암호화, 구멍이 생기는 순간 존재 이유 없어져
악성 행위자들 역시 암호화 기술 보유하고 있어
[보안뉴스 문가용 기자] 2016년 8월 MS는 실수로 시큐어 부트(Secure Boot) 펌웨어의 ‘마스터 키’를 유출시켰다. 이 때문에 모든 윈도우 기기들에 멀웨어를 로딩시키는 게 가능해졌다. 이는 ‘단 한 단체만을 위한 백도어는 존재하지 않는다’는 사실을 시사한다. MS가 자기들만을 위해 백도어를 만들었다고 하더라도 결국 어느 시점엔 어떤 경로로든 다른 사람에게도 노출되기 마련이라는 뜻으로, 여기에는 악성 내부자나 해외 스파이, 범죄자들을 모두 포함한다.
.jpg)
▲ "쉬! 이거 나만 아는 비밀 길이야." "어...어딜 봐서?"
이는 크립토그래피 전문가들이 늘 주장해왔던 내용이다. 암호화 기술이나 인증 시스템 등 보안 체계에 ‘혹시나 모를 만일의 사태를 위해 남겨둔’ 백도어는 결국 그 시스템을 전복시키는 빌미가 될 거라는 것 말이다. 즉 얻는 것보다 잃는 것이 더 많을 거라는 뜻이었다. 실제로 이 주장을 뒷받침해주는 요소가 여럿 존재한다.
1. 암호화는 프라이버시와 보안이라는 인간의 고유한 권리를 보호해주는 기능이다. 암호화가 있어서 아이덴티티 도난과 협박, 정치 및 종교적 박해해서 사람들은 자유롭게 될 수 있다. 또 기업들은 산업 스파이나 정보 손실을 막을 수 있게 된다. 이는 암호화가 누구에게도 뚫리지 않는다는 전제 하에서 가능한 것으로, 아무리 좋은 의도라도 백도어가 하나라도 존재하면 표현의 자유를 비롯해 여러 가지 기본적인 자유가 침해당할 소지가 생긴다.
2. 암호화는 현대의 인터넷 체제의 세계 경제에 있어 매우 중요한 요소다. 특히 경제 발전, 성장, 참여에 반드시 필요한 ‘통신 기술’의 핵심이 되기 때문이다. 여기에 백도어를 만들어 도입하고 누군가 관리까지 하게 된다면 이미 그것 자체로 어마어마한 비용이 예상되며, 전 세계 통신망의 크기를 생각해봤을 때 가능할 것인지도 의심된다. 여기에 백도어 때문에 파괴될 신뢰와, 그로 인한 성장 저해 및 무형의 피해는 계산되지 않았다.
3. 암호화는 효과적인 사이버 보안에 있어 반드시 필요한 존재다. 현대의 사이버 공격은 이미 굉장히 복잡한 구조를 가지고 있으며, 보안의 다양한 구멍을 다양한 기술로 농락하며 침투에 성공한다. 해커들이 아직은 보안 업계보다 한 수 위에 있는 상태로, 암호화는 보안의 마지노선과 같다. 따라서 여기에는 어떠한 금이 가거나 손상이 있어서는 안 된다.
4. 이런 암호화 기술에 ‘백도어’를 요청하는 사람들이 하나 같이 대는 이유는 바로 ‘테러리즘과의 전쟁’이다. 하지만 테러리즘과의 싸움에 보안과 프라이버시가 훼손되어야 할 이유는 전혀 없다. 프라이버시와 보안을 손상시키는 싸움은, 그것 나름대로 다른 종류의 테러가 아닐까? 테러리즘과의 싸움은 업계와 학계, 정계와 법계가 모두 힘을 합쳐서 해결책을 찾아가야 하는 문제다. 테러리즘과 싸우려니까 프라이버시를 조금 양보해달라는 건 본질을 호도하는 것이다.
미국의 첩보 및 사법 기관은 암호화 기술이 자신들의 수사 행위를 방해한다고 굳게 믿고 있다. 종단간 암호화가 도입되면 테러리스트들과 범죄자들이 더 자유롭게 대화하고 그들의 범죄행위를 도모할 것이라고 보고 있는 것이다. 그렇기에 이들이 내놓은 나름의 절충안이 ‘수사를 위한 백도어’를 제공하라는 것이다.
