정부와 사용자 사이에서 곤란했던 클라우드 업체의 영리한 해결책
이제 골치는 정부 및 법 집행 기관의 몫 : “해결의 과정일 뿐”

[보안뉴스 문가용] 미국에서는 여태까지 법 집행 기관에서 클라우드 서비스 업체로 가서 특정 데이터를 요구할 때 영장을 발부받거나 고객에게 미리 알릴 필요가 없었다. 그래서 클라우드 업체는 물론 사용자들의 반감을 계속해서 사왔다.
 


이 상황에서 항상 가운데에 끼여 이러지도 저러지도 못하는 클라우드 업체가 머리를 썼다. 사용자가 직접 암호화 키를 만들고 관리할 수 있도록 한 것이다. 테일즈 이시큐리티(Thales e-Security)와 마이크로소프트가 시장에 내놓은 BYOK(Bring Your Own Key)가 바로 그것이고, MS는 이를 더욱 확장시켜 애저(Azure) 서비스에도 이 개념을 접목시켰다. 박스(Box) 또한 마찬가지였고, 아마존도 이를 수용했다.

이게 무슨 뜻이냐면, 클라우드 서비스 제공자는 중간에 낀 곤란한 입장에서 벗어남과 동시에 사용자의 프라이버시를 정부로부터 지켜줄 수 있게 되었다는 것이다. 이제 정부가 특정 정보를 원할 때 클라우드 업체를 거치지 않고 곧바로 사용자에게 접근하는 수밖에 없게 되었다.

테일즈 이시큐리티의 부회장인 리차드 몰즈(Richard Moulds)는 클라우드 업체로서는 이보다 더 좋을 수 없는 해결책인 셈이라고 말한다. “암호화 키 관리는 업체 입장에서는 귀찮으면서도 놓칠 수 없는 일이었습니다. 잃어버리지 않는 게 최선인데, 이건 잘해봐야 티도 안 나고 못했을 때는 엄청난 질타를 받는 그런 일이었던 것이죠. 그런데 암호화 키 관리를 소비자에게 넘김으로써 책임감에서 벗어나고 프라이버시는 강화하는 윈윈이 된 것입니다.”

이런 윈윈에서 소외된 계층이 있으니 바로 정부기관, 법 집행 기관이다. 지난 주 미국 하원의 감독 및 정부개혁 정보기술분과위원회에서는 암호화를 주제로 공판을 가졌다. 사법부와 FBI는 암호화 때문에 정식 영장을 제대로 발부 받고도 법을 집행하는 데에 애로사항이 많으며 따라서 범죄자 체포가 어려워지고 있다며 국회의 개입을 요청했다.

특히 이날 미국 매사추세츠 서퍽 카운티의 지방검사인 댄 콘리(Dan Conley)는 애플과 구글을 겨냥한 발언으로 꽤나 노골적인 비판의 대상이 되었다. 댄 콘리는 “법의 집행을 방해할 수 있는 수단을 마케팅 수단으로 삼는 애플과 구글의 행태는 위험하기 짝이 없으며 법적인 금지 조치가 있어야 한다”고 주장했는데, 하원의원인 테드 리우(Ted Lieu)가 이를 강력하게 비판하고 나섰다. 애플과 구글이 그렇게 하는 데에는 다 이유가 있다는 것이었다.

“개인적으로 프라이버시와 법의 집행 문제에 균형을 잡는 걸 가지고 왜 이리들 시끄럽게 구는지 모르겠다. 아주 간단한 문제 아닌가? 이 나라가 명시하고 있는 헌법을 지키면 된다. 그런데 이 헌법을 먼저 어긴 게 누군가? NSA를 비롯한 다른 법 집행 기관들이다. 그러니 애플과 구글이 그렇게 나오는 것이다. 대중들도 이에 호응하고 있지 않은가? 법을 집행한다면서 당신들 NSA와 친구들이 헌법 제4조를 얼마나 어겼는가? 당신들의 지금 발언은 적반하장이다. 이 문제를 해결하고 싶다면 당신들 편에서 먼저 헌법을 수호하라.”

