[해외동향] NAF <감시의 비용> 보고서_2015년 7월 17일
*kakao 프라이버시 정책 <동향>에 2015년 7월 17일에 게재된 글을, 공식 브런치를 개설하여 옮겼습니다.
“9.11 이후 정보기관이 고도 경제성장을 발목 잡을 수 있다는 것이 명확해지고 있다. 경제가 휘청거릴 수 있다.” - Mieke Eoyang and Gabriel Horowitz, Forbes, 2013.12
전 세계적으로 각국 정부의 검열로 인해 프라이버시가 침해받을 수 있다는 논란이 이어지고 있습니다. 특히 미국에서는 국가안보국(NSA) 이 9개 미국 기업 서버를 직접 도청했음을 암시하는 PRISM 프로그램이 폭로된 이후 경제에도 적지 않은 악영향을 미친 것으로 지적됐습니다. 미국 기업들의 신뢰를 떨어뜨리고 경제에 악영향을 미쳤다는 분석들은 결국 2015년 6월 법원 허가 없는 NSA의 대량 통신기록 수집을 금지하는 내용의 미국 자유법(USA Freedom Act)이 상원을 통과하는데 힘이 됐습니다.
미국의 싱크탱크인 ‘New America Foundation’ 산하 ‘Open Technology Institute’가 지난해 발표한 <Surveillance Costs: The NSA's Impact on the Economy, Internet Freedom & Cybersecurity> 보고서는 이 같은 검열이 가져오는 경제적, 기술적 정치적 위축효과에 대해 분석하고 있습니다. 1년 전 내용이지만, 여전히 유효한 부분이 적지 않습니다. 보고서 내용을 간략하게 살펴보고자 합니다.
I. 미국 기업에 대한 직접적인 경제 비용
NSA가 국가 안보 수사를 위해 필요한 고객 정보를 얻기 위해 9개 미국 기업의 서버를 직접 도청했음을 암시하는 PRISM 프로그램에 대한 첫 보고서가 나온 이후, 미국 기업에 대한 신뢰는 떨어졌습니다. 특히 미국 기업에 저장된 정보에 NSA가 접근할 수 있는지에 대한 관심이 높아지면서 미국 기업의 클라우드 컴퓨팅 및 웹호스팅 서비스가 가장 심각한 경제적 어려움을 겪고 있습니다. 전 세계 클라우드 컴퓨팅 수익의 약 50%는 미국에서 나옵니다. 2008~2014년 미국 관련 시장은 3배로 커졌습니다. 그러나 NSA의 검열이 알려진 이후 불과 몇 주 사이에, Dropbox, Amazon Web Service 등 미국 기업들이 해외 경쟁자들에게 위협받고 있다는 보고가 나오기 시작했습니다. NSA의 PRISM 프로그램은 클라우드 컴퓨팅 산업에 향후 3년간 220억~1,800억 달러의 비용을 유발할 것으로 예측되고 있습니다. 300개 영국 및 캐나다 기업들이 참여한 2014년 1월 조사에서, 응답자의 25%가 자사의 데이터를 미국 밖으로 옮길 것이라고 답했습니다. 대부분의 응답자들은 데이터 보호를 강화하기 위해 성과를 희생할 용의가 있다고 말했습니다.
많은 미국 기업들이 해외 시장에서 성장을 위협받았고, 해외 기업들은 미국 제품보다 “안전한” 서비스라고 마케팅에 애를 썼습니다. Cisco는 NSA가 자사 서비스에 미친 부정적 영향을 공개적으로 논의한 첫 번째 기업이 됐으며 Qualcomm, IBM, MS, HP 등은 중국 내 판매가 감소했다고 보고했습니다. 버지니아주 기반 웹호스팅 기업인 Servint는 2014년 6월 PRISM 폭로 이후 해외 고객이 절반으로 줄었다고 밝혔습니다. 그 무렵 독일 정부도 NSA와 협력했다는 이유로 독일 내 많은 정부부처에 인터넷 서비스를 제공하는 Verizon과의 계약을 끝내겠다고 발표했습니다. 결국 9개 주요 미국 기업들의 CEO는 감시와 검열의 개혁을 요구하는 ‘Reform Government Surveillance’ 캠페인에 공동 참여했습니다.