하지만 백도어만이 디지털 세계에서 누군가를 뒤쫓을 수 있게 해주는 수단은 아니다. 우리는 메타데이터라고 하는 수많은 ‘디지털 지문’을 여기저기에 남기고 다닌다. 이 메타데이터는 ‘데이터의 데이터’로, 예를 들면 어떤 사람들 간의 채팅에 대하여 분석한다고 했을 때 ‘데이터’는 실제 대화 내용에 해당하지만 메타데이터는 해당 채팅이 발생했다는 사실 자체다. 이 메타데이터라는 것 역시 법적인 허가가 있어야만 수집 및 분석이 가능하다. 당연히 데이터가 메타데이터보다 더 많은 사실을 정확히 다루고는 있지만, 메타데이터의 분석이라고 해서 수사가 불가능하거나 단서가 제공되지 않는 건 아니다.
게다가 메타데이터 수집과 분석이 대단히 새로운 기술인 것도 아니다. 이미 많은 마케팅 담당자들이 메타데이터를 합법적으로 수집해 분석하고, 이를 바탕으로 상품 및 서비스 질을 높인다. 기술 기업들도 메타데이터 분석에는 정부에게 더 합법적, 윤리적으로 협조할 수 있다. 여기에는 보안의 그 어떤 요소도 침해될 여지가 없다.
또한 암호화 기술을 ‘우리 편’만 가지고 있지 않기 때문에라도 암호화 기술에 수사를 위한 백도어를 만들라는 요구는 잘못됐다. 사이버 공간에서 악성 행위를 일삼는 이들, 특히 정부를 낀 단체들의 기술력은 우리가 익히 아는 바다. 그들이 그런 기술력을 바탕으로 자신들만의 암호화를 만들지 않을 거라고 상상할 수 있을까? 그렇다면 결국 우리 암호화에만 구멍이 생기는 거고, 우리 암호화에만 위험이 도사리고 있는 거다.
프라이버시에 대한 권리를 보호하려면 해당 법안을 통과시키려는 노력도 중요하지만, 대안이 없는가 고민하고 검토하는 것도 필요하다. 여기에서 대안이란 사회적 비용이 더 적게 들고, 사법기관이 테러리스트들과 범죄자들을 포착해 체포할 수 있도록 도울 수 있는 방법을 말한다. 다음 두 가지 방법은 그 중 핵심이라고 볼 수 있다.
1. 취약점들은 최대한 빨리 공개한다. 사법 기관들은 버그나 취약점을 발견했을 때 기업들에 이를 즉시 알려야 한다. 그래야 패치를 개발하고 배포하는 시간이 짧아져 범죄자들의 악성 행위 시간이 줄어들기 때문이다. 이런 문화가 쌓이면 보안 제품 및 서비스의 효과가 점점 더 좋아질 것으로 보인다.
2. 교전 수칙 및 수사를 위한 익스플로잇 규정이 명료하게 수립되어야 한다. 불가피하게 해킹이 필요한 경우, 반드시 영장을 발부받는 절차를 밟아야 한다. 법적 근간 위에 서 있는 사회이기 때문이다. 법치주의에서는 법이 최고의 권한을 갖는다. 즉, 수사를 위한 익스플로잇이 ‘법에 의해’ 타당하게 허가를 받은 것임을 투명하게 기록까지 남겨야 한다.
다시 한 번 강조하지만, 단 한 사람을 위한 백도어는 존재하지 않는다. 아무리 좋은 사람을 위한 백도어라도, 반드시 언젠가 누군가에게 발견되고 만다. 암호화 기술에 대한 백도어를 요구하는 사람들이 이 점을 반드시 기억해줬으면 한다. 내가 알고 있는 거면, 이미 다른 사람들도 알고 있다는 거, 우리 일상생활에서 숱하게 경험해오는 것이다. 이는 사이버 공간에서도 통용된다. 우리에겐 완전 무결한 암호화로 얻을 수 있는 것이 아직 더 많다.
