암호화와 복호화의 상충된 개념, 모바일 넘어 클라우드로 옮겨간다
지금은 명확한 기준과 방침 없는 때... 협업 통해 올바른 모델 찾아야
[보안뉴스 문가용] 정부와 통신 기업의 협업은 ‘국방’이라는 이름 아래서 지난 수십 년간 이루어졌다. 구리로 된 전화선을 도청하는 것에서부터 모바일 기기의 암호를 우회하는 것까지 이미 이쪽 방면으로 이루어놓은 역사가 방대할 지경이다. 애플과 FBI의 법정 공방으로 불거진 모바일 환경에서의 프라이버시와 암호화 논쟁이 가장 최근에 있었던 이슈라면, 이는 곧 앱과 클라우드 환경으로 옮겨갈 예정이다. 이는 통신사나 모바일 기업이 아닌 다른 IT 기업들도 프라이버시 문제에 바짝 긴장해야 한다는 뜻이 된다. 아마존이나 MS처럼 클라우드 서비스를 제공하는 곳은 더더욱.
암호화와 복호화라는 상충 기술은 ‘정부 기관’이라는 특수한 목적을 가진 집단에 적용할 때 그 모순성이 더욱 부각된다. 적국이나 외부 침입자로부터 보호하기 위해 암호화 기술을 사용해야 하지만, 수사나 법의 집행을 위해 그 암호화 기술을 해제시킬 수 있는 복호화 기술도 마찬가지로 요구되기 때문이다. 금융사도 마찬가지다. 이들은 정부만큼 오랫동안 이 두 가지 상충 기술을 관리해왔다. 애플은 복호화 기술을 백도어라든가 보안을 무력화시키는 것으로 해석했지만, 아마 금융사들은 시각이 조금 다를 것이다.
왜 이런 말을 하는가? 두 가지 기술의 모순되는 점이나 상충성에 대한 시각이 다양하다는 것을 강조하고, 그 깊은 고민이 이제 애플이나 은행들만의 몫이 아니라는 걸 짚어내기 위함이다. 그리고 더 큰 문제는, 그 고민이 다 풀리기도 전에 클라우드 플랫폼 제공업체들은 이 기술들을 도입해야 하는 시점에 이르렀다는 것이다. 클라우드로 많은 기업과 개인이 옮겨가고 있는 때에, 데이터의 암호화를 어떻게 적용하고, 일이 터졌을 때 복호화 기술을 정부나 수사 기관에 어떤 식으로 제공 혹은 거부할 것인가? 애플의 고민은 그대로 이어진다.
머리가 아픈 건 법률 기관들도 마찬가지다. 이미 FBI와 애플의 공방은 헤드라인에서 사라졌고, 사람들의 기억 속에서도 반쯤은 모습을 감추었다. 하지만 해당 사건의 결말은 명확치 않았고, 그래서 판례도 생기지 않았으며, 법조인들은 이런 비슷한 사건이 또 터졌을 때 무엇을 기준으로 판단해야 하는가를 숙제처럼 떠안게 되었다. 즉, 기준이 아직도 마련되지 않았다는 것이고, 프라이버시 관련법과 기술에 대한 논쟁이 지속적으로 등장할 것이라는 뜻이다.
아니나 다를까, 최근 미국에서는 디안 파인스타인(Dianne Feinstein)과 리차드 버(Richard Burr) 의원이 수사 기관이 클라우드 기술 제공업자들 혹은 기기 제조사들에게 암호 해제 기술 혹은 복호화 기술을 요구할 수 있게 해주는 법안을 작성 중에 있는 것이 문서 유출을 통해 드러나기도 했다. 프랑스 국회는 암호화를 직접 설계하지 않는 사기업 및 임원들이 활발히 복호화를 사용할 수 있도록 하는 내용을 대테러법에 추가 삽입하려고 고려 중에 있기도 하다. 유럽과 미국 정계에서의 이런 움직임이 세계 트렌드를 형성하는 건 시간 문제다.
