암호 열어주면 테러방지 효과 있을까

실질적 효과 없다는 주장도 만만치 않아

컴퓨팅입력 :2015/11/19 13:08    수정: 2015/11/19 13:08

손경호 기자

파리 테러 이후 암호화 기술을 향한 각국 정보기관들의 날선 메시지들이 쏟아지고 있다. 핵심은 암호화된 정보라도 테러방지 등을 목적으로 내용을 들여다 볼 수 있게 해야 한다는 것이다.

그러나 반론도 만만치 않다. 필요할 때 볼 수 있게 암호화에 구멍을 내달라는 정보기관들의 요구는 99.99% 선량한 사람들이 정보유출방지나 프라이버시 보호를 목적으로 사용하는 암호화 기술을 0.01%에 불과한 테러범들을 잡기 위해 허술하게 만들자는 것과 같은 뜻일 수도 있다는 지적이다. 에드워드 스노든이 폭로한 미국 국가안보국(NSA) 등의 민간 도감청 실태는 감시 기술들이 남용될 수 있다는 것을 일반인들도 체감하는 계기가 됐다.

파리 테러의 경우 결론부터 말하자면 아직까지 테러범들이 암호화 기술을 동원해 테러를 했다는 확실한 증거는 발견되지 않고 있다.

에드워드 스노든의 폭로를 최초 보도했던 글렌 그린워드가 공동창업한 인터셉트 보도에 따르면 파리 테러 용의자는 물론 지난 1월 벨기에 테러를 모의했다가 실패한 ISIS 소속 테러범들 역시 그들의 스마트폰을 통해 암호화되지 않은 채로 커뮤니케이션했던 것으로 나타났다.

이를 두고 프랑스 유력지인 르몽드는 "파리 테러가 발생한 콘서트장 쓰레기통에서 발견된 테러 용의자의 스마트폰을 분석한 결과, 콘서트장에 대한 상세한 지도와 함께 문자메시지를 통해 '우리는 출발했다;우리는 시작한다(we're off; we're starting)'라는 문구를 확인했다"고 전했다.

현지 경찰은 또한 해당 스마트폰의 이동경로까지 확인할 수 있었다고 밝혔다.(관련링크)

파리 테러 이전에도 이들은 벨기에에서 테러를 모의했으나 암호화 통신을 쓰고 있지는 않았던 것으로 확인됐다.

알카에다와 같은 이슬람 무장테러단체들이 오픈소스로 공개된 암호화 기술을 활용해 직접 비밀메신저를 만들어 사용해왔다는 정황이 있는 만큼 파리 테러 외에도 이들 단체들이 암호화 기술을 악용할 가능성은 배제할 수 없다. 문제는 테러범들의 위협 때문에 전체 암호화 생태계를 정보기관이 감시할 수 있게 허용해야하냐는 것에 대해서다. 벼룩 잡으려다가 초가 삼간 다 태울 수 있다는 지적이 나오는 이유다.

카이스트 김용대 교수는 "파리 테러의 경우 암호화된 메시지에 대한 감시실패가 아니라 전반적인 테러감시에 대한 인텔리전스의 실패일 수 있다"며 "암호화를 잘해서 99.99%를 안전하게 해야지 0.01%의 테러범들을 찾기 위해 암호화를 안전하지 않게 만드는 것은 맞지 않다"고 지적했다.

2011년 이란에서는 약 30만명의 구글 지메일 내역을 살펴볼 수 있도록 가짜 인증서가 발행된 사건이 발생하자 배후에 이란 정부가 있었다는 의혹이 제기된 바 있다.

김 교수는 "이미 오픈소스로 공개된 암호화 알고리즘을 통해 종단 간 암호화를 구현할 수 있는 안전한 기술들이 있는데 이것들을 못쓰게 막을 수 있는 것도 아니다"라고 덧붙였다. 그럼에도 불구하고 이러한 암호화 기술에 대해서까지 감시하려고 한다면 '그레이트파이어월(greatfirewall)'을 만드는 것이나 마찬가지가 된다는 설명이다. 중국에서는 만리방화벽으로 번역할 수 있는 그레이트파이어월을 통해 자국 내 인터넷 활동을 감시하고 통제하고 있다.

다른 주장도 있다.

고려대 김승주 교수는 정보기관이 더 쉽게 암호화된 정보에 대해 모니터링할 수 있도록 조치를 취한다면 테러범과 같은 범죄집단들이 수준높은 암호화 통신을 사용하지 못하게 억제하는 효과를 낼 수 있다는 입장이다.

예를들어 정보기관이 애플 아이메시지, 왓츠앱 등을 필요에 따라 감시할 수 있도록 일종의 백도어 기능을 심어놓으면 테러범들이 이를 의식해 메신저를 사용할 수 없게 되기때문에 최소한 일반인들이 사용하는 메신저가 테러범 등에게 악용될 가능성을 줄일 수 있다는 설명이다. 그는 "이렇게 감시하기 위해 암호화를 풀 수 있는 열쇠 역할을 하는 키를 정보기관이 직접 관리하지 않고, 제 3의 기관을 통해 위탁관리하는 등의 방법으로 오남용을 방지하는 장치가 필요하다"고 덧붙였다.

상용 인터넷 서비스들에 대한 통제를 강화한다고 해서 테러를 하겠다고 마음 먹은 이들이 커뮤니케이션 할 수 있는 통로를 원천 봉쇄할 수 있는 건 아니라는 지적도 있다.

관련기사

이미 분산네트워크를 활용한 익명 통신용 툴인 '토르'는 물론 추적이 어려운 이메일 전송방식인 PGP, 보안성을 강조한 모바일메신저인 텔레그램, 시그널 등이 프라이버시 보호와 정보유출을 막기 위한 용도로 활용되고 있다.

익명을 요구한 한 보안전문가는 "테러범들 역시 안전성이 입증된 알고리즘을 잘 구현해서 사용한다면 직접 비밀메신저 등을 만드는 일 자체가 어려운 것은 아니다"라고 밝혔다. 김용대 교수는 "기술은 누구의 편도 아니다"라며 "이를 어떻게 사용하느냐에 따라 달라질 수 있다"고 말했다.