II. 데이터 국지화와 데이터 보호 제안들에 대한 경제적/기술적 비용
“스노든에 의해 폭로된 대규모 온라인 감시는 국가들이 프라이버시와 상업적으로 민감한 이메일 및 통화기록을 보호하기 위해 영국과 미국 보안기관 간의 인터넷을 차단하도록 이끌고 있다.” - The Guardian, 2013.11
NSA 파문은 트래픽 및 네트워크 인프라에 대한 국가의 통제가 더 커져야 한다고 주장하는 이들에게 근거를 제공하고, 데이터 국지화 및 미국 내에 저장되거나 미국을 통과하는 글로벌 인터넷 트래픽 및 데이터 양을 제한하기 위한 논의에 불을 붙였습니다. 독일, 브라질, 인도를 포함해 10여 개 국가들이 정보 유통을 막거나 제한하는 데이터 국지화 법들을 도입하거나 논의 중입니다.
도이치텔레콤은 독일 이용자들의 프라이버시를 언급하면서 독일 내에 통신을 유지할 것이라고 약속했습니다. 유럽 26개국의 자유로운 통행을 보장하는 솅겐조약 가입국들은 이른바 ‘Schengen Zone’ 내 데이터 이동을 위한 “Schengen routing” 네트워크의 열렬한 지지자가 되었습니다. EU는 회원국 국민의 데이터를 엄격히 규제하는 ‘Data Protection Regulation and Directive(데이터 보호 규칙과 지침)’을 통과시켰습니다. EU 회원국 이용자 데이터가 어디에 위치하든, 데이터 처리 관련, 동의를 받아야 하고 동의 철회 권리도 보장해야 합니다. 위반시 최대 수익의 50%까지 벌금을 부과할 수 있어 대형 기술 기업에게는 수십업 달러가 될 수도 있습니다. 브라질은 페이스북, 구글 같은 기업들이 브라질 법을 준수하려면 브라질 내 로컬 데이터 센터를 구축해야 한다고 제안했습니다.
데이터 보호 규칙 및 여타 제약들이 미국 기술 서비스 산업의 성장을 4% 정도 늦출 수 있다는 전망도 제기됐습니다. 엄격한 규칙을 준수하는 고비용과 국지화를 요구하는 국가들에서 중복적으로 서버 인프라를 설치해야 하는 문제가 확대되면서 미국 기업의 성장을 막고 기존 시장에서 방출될 수 있다는 우려가 높아졌습니다. 일각에서는 물리적인 위치에 상관없이 가능한 가장 빠르고 효율적인 루트로 패킷을 보내는 프로토콜에 기반한 인터넷의 기능이 데이터 국지화 논의로 위협받을 수 있다고 우려합니다. 이와 함께 인터넷 트래픽의 국지화는 국가들이 감시, 검열, 온라인상에서 반대자들에 대한 박해를 더 용이하게 만들어, 프라이버시 및 인권에 중대한 영향을 미치게 만들 수도 있습니다.
III. 미국 외교 정책에 대한 정치적 비용
“NSA 스캔들의 의도하지 않은 결과는 미국 외교 정책의 이해, 특히 미국 국무부와 그 산하기관이 옹호하는 “인터넷의 자유” 어젠다를 침해할 것이다. “ - Ron Deibert, CNN, 2013.
NSA 감시는 인터넷 거버넌스 논쟁의 역학관계를 바꾸었다는 평입니다. 2010년 이후, 미국 정부는 개방적이고 자유로운 인터넷을 증진시키기 위한 정책과 어젠다를 성공적으로 만들어왔습니다. 그러나 NSA 이슈는 이런 노력의 정당성에 많은 문제를 제기하게 만들었습니다. 정부 중심의 새로운 인터넷 거버넌스 체계를 선호하는 목소리가 커지면서 기존 다자 이해관계자(multistakeholder) 방식의 접근법에 문제를 제기하기 시작했습니다. 미국이 감시했다는 확실한 증거는, 권위주의 정부가 인터넷에 대해 더 많은 국가 통제를 요구하는 것에 대한 입장을 더 어렵게 만들었습니다. ITU(국제 전기통신연합) 혹은 다른 기구들에 의한 기술적 기준 및 도메인 네임의 다자간 관리를 주장하는 러시아와 브라질의 제안을 되살려냈습니다. 2013년 10월, 인터넷의 기술적 인프라 운영을 책임지는 핵심 기구의 수장들은 ‘Montevideo Statement’를 발표했습니다. 이 성명은 미국에 대한 신뢰 상실의 우려를 표명하고, 모든 이해관계자의 동등 참여를 허용하는 ICANN(국제 인터넷 주소 기구)와 IANA(인터넷 주소자원관리) 권한의 세계화를 앞당길 것을 요구했습니다.
