'IT업계의 맞수' 애플과 구글이 코로나19 확산을 저지하기 위해 손을 맞잡았다. 전세계 누적 확진자 180만 명을 넘어설 정도로 강한 전파력을 가진 코로나19를 잡기 위해 양대 모바일 플랫폼을 대표하는 두 업체가 보조를 함께 하기로 했다.
특히 애플과 구글은 스마트폰으로 코로나19 확진자와 접촉한 사람을 추적하면서도, 사생활(프라이버시) 침해 여지를 최소화하겠다고 밝혀 관심이 쏠리고 있다.
감염 위험이 있는 사람을 추적하기 위해 GPS 정보를 활용하는 것이 가장 간단하다. 하지만 프라이버시가 '불가침 영역'으로 여겨지는 서양에서 이런 방식은 받아들여지기 어렵다. 따라서, 추적 시스템의 핵심은 '기술적으로 사생활 침해를 어떻게 줄일 것인가'에 있다.
과연 애플과 구글은 '사생활 보호'와 '감염 경로 추적'이란 두 마리 토끼를 한꺼번에 잡을 수 있을까?
애플과 구글은 사생활 침해 문제를 해결하기 위해 '익명화된 식별자'와 '블루투스' 기술을 활용하기로 했다. 애플과 구글은 이 같은 '접촉 추적(contact tracing)' 기술을 이용해 이용자의 이름이나 위치정보 등 민감한 개인정보를 수집하지 않고도 확진자가 최근 접촉한 모든 사람을 찾아낼 수 있다고 강조하고 있다.
■애플·구글, 사생활침해 문제 어떻게 해결했나 살펴보니
기본적인 아이디어는 스마트폰에 시스템을 설치한 사용자들이 물리적으로 접촉했을 때, 블루투스 통신을 통해 익명화된 식별자를 서로 교환한다는 것이다.
하지만 식별자가 익명화됐다 해도 하나로 고정돼 있다면 무선 추적을 통해 어떤 단말기에서 생성된 것인지 파악 가능하다는 문제가 남는다.
이를 해결하기 위해 두 회사는 15분 마다 익명 식별자가 바뀌도록 설계했다. 기술 용어로 '롤링 프록시미티 아이덴티파이어스(rolling proximity identifiers)'라고 부른다.
이 시스템에 따라 사용자들이 일정 거리 내에 근접해 있으면 스마트폰에서 생성된 모든 익명 식별자에 대한 교환이 계속 이뤄진다. 이 때까지 교환된 식별자는 각 사용자들의 스마트폰에만 저장된다.
그러다 한 이용자가 코로나19 양성 판정을 받고 시스템에 이 사실을 보고하면, 확진자의 스마트폰에서 지난 14일간 생성된 익명 식별자가 중앙 서버에 업로드 된다. 해당 익명 식별자가 확진자 것이라는 사실을 알리기 위함이다.
이제 확진자와 접촉 여부를 나머지 사람들은 어떻게 확인하느냐는 문제가 남는다.
방법은 간단하다. 자신의 스마트폰에 확진자의 익명 식별자가 있는지 확인해 보면된다. 확진자와 근거리에서 접촉했다면, 확진자의 익명 식별자가 블루투스 통신을 통해 스마트폰에 저장됐을 것이다.
결과적으로 확진자의 신상과 관련된 정보나 지난 14일간 위치정보를 전혀 몰라도, 확진자와 접촉 여부를 확인할 수 있게 된다.
이를 위해 이용자들은 주기적으로 '확진자의 익명 식별자'를 다운로드 받아야 한다. 또, 일일 추적키(Daily tracing key)라는 것도 다운 받아야 한다. 일일 추적키는 15분 단위로 생성된 식별자를 시간대 별로 색인해주는 역할을 한다.
스마트폰에서 15분마다 바뀌는 익명 식별자를 생성하고, 일일 추적키를 알아야만 시간대 별로 어떤 식별자를 생성했는지 알 수 있게 한 것이 이 시스템의 핵심 기술이다.
이런 방식은 개인정보 노출의 위험도 줄여준다. 한 사용자의 여러 익명 식별자는 일일 추적키 없이는 상관관계를 찾을 수 없기 때문이다. 또, 해커가 한 익명 식별자를 확보했다고 해도 일일 추적키를 모르면 해시 충돌(다른 입력값에 대해 동일한 출력값을 내는 상황)을 찾아낼 수 없기 때문에 리플레이 공격이나 위장 공격 등을 막을 수 있다.
■ 확진자와 지난 14일 동안 1.8미터 이내 있으면 알람
시스템 뒷단에서 작동하는 기술은 복잡하지만 사용자들은 그렇게 어렵지 않게 사용할 수 있다.
코로나19 양성 판정을 받을 경우 보건 당국의 승인을 받은 앱에 검사 결과 입력하면 된다. 확진자와 지난 14일 동안 6피트(1.8미터) 이내에 접촉했던 모든 사람은 감염 위험성이 있으니 자가격리하라는 알람을 받게 된다.
애플과 구글은 스마트폰에서 이런 기능을 가능케 하는 iOS와 안드로이드용 애플리케이션 프로그래밍 인터페이스(API)를 다음달 안에 개발·배포할 계획이다. 이 API는 보건 당국이 관련 앱을 개발하는 데 이용된다.
궁극적으로는 애플과 구글은 각 OS에 직접 이 기능을 도입해, 사용자가 설정에서 기능을 활성화하면 바로 사용할 수 있게 한다는 계획이다.
■사생활침해 여지 및 보안 위험 지적하는 목소리도...
애플과 구글이 만들려고 하는 확진자 접촉 추적 시스템이 사생활 침해 논란에서 완전히 자유로운 것은 아니다. 이런 소식이 알려지자 즉각 다양한 우려의 목소리가 나오고 있다.
해커이자 개발자인 목시 말린 스파이크는 자신의 트위터를 통해 이 시스템이 사생활 침해 요소를 여전히 가지고 있다고 지적했다. 그는 "사생활이 보호되는 시점은 확진자라는 사실을 보고하기 전까지"라며 "확진자라는 사실을 보고한 이후 이전 기간 동안의 모든 블루투스 맥 어드레스의 상관관계가 밝혀질 수 있다"고 지적했다.
또, 감염 사실을 허위로 보고하는 경우를 막을 방법도 없다는 점이 문제로 지적된다. 특정 장소를 반복적으로 방문하고 악의적으로 가짜 감염사실을 보고하면, 그 장소를 방문한 많은 사람들이 감염 위험에 노출됐다고 생각할 수 있다.
관련기사
- 코로나19에 '줌' 이용 늘자…사칭 공격 2000% ↑2020.04.13
- 애플·구글 깜짝 제휴…코로나19 감염자 접촉 바로 알려준다2020.04.13
- [기고] 일본 코로나19 확진자가 적은 진짜 이유2020.04.13
- 빌 게이츠 “코로나19, 6~10주 내에 진정세”2020.04.13
이 밖에도 실제 블루투스 자체에 다양한 보안 결함이 있을 가능성도 배제할 수 없다.
미국 시민자유연맹(ACLU)은 "모든 확진자 접촉 추적 앱은 이용자들이 자발적으로 채택하는 방식으로 도입돼야 하며 오직 이 팬데믹(대유행) 기간 동안에만 공중 보건 목적으로 사용돼야 한다"며 "이런 조치가 확실히 이행되기 전까지 경계를 계속할 것"이라는 입장을 내놨다.