한편, 지난 해 뉴욕증권거래소는 공공기관의 임원진들이 중 80%가 임원급 회의 시간에 사이버 보안 문제를 가장 심도 있게 다룬다는 조사결과를 발표한 바 있다. 하지만 이는 말 그대로 ‘임원진급’에서만의 이야기인 뿐인 듯하다. 대중들의 정서에는 아직 정보보안이 크게 중요한 이야깃거리가 아닌 것이다. 클라우드가 임원진들만을 위한 기술이나 서비스가 아니라면, 기술업체들뿐 아니라 사용자들 자신도 프라이버시와 침해 가능 시나리오를 염두에 두고 대비책을 세워야 하는데, 아직 그렇게 하고 있지 못하다. 사실 사용자들에게 그런 걸 바라는 건 무리다. 최대한 많은 가능성을 고려한 프라이버시 프레임워크가 등장해주어야 한다. 이 일을 정부 기관에게 맡겨두면 어떻게 될까? 위 임원들 및 정부 의회의 움직임을 다시 한 번 읽어보라.
다행히 법은 매우 느린 속도로 발전한다. 적어도 기술에 비해서는 말이다. 현재 사이버 보안은 기술과 법의 페이스 차이 때문에 많은 곤란을 겪고 있는 게 사실이긴 하지만, 이는 지금이야말로 모양새를 반듯하게 갖출 마지막 기회라는 뜻도 된다. 법조계와 싸우거나 경쟁하라는 게 아니다. 오히려 둘은 협업을 통해 가장 이상적인 모델을 빚어가야 한다. 물론 그 모양새가 마냥 화목하고 훈훈하지만은 아닐 것이다. 애플과 FBI가 반목했듯, 아마존과 MS는 또 어떤 주제로 어떤 기관과 팽팽히 기 싸움을 벌일 것인가? 이런 모든 과정들이 결국 이 혼란의 때에 올바른 결과를 도출하는 과정 중에 있기를 바란다.
글 : 케넷 웨스트비(Kennet Westby)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
지금은 명확한 기준과 방침 없는 때... 협업 통해 올바른 모델 찾아야
[보안뉴스 문가용] 정부와 통신 기업의 협업은 ‘국방’이라는 이름 아래서 지난 수십 년간 이루어졌다. 구리로 된 전화선을 도청하는 것에서부터 모바일 기기의 암호를 우회하는 것까지 이미 이쪽 방면으로 이루어놓은 역사가 방대할 지경이다. 애플과 FBI의 법정 공방으로 불거진 모바일 환경에서의 프라이버시와 암호화 논쟁이 가장 최근에 있었던 이슈라면, 이는 곧 앱과 클라우드 환경으로 옮겨갈 예정이다. 이는 통신사나 모바일 기업이 아닌 다른 IT 기업들도 프라이버시 문제에 바짝 긴장해야 한다는 뜻이 된다. 아마존이나 MS처럼 클라우드 서비스를 제공하는 곳은 더더욱.
암호화와 복호화라는 상충 기술은 ‘정부 기관’이라는 특수한 목적을 가진 집단에 적용할 때 그 모순성이 더욱 부각된다. 적국이나 외부 침입자로부터 보호하기 위해 암호화 기술을 사용해야 하지만, 수사나 법의 집행을 위해 그 암호화 기술을 해제시킬 수 있는 복호화 기술도 마찬가지로 요구되기 때문이다. 금융사도 마찬가지다. 이들은 정부만큼 오랫동안 이 두 가지 상충 기술을 관리해왔다. 애플은 복호화 기술을 백도어라든가 보안을 무력화시키는 것으로 해석했지만, 아마 금융사들은 시각이 조금 다를 것이다.