미국 정부 측에서는 최근 암호화에 대응하기 위해 ‘정식 영장일 발부된 경우 법 집행 기관이 암호를 우회해서 데이터에 접근할 수 있는 백도어’를 개발하려는 시도도 했었다. 하지만 이 역시 이날 도마에 올랐다. 역시 테드 리우 의원이었다. “착한 사람들만 사용할 수 있는 뒷길(백도어)을 기술적으로 만들 것이라니, 이는 그냥 그 말 자체로 우스갯소리일 뿐입니다. 전혀 불가능한 소리이기 때문이죠.”

전 CIA 요원이자 현 하원의원인 윌 허드(Will Hurd) 역시 이런 ‘분할된 키’ 접근법으로 암호화를 극복하자는 주장들에 대해 그날 공청에 참석했던 펜실바니아 대학의 매튜 블레이즈(Matthew Blaze) 박사에게 의견을 물었다. 다음은 그들 사이에 오갔던 대화 내용이다. 블레이즈 박사는 “기술적으로 가능하긴 하지만 암호화 키 관련 기술을 가지고 있는 사람이 마음먹고 해킹하면 대응할 수 없긴 마찬가지”라며 “임시방편에 가까울 뿐 근본문제는 여전히 남아있을 것”이라고 답했다.

허드 의원은 내친김에 앞서 큰 비판의 대상이 되었던 콘리 지방검사의 구글 및 애플 관련 발언에 대한 의견도 물었다. 물론 직접 이름을 언급하지는 않았지만 콘리 지방검사가 “사용자의 애플 기기가 iOS 8에서 운영되고 있을 경우 암호 기능 때문에 그 안에 있는 정보에 접근하는 게 불가능하다”고 말한 것을 겨냥해 “4자리 수 암호를 현대적인 기술로 깨는 데 시간이 얼마나 걸리는가”라고 했던 것이다.

블레이즈 박사는 이에 대해 “현대의 컴퓨터 하드웨어 성능을 봤을 때 시간이 거의 걸리지 않는다고 봐도 무방하다”고 답했다. 암호를 깬다는 게 도둑놈이 어느 가정집에 침입해 금고를 물리적으로 들고 나와 그 금고를 깨는 것과 비슷한 난이도를 가진 일인지를 농담처럼 물었을 때 블레이즈 박사는 그것과는 비교할 수 없을 정도로 쉬운 일이라고 했다. iOS 8의 암호화 기술이 법 집행 기관에서 불평할 정도로 고난이도의 어려운 기술이 아니라며, 사실상 조롱한 것.

정부가 제안한 또 다른 대안은 정부에게 암호화 키에 대한 제3자 권한을 마련하는 것이었다. 하지만 테일즈 이시큐리티의 몰즈 부회장은 암호화가 꼭 정보보호만을 위한 것은 아니라고 설명했다. “암호화는 전자서명처럼 사용되기도 합니다. 그러니 정부에게 제3자 권한을 넘긴다는 건 전자서명의 존재 이유 자체를 부정하는 겁니다. 옛날로 치면 임금님의 옥쇄를 분실 및 도난 방지용으로 여러 개 만들어둔다는 건데, 이러면 가짜가 슬쩍 하나 끼어들어도 구분하기가 힘들죠.”

몰즈의 설명은 계속됐다. “누군가 나의 전자서명을 따로 보관하고 있다는 건 결국 전자서명을 기반으로 한 모든 신뢰관계를 깨트리는 것입니다. 전자서명이라는 건 유일하게 하나만 있어야 그 가치가 제대로 발휘됩니다.”

법 집행 기관들이 제안한 해결책들은 아직까지 제대로 된 설득력을 가지고 있지는 못하다. 즉, 정부 외에는 아무도 정부의 제안들에 찬성하고 있지 않다는 것이다. 다만 암호화가 가 가지고 있는 단점 자체는 모두가 인정하고 있긴 하다. 국가안전보장국의 법무부 보좌관인 존 칼린(John Carlin)은 “이보다 더한 문제도 우린 해결해 왔다”며 “결국 우리가 이 공방을 벌이는 건 ‘표준’을 마련하는 과정을 거치는 것일뿐”이라는 긍정적인 의견을 표명했다.

“해결책이 없어 보인다고요? 제가 오늘 이 자리에서 부정하고 싶은 건 그런 이상한 믿음 하나 뿐입니다.”
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>