NSA 검열이 폭로되면서 미국과 우방국들 사이의 관계도 경직됐습니다. 독일 앙겔라 메르켈 총리는 폭로 이후 몇 달 간 미국 방문을 거절했고, 결국 방문했을 때에도 긴장되고 어색한 표정을 보였습니다. 브라질 지우마 호세프 대통령의 경우, NSA 사태를 인터넷 거버넌스 영역뿐 아니라 광범위한 지정학적 이슈에 브라질의 영향을 확대시킬 기회로 삼기도 했습니다.
미국이 공개적으로 중국, 러시아, 이란과 같은 권위주의 정부에게 변화를 요구하는 것이 어려워졌고, 도덕성은 심각하게 타격을 입었습니다. 미국이 인터넷 자유의 리더라는 인식이 훼손되고, 다른 나라의 검열과 감시를 정당히 비난할 수 있는 자격을 상실한 것은, 그 외국 지도자들을 정당화시키고 심지의 그들의 활동을 확대하는 것을 허용합니다. 외국 정부와 그 국민들은 지금 미국 정부와 기업이 아니라 대체적으로 기술을 경계하고 있습니다.
IV. 사이버 보안에 대한 비용
“모든 부인과 거짓말은 NSA가 말하는 것, 대통령이 NSA에 대해 말하는 것, 기업들이 NSA와 관련된 것에 대해 말하는 그 어떤 것도 믿지 못하게 만들었다.” - Bruce Schneiner, The Atlantic, 2013.9
NSA는 특정 가이드라인에 대해 NSA와 협의하라는 NIST(미국 국립 표준기술연구소) 규정상의 의무를 이용해서 2006년에 NIST가 발표한 핵심 암호 보안 표준을 암암리에 약화시켰다는 지적입니다. 이 알고리즘은 거의 10년 동안 정부 계약의 요건으로서 주요 기술 기업들의 암호 라이브러리에 포함되었습니다. RSA Security 사는 고객들에게 자사의 일부 제품에 암호 컨포넌트가 기본으로 설정되어 이용되었다고 알리고 있습니다. 이 설정은 NSA와 1,000만 달러 계약을 맺으면서 설치된 것입니다. NSA는 표준을 약화시키고 각 제품에 백도어를 설치하기 위해 한해 2억 5,000만 달러를 집행합니다. SIGNIT Enabling 프로젝트는 상업적인 암호 시스템, IT 네트워크, 통신기기에 취약성을 심기 위해, 미국과 해외 IT 기업과의 파트너십을 이끈다. NSA는 자신의 Commercial Solution 센터를 이용하는데, 기술 기업에게 기업의 보안 제품을 평가받고 잠재 정부 구매자에게 소개할 수 있는 기회를 제공하고, 기업과의 관계를 활용해 기업의 보안 툴에 취약성을 집어넣는 것으로 보입니다. 추가 보고서들은 NSA가 Skype, Outlook, SkyDrive를 포함한 인기 서비스들의 암호를 우회하기 위해 Microsoft와 함께 일했고, 기업이 인지할 수 없게 해외로 나가는 Cisco 라우터에 백도어를 설치했음을 암시하고 있습니다.
NSA와 관련된 미국 정보기관들은 미국 기업에 의해 판매되는 상업적 소프트웨어에서부터 OpenSSL처럼 널리 쓰이는 오픈소스 프로토콜에 이르기까지 모든 것을 대상으로 보안 구멍(zero-day) 활용 등을 검토하기 위해 수백만 달러를 쓰고 천명이 넘는 연구자들을 고용합니다.
NSA는 유럽과 중동 및 북아프리카를 연결한 SEA-ME-WE-4 케이블 시스템과 미국 밖에 있는 Google, Facebook 데이터센터와 연결된 광섬유망을 성공적으로 도청해온 것으로 드러났습니다. NSA는 목표로 삼은 컴퓨터들에 악성 프로그램, 멀웨어를 심기 위해 “QUANTUMTHEORY”의 툴박스를 다양한 방식으로 이용했습니다. QUANTUM 기법 중 하나는 LinkedIn, Facebook과 같은 주요 회사로 가장해서, 민감한 정보에 접근하거나 멀웨어를 심기 위해서 NSA의 자체 서버에 트래픽을 전송하는 것입니다.
