경우, 일반인들에 대한 보안 수준은 그대로 유지하면서 암호화 기술을 우회해 범죄 용의자나 테러리스트의 대화 내용만 따로 수집하는 것이 가능할 것이라는 상상을 하기도 합니다.
하지만 사이버 보안 전문가들은 백도어를 발견되지 않도록, 혹은 공격 받지 않도록 완벽히 숨긴 상태로 만드는 것이 불가능하다는 것을 계속해서 증명해왔습니다. 따라서, 암호화 시스템의 일부를 약화시키는 것은 결국 보안 생태계 전체를 약화시키는 결과를 가져올 뿐 입니다. Facebook은 오픈소스 기반의 암호화 프로토콜을 사용해 정부를 비롯한 모든 사람들이 저희 보안 시스템을 시험해 보도록 권장하고 있습니다. 이러한 지속적인 검토 과정은 정부 기관이 (합법적이라고 하더라도) 특정 대화에 걸려있는 암호화 장치를 보이지 않는 곳에서 해제할 수 없는 또 다른 이유이기도 합니다.
여러분의 안전을 위해 정부와 협력합니다
제 업무 중 하나는 각 국가 정부 및 사법기관과 협조해 사람들을 안전하게 보호하는 것 입니다.
암호화된 대화에는 접근할 수는 없지만, WhatsApp의 경우 서비스 제공을 이유로 제한된 이용자 정보 일부를 수집하고 있습니다. WhatsApp은 이렇듯 용의자를 추적하기 위해 정당한 법적 절차를 진행하고 있는 사법기관에는 수집된 정보를 제공하고 있습니다. 아울러, WhatsApp은 유럽과 브라질 등 전 세계 국가에서 경찰, 법관 등 관계자를 대상으로 트레이닝 세션을 진행해 해당 과정에 대한 이해도를 높이고자 노력하고 있습니다. 앞으로 몇 달 동안 더 많은 트레이닝 세션을 진행할 예정입니다.
과거, 브라질 사법기관의 긴급 요청에 따라 WhatsApp이 관련 정보를 제공해 납치 피해자를 구출하는데 도움을 주거나, 인도네시아에서는 아동 학대 이미지를 공유하는 단체를 고발하는 과정에 힘을 보탠 바 있습니다.
저희가 제공하고 있는 제품의 보안 수준을 희생하지 않는 선에서 이뤄지는 이런 활동은 커뮤니티를 돕고 보호하기 위한 노력의 일환입니다. 매해 두 번, Facebook은 투명성 리포트를 통해 전 세계 모든 정부가 Facebook, WhatsApp, Instagram, 그리고 Messenger와 관련해 보내는 요청을 투명하게 공개하고 있습니다. 모든 요청 사항이 충분한 법적 요건을 갖추고 있는지 면밀히 검토하고, 적절하지 않는 요청이 있다면 이에 반대하는 의견을 제시합니다.
향후 계획
Facebook은 언제나 이용자 모두가 자신의 개인정보 보호와 보안에 관한 내용을 정확히 이해하고 직접 설정을 변경할 수 있도록 노력하고 있습니다. 오늘, 종단간 암호화의 장점과 한계를 설명 드리고, 여러분이 스스로 선택을 할 수 있는 방법을 소개하는 이유도 바로 여기에 있습니다.
예를 들어, 누군가 여러분의 디바이스에 접근할 수 있다면 메시지를 읽는 것도 가능합니다. 만일, 여러분이 대화 내용을 컴퓨터나 클라우드에 저장했다면, 종단간 암호화 기술로 이를 보호하기는 어렵습니다. 여러분이 소통하고 있는 기업들 역시 메시지를 저장하고 열람, 혹은 대응하기 위해 별도의 기업 서비스를 사용하고 있을 수 있습니다. 이처럼 다양한 시나리오가 있을 수 있는 만큼, 개인정보 보호를 위한 다양한 기술들의 수준은 서로 다를 수 밖에 없습니다.
종단간 암호화에 대한 논쟁은 쉽게 끝나지 않을 것 입니다. 동시에, 우리 모두는 안전하게 외부와 소통하고, 악의적인 위협으로부터 안전하게 보호받을 방법이 필요합니다. Facebook은 이 두 가지 목표를 동시에 성취할 수 있다고 믿습니다. 그리고 그 과정 속에서 종단간 암호화 기술 역시 타협 없이 유지할 수 있다고 믿습니다.