글 : 조 레바이(Joe Levy)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
악성 행위자들 역시 암호화 기술 보유하고 있어
[보안뉴스 문가용 기자] 2016년 8월 MS는 실수로 시큐어 부트(Secure Boot) 펌웨어의 ‘마스터 키’를 유출시켰다. 이 때문에 모든 윈도우 기기들에 멀웨어를 로딩시키는 게 가능해졌다. 이는 ‘단 한 단체만을 위한 백도어는 존재하지 않는다’는 사실을 시사한다. MS가 자기들만을 위해 백도어를 만들었다고 하더라도 결국 어느 시점엔 어떤 경로로든 다른 사람에게도 노출되기 마련이라는 뜻으로, 여기에는 악성 내부자나 해외 스파이, 범죄자들을 모두 포함한다.
▲ "쉬! 이거 나만 아는 비밀 길이야." "어...어딜 봐서?"
이는 크립토그래피 전문가들이 늘 주장해왔던 내용이다. 암호화 기술이나 인증 시스템 등 보안 체계에 ‘혹시나 모를 만일의 사태를 위해 남겨둔’ 백도어는 결국 그 시스템을 전복시키는 빌미가 될 거라는 것 말이다. 즉 얻는 것보다 잃는 것이 더 많을 거라는 뜻이었다. 실제로 이 주장을 뒷받침해주는 요소가 여럿 존재한다.
1. 암호화는 프라이버시와 보안이라는 인간의 고유한 권리를 보호해주는 기능이다. 암호화가 있어서 아이덴티티 도난과 협박, 정치 및 종교적 박해해서 사람들은 자유롭게 될 수 있다. 또 기업들은 산업 스파이나 정보 손실을 막을 수 있게 된다. 이는 암호화가 누구에게도 뚫리지 않는다는 전제 하에서 가능한 것으로, 아무리 좋은 의도라도 백도어가 하나라도 존재하면 표현의 자유를 비롯해 여러 가지 기본적인 자유가 침해당할 소지가 생긴다.
2. 암호화는 현대의 인터넷 체제의 세계 경제에 있어 매우 중요한 요소다. 특히 경제 발전, 성장, 참여에 반드시 필요한 ‘통신 기술’의 핵심이 되기 때문이다. 여기에 백도어를 만들어 도입하고 누군가 관리까지 하게 된다면 이미 그것 자체로 어마어마한 비용이 예상되며, 전 세계 통신망의 크기를 생각해봤을 때 가능할 것인지도 의심된다. 여기에 백도어 때문에 파괴될 신뢰와, 그로 인한 성장 저해 및 무형의 피해는 계산되지 않았다.
3. 암호화는 효과적인 사이버 보안에 있어 반드시 필요한 존재다. 현대의 사이버 공격은 이미 굉장히 복잡한 구조를 가지고 있으며, 보안의 다양한 구멍을 다양한 기술로 농락하며 침투에 성공한다. 해커들이 아직은 보안 업계보다 한 수 위에 있는 상태로, 암호화는 보안의 마지노선과 같다. 따라서 여기에는 어떠한 금이 가거나 손상이 있어서는 안 된다.
4. 이런 암호화 기술에 ‘백도어’를 요청하는 사람들이 하나 같이 대는 이유는 바로 ‘테러리즘과의 전쟁’이다. 하지만 테러리즘과의 싸움에 보안과 프라이버시가 훼손되어야 할 이유는 전혀 없다. 프라이버시와 보안을 손상시키는 싸움은, 그것 나름대로 다른 종류의 테러가 아닐까? 테러리즘과의 싸움은 업계와 학계, 정계와 법계가 모두 힘을 합쳐서 해결책을 찾아가야 하는 문제다. 테러리즘과 싸우려니까 프라이버시를 조금 양보해달라는 건 본질을 호도하는 것이다.
미국의 첩보 및 사법 기관은 암호화 기술이 자신들의 수사 행위를 방해한다고 굳게 믿고 있다. 종단간 암호화가 도입되면 테러리스트들과 범죄자들이 더 자유롭게 대화하고 그들의 범죄행위를 도모할 것이라고 보고 있는 것이다. 그렇기에 이들이 내놓은 나름의 절충안이 ‘수사를 위한 백도어’를 제공하라는 것이다.
