美정부, IT기업 소스코드 확보 전방위 압박나서

'모든 영장법(All Writs Act)' 외 '해외정보감시법(FISA)' 활용

인터넷입력 :2016/03/18 11:18

손경호 기자

미국 정부가 자국 내 IT기업들이 보유하고 있는 프로그램, 기기 등에 대한 소스코드를 얻기 위해 애플과 소송의 근거가 된 '모든 영장법(All Writs Act)' 외에도 이미 '해외정보감시법(FISA)'을 활용해 오고 있었던 것으로 나타났다.

IT 기업들에게 자사가 개발해 서비스 중인 프로그램에 대한 소스코드를 내놓으라는 얘기는 기업비밀을 정부에 공개하라는 말과 다름없다. 이들 법에 따라 정부가 소스코드를 확보하게 되면 정부가 테러방지나 감시활동 등을 목적으로 해당 프로그램 혹은 기기에 대한 보안 취약점을 찾아내는 일이 가능해진다.

17일(현지시간) 미국 지디넷은 내부 사정에 밝은 소식통을 인용, 미국 정부가 애플-FBI 간 테러범 아이폰에 대한 잠금해제를 둘러싼 공방 외에도 이미 FISA를 활용해 IT기업이 가진 프로그램에 대한 소스코드를 확보하려고 시도하는 중이라고 보도했다.

일반 법원과 별도로 비밀리에 관리되는 FISA법원은 1979년 설립돼 정부의 감시활동과 관련된 영장을 발부해왔다. 문제는 전체 감시영장 신청서 중 99% 이상이 허가를 받았다는 사실이다. 이 영장들에는 고객데이터를 NSA가 운영하는 프리즘과 같은 감시프로그램으로 보내거나 감시 대상 국가의 전화통화 내역을 도청하는 것, 주요 인물에 대한 해킹을 수행하는 것 등이 포함된다.

2013년 말, 독일 델 슈피겔의 보도로 알려진 NSA 감시활동 폭로자인 에드워드 스노든이 공개한 유출문서에 따르면 이 기관은 일부 하드웨어, 소프트웨어 제조사들에게 감시활동을 위해 자신들이 많은 소스코드를 추가할 것을 강요하기도 했다고 주장했다.

심지어 NSA가 요원들을 대상으로 공개한 카달로그에는 델, 화웨이, 주니퍼 등을 거론하며 일부 장비에 정보를 훔쳐볼 수 있는 백도어(뒷문)를 심어놓았다는 내용이 공개돼 있는가 하면 웨스턴디지털, 시게이트, 멕스터, 삼성전자 등이 제공하는 하드디스크 펌웨어를 장악할 수 있는 해킹툴도 있다고 소개하고 있다.(관련링크)

그러나 예상과 달리 대부분 미국 대표 IT기업들이 정부로부터 그런 요청을 받은 사실이 없다고 말했다. 미국 지디넷에 따르면 시스코는 이메일 답변을 통해 "우리는 그런 요청을 받지 않았고, 받았다고 하더라도 어떤 고객에게도, 특히 정부에게는 소스코드를 공개하지 않을 것"이라고 밝혔다. IBM은 2014년 발표를 인용하며, "국가안보국(NSA)은 물론 어떤 정부기관에게도 소스코드나 암호화키를 제공하지 않았다"고 설명했다.

관련기사

마이크로소프트, 주니퍼네트웍스, 시게이트는 답변을 거절했으며, 델, EMC로부터는 아직 답변을 받지 못했고, 레노버, 마이크론, 오라클, 텍사스인스트루먼트, 웨스턴디지털 등은 아예 답변요청에 응하지 않았다고 미국 지디넷은 밝혔다.

이와 관련 회사들의 기술임원들조차도 자사가 개발한 프로그램에 대한 소스코드 혹은 확보하고 있는 기술이 FISA법원의 명령에 따라 제공됐는지 여부를 알기 힘들 것이라고 이 매체는 전했다.