왜 이런 말을 하는가? 두 가지 기술의 모순되는 점이나 상충성에 대한 시각이 다양하다는 것을 강조하고, 그 깊은 고민이 이제 애플이나 은행들만의 몫이 아니라는 걸 짚어내기 위함이다. 그리고 더 큰 문제는, 그 고민이 다 풀리기도 전에 클라우드 플랫폼 제공업체들은 이 기술들을 도입해야 하는 시점에 이르렀다는 것이다. 클라우드로 많은 기업과 개인이 옮겨가고 있는 때에, 데이터의 암호화를 어떻게 적용하고, 일이 터졌을 때 복호화 기술을 정부나 수사 기관에 어떤 식으로 제공 혹은 거부할 것인가? 애플의 고민은 그대로 이어진다.
머리가 아픈 건 법률 기관들도 마찬가지다. 이미 FBI와 애플의 공방은 헤드라인에서 사라졌고, 사람들의 기억 속에서도 반쯤은 모습을 감추었다. 하지만 해당 사건의 결말은 명확치 않았고, 그래서 판례도 생기지 않았으며, 법조인들은 이런 비슷한 사건이 또 터졌을 때 무엇을 기준으로 판단해야 하는가를 숙제처럼 떠안게 되었다. 즉, 기준이 아직도 마련되지 않았다는 것이고, 프라이버시 관련법과 기술에 대한 논쟁이 지속적으로 등장할 것이라는 뜻이다.
아니나 다를까, 최근 미국에서는 디안 파인스타인(Dianne Feinstein)과 리차드 버(Richard Burr) 의원이 수사 기관이 클라우드 기술 제공업자들 혹은 기기 제조사들에게 암호 해제 기술 혹은 복호화 기술을 요구할 수 있게 해주는 법안을 작성 중에 있는 것이 문서 유출을 통해 드러나기도 했다. 프랑스 국회는 암호화를 직접 설계하지 않는 사기업 및 임원들이 활발히 복호화를 사용할 수 있도록 하는 내용을 대테러법에 추가 삽입하려고 고려 중에 있기도 하다. 유럽과 미국 정계에서의 이런 움직임이 세계 트렌드를 형성하는 건 시간 문제다.
한편, 지난 해 뉴욕증권거래소는 공공기관의 임원진들이 중 80%가 임원급 회의 시간에 사이버 보안 문제를 가장 심도 있게 다룬다는 조사결과를 발표한 바 있다. 하지만 이는 말 그대로 ‘임원진급’에서만의 이야기인 뿐인 듯하다. 대중들의 정서에는 아직 정보보안이 크게 중요한 이야깃거리가 아닌 것이다. 클라우드가 임원진들만을 위한 기술이나 서비스가 아니라면, 기술업체들뿐 아니라 사용자들 자신도 프라이버시와 침해 가능 시나리오를 염두에 두고 대비책을 세워야 하는데, 아직 그렇게 하고 있지 못하다. 사실 사용자들에게 그런 걸 바라는 건 무리다. 최대한 많은 가능성을 고려한 프라이버시 프레임워크가 등장해주어야 한다. 이 일을 정부 기관에게 맡겨두면 어떻게 될까? 위 임원들 및 정부 의회의 움직임을 다시 한 번 읽어보라.
다행히 법은 매우 느린 속도로 발전한다. 적어도 기술에 비해서는 말이다. 현재 사이버 보안은 기술과 법의 페이스 차이 때문에 많은 곤란을 겪고 있는 게 사실이긴 하지만, 이는 지금이야말로 모양새를 반듯하게 갖출 마지막 기회라는 뜻도 된다. 법조계와 싸우거나 경쟁하라는 게 아니다. 오히려 둘은 협업을 통해 가장 이상적인 모델을 빚어가야 한다. 물론 그 모양새가 마냥 화목하고 훈훈하지만은 아닐 것이다. 애플과 FBI가 반목했듯, 아마존과 MS는 또 어떤 주제로 어떤 기관과 팽팽히 기 싸움을 벌일 것인가? 이런 모든 과정들이 결국 이 혼란의 때에 올바른 결과를 도출하는 과정 중에 있기를 바란다.
글 : 케넷 웨스트비(Kennet Westby)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