하지만 백도어만이 디지털 세계에서 누군가를 뒤쫓을 수 있게 해주는 수단은 아니다. 우리는 메타데이터라고 하는 수많은 ‘디지털 지문’을 여기저기에 남기고 다닌다. 이 메타데이터는 ‘데이터의 데이터’로, 예를 들면 어떤 사람들 간의 채팅에 대하여 분석한다고 했을 때 ‘데이터’는 실제 대화 내용에 해당하지만 메타데이터는 해당 채팅이 발생했다는 사실 자체다. 이 메타데이터라는 것 역시 법적인 허가가 있어야만 수집 및 분석이 가능하다. 당연히 데이터가 메타데이터보다 더 많은 사실을 정확히 다루고는 있지만, 메타데이터의 분석이라고 해서 수사가 불가능하거나 단서가 제공되지 않는 건 아니다.
게다가 메타데이터 수집과 분석이 대단히 새로운 기술인 것도 아니다. 이미 많은 마케팅 담당자들이 메타데이터를 합법적으로 수집해 분석하고, 이를 바탕으로 상품 및 서비스 질을 높인다. 기술 기업들도 메타데이터 분석에는 정부에게 더 합법적, 윤리적으로 협조할 수 있다. 여기에는 보안의 그 어떤 요소도 침해될 여지가 없다.
또한 암호화 기술을 ‘우리 편’만 가지고 있지 않기 때문에라도 암호화 기술에 수사를 위한 백도어를 만들라는 요구는 잘못됐다. 사이버 공간에서 악성 행위를 일삼는 이들, 특히 정부를 낀 단체들의 기술력은 우리가 익히 아는 바다. 그들이 그런 기술력을 바탕으로 자신들만의 암호화를 만들지 않을 거라고 상상할 수 있을까? 그렇다면 결국 우리 암호화에만 구멍이 생기는 거고, 우리 암호화에만 위험이 도사리고 있는 거다.
프라이버시에 대한 권리를 보호하려면 해당 법안을 통과시키려는 노력도 중요하지만, 대안이 없는가 고민하고 검토하는 것도 필요하다. 여기에서 대안이란 사회적 비용이 더 적게 들고, 사법기관이 테러리스트들과 범죄자들을 포착해 체포할 수 있도록 도울 수 있는 방법을 말한다. 다음 두 가지 방법은 그 중 핵심이라고 볼 수 있다.
1. 취약점들은 최대한 빨리 공개한다. 사법 기관들은 버그나 취약점을 발견했을 때 기업들에 이를 즉시 알려야 한다. 그래야 패치를 개발하고 배포하는 시간이 짧아져 범죄자들의 악성 행위 시간이 줄어들기 때문이다. 이런 문화가 쌓이면 보안 제품 및 서비스의 효과가 점점 더 좋아질 것으로 보인다.
2. 교전 수칙 및 수사를 위한 익스플로잇 규정이 명료하게 수립되어야 한다. 불가피하게 해킹이 필요한 경우, 반드시 영장을 발부받는 절차를 밟아야 한다. 법적 근간 위에 서 있는 사회이기 때문이다. 법치주의에서는 법이 최고의 권한을 갖는다. 즉, 수사를 위한 익스플로잇이 ‘법에 의해’ 타당하게 허가를 받은 것임을 투명하게 기록까지 남겨야 한다.
다시 한 번 강조하지만, 단 한 사람을 위한 백도어는 존재하지 않는다. 아무리 좋은 사람을 위한 백도어라도, 반드시 언젠가 누군가에게 발견되고 만다. 암호화 기술에 대한 백도어를 요구하는 사람들이 이 점을 반드시 기억해줬으면 한다. 내가 알고 있는 거면, 이미 다른 사람들도 알고 있다는 거, 우리 일상생활에서 숱하게 경험해오는 것이다. 이는 사이버 공간에서도 통용된다. 우리에겐 완전 무결한 암호화로 얻을 수 있는 것이 아직 더 많다.
글 : 조 레바이(Joe Levy)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