[ 결론과 권고 ]
미국 정부는 이미 피해를 줄이기 위해 제한적인 조치를 취했고 인터넷의 책임 있는 수호자로서의 신뢰를 재구축하기 위한 절차를 밟기 시작했습니다. 그러나 현재까지 이 노력은 PRISM이 미국 시민들의 권리에 미친 영향에만 집중될 뿐, 다른 중요한 사안들을 놓치고 있습니다. 우리는 미국 정부에게 다음의 조치를 취할 것을 권고합니다.
1. 미국 내/외 미국인 및 비미국인 모두를 위해 프라이버시 보호를 강화해야 합니다.
미국의 무차별적 감시는 다른 국가의 적대감을 부르고, 인터넷의 통합성을 해치며 국경을 넘는 자유로운 정보공유를 쇠퇴시킬 것입니다. 오직 국가안보를 위해서만 당국의 감시를 허가해야 하며 투명하게 처리해야 합니다.
2. 정부의 감시활동은 더욱더 투명해져야 합니다.
NSA 프로그램으로 인한 피해를 복구하고 미국 기업들의 신뢰를 회복하기 위해 투명성을 더 강화하기 위한 법제 노력이 필요합니다. 프라이버시 보호를 위한 개혁이 이용자들에게 충분한 보안과 투명성을 확보하여주지 못 한다면 고객들은 떠나갈 것입니다.
3. NSA 감시로 촉발된 이슈를 직접적으로 언급하는 방식으로, 국제 인권 기준에 부합하는 인터넷 자유 어젠다를 내놓아야 합니다.
국제 기준을 받아들여 인터넷 커뮤니케이션에 대한 신뢰를 높이고 전 세계의 인터넷 사용자들의 인권을 존중하는 것은 미국이 신뢰를 회복하기 위하여 가져야 할 필수적 조건들입니다.
4. NIST에 의해 만들어진 암호 표준에 대한 신뢰를 회복해야 합니다.
암호화는 인터넷 이용의 신뢰를 지켜줄 중요한 기반입니다. NSA는 인터넷 보안에 대한 전반적 신뢰를 떨어뜨렸고, NIST 에 대한 신뢰도 마찬가지입니다.
5. 미국 정부는 제품에 백도어를 설치함으로써 인터넷 보안을 침해하지 않을 것을 확실히 해야 합니다.
미국 정부는 커뮤니케이션 기술과 서비스에 대해 감시가 가능하도록 보안적 취약점을 요구하면 안 됩니다. 감청 기능을 의무화하면 해당 프로토콜 구성은 더욱 복잡해질 수밖에 없고, 이는 보안을 약화시킵니다. 설혹 국가안보와 법 집행에 도움이 된다고 해도 인터넷 보안 전반에 막대한 영향을 미칩니다.
6. 비밀리에 보안 취약성 정보를 축적하는 대신 취약성을 없애는데 기여해야 합니다.
NSA가 소프트웨어와 하드웨어 보안 취약성을 높이면서 사이버 보안이 전체적으로 위협받고 있습니다. 미국 정부는 이 같은 취약점을 알리는 명확한 규정을 만들어야 하며, 취약점을 주의하도록 해야 합니다.
7. 정부가 목표로 삼은 기기에 멀웨어를 심기에 적절한 환경을 기술한 정책 가이드를 만들어야 합니다.
대중들은 NSA가 전 세계 컴퓨터와 네트워크를 원거리에서 도청할 수 있다는 사실을 알게 됐습니다. 그러나 이 같은 해킹을 위해 정부가 어떤 기준으로 움직이는지는 확실하지 않습니다. 연방법은 허가받지 않은 해킹을 금지하고 있으나 허가된 국가단체에게는 적용되지 않습니다. 이런 모호함으로 인해 NSA 해킹은 국내외에서 거론되지 않았습니다. NSA 활동을 규제하기 위해서는 더 많은 논의가 필요합니다.
8. NSA의 공격적, 방어적 기능을 분리해 이해관계 충돌을 최소화해야 합니다.
근본적으로 양립할 수 없는 두 가지 기능을 한 정부기관이 투명하게 수행하는 것은 불가능합니다. 인터넷 보안을 강화하려는 기관과 보안을 해제하려는 기관이 섞이기 힘듭니다.