[프로메테우스 만물상] <14> 암호전쟁과 국정원

도·감청 기술 거래 국제시장 형성, 美·英·佛·獨 회사 성업

시리아 정권 등 독재 정권이 VIP

10년간 국내 패킷 감청 설비 9배↑, 국정원 해킹사건 빙산 일각일 수도

1984년부터 시작된 국제 해커 모임인 '카오스 커뮤니케이션 회의(Chaos Communication Congress)'는 전술적 감시뿐만 아니라 전략적 감시 기술에 대항할 방법을 연구하고 발표하는 연례 행사다.'카오스 커뮤니케이션 회의(Chaos Communication Congress)'에서 참석자들이 감시 기술 대항법을 시연하고 있다. 게티이미지 제공

감시 기술도 쇼핑할 수 있는 시대다. 그리고 이 업계 역시 굴지의 기업들이 치열한 경쟁을 벌이고 있는 디지털 신자유주의의 한복판이다. 이름값 못하고 영업 정보를 해킹당한 이탈리아 해킹팀(Hacking Team)이 아니더라도 국가정보원이 감시 기술을 쇼핑할 곳은 많았다.

감시 기술 판매하는 업체들

위키리크스와 버그드플래닛에 공개된 자료에 의하면, 남아프리카공화국에 소재한 바스테크(VASTech)는 패킷 감청과 도청 시스템에 발군이다. 1,000만명 단위의 전화를 엿듣고 모든 내용을 통째로 저장할 수 있는 제품군을 보유하고 있다. 연간 매출액은 1,000만달러에 달한다고 한다. 참고로 패킷 감청의 원리는 다음과 같다. 인터넷을 오가는 거의 모든 자료는 잘게 쪼개져서 전송되었다가 재구성 단계를 거치면서 재생된다. 이때 쪼개지는 단위를 패킷이라고 한다. 패킷 감청은 패킷이 오가는 길목에 접근해서 그 내용을 엿보거나 가로채는 방법을 말한다.

패킷 감청 분야에선 보잉사의 자회사인 네이러스(Narus)가 바스테크의 경쟁자로 손꼽힌다. 2011년 전복된 튀니지 벤 알리 정부가 네이러스의 알려진 고객이었다. 23년간 장기 집권한 벤 알리 정부는 의견을 달리하는 사람들의 온라인 활동을 모니터하고 그들을 제거하기 위해 네이러스의 기술을 사용했다. 하지만 독재자는 들불처럼 번져가는 반정부 시위를 버티지 못했다. 네이러스로서는 VIP 고객을 잃은 애석한 사태였다. 이 업계의 특성상 외부에 공개된 고객의 결말은 하나같이 아름답지 못했다. 국정원은 예외일 수 있을지 두고 보겠다.

프랑스 기업인 아메시스(Amesys)도 이 업계에선 수위를 달리는 선두 주자다. 이들의 역대 고객 가운데 가장 널리 알려진 것은 리비아 카다피 정권이었다. 이들에게 아메시스는 이글(Eagle)이라는 전국 규모의 도감청 시스템을 판매했다. 영국에 거주하는 리비아인들을 상시 감시하는 일에도 이글이 사용됐다고 한다. 아메시스는 여러모로 이탈리아 해킹팀과 비교될 만하다. 그들도 스파이 파일에 들어 있던 내부 문건이 해킹당하면서 덜미가 잡혔다. 스캔들이 불거진 뒤에도 별다른 부침 없이 성업하고 있다는 것마저 해킹팀의 경우와 비슷하다.

이번에 유출된 해킹팀의 자료를 보면, 국정원은 감시 기술 쇼핑을 위해 영국의 감마(Gamma)와 독일의 트로비코(Trovicor)를 검토했던 것으로 보인다. 우리 시대의 인터넷을 위협하는 오적(五敵)으로 국경없는기자회가 지목한 회사이기도 하다. 나머지 세 곳의 이름은 해킹팀, 아메시스 그리고 블루코트(Blue Coat)다. 블루코트는 패킷 감청 장비를 버마 정부에 공급한 것으로 알려졌다. ‘아랍의 봄’ 기간에는 시리아 정부에도 감시 기술을 서비스했다.

지난해 독일 함부르크에서 카오스 커뮤니케이션 회의에서 참가자들이 감시 기술 대항법을 시연하고 있다. 1984년 시작된 이 회의는 감시 기술에 대항하는 방법을 연구 발표하는 국제 해커 모임이다. 게티이미지 제공

감시 막는 암호 기술은 제한

그렇다면 감시 기술을 막을 수 있는 암호 기술도 쉽게 쇼핑할 수 있을까? 이를테면 시민단체에서 기금을 조성해서 국정원에 맞설 수 있는 다양한 암호 기술을 사들여 전 국민에게 배포하는 일은 가능할까? 뭐든 다 파는 세계 시장에서 창을 살 수 있다면 당연히 방패도 살 수 있을 것 같지만, 암호 기술은 바세나르 협약(Wassenaar Arrangement)에 의해 판매와 유통을 엄격히 제한받고 있다. 대공산권수출조정위원회(COCOM)의 후신으로 1996년에 결성된 바세나르 협약의 원래 목적은 재래식 무기를 비롯해 전략물자와 기술이 적성국가나 테러지원국에 수출되는 것을 막고자 하는 것이다.

그런데 적성국가와 테러지원국의 기준은 어디까지나 미국을 중심으로 정의된다. 미국이 못마땅해 하는 국가에는 감시 기술을 무력화할 수 있는 암호 기술이 수출될 수 없는 체제인 것이다. 이와는 반대로 불의한 정부의 독재자들에게 감시 장비를 수출하는 회사에 대해선 어떠한 규제도 취하지 않는 게 바세나르 협약이다. 앞서 지목한 인터넷 오적이 비교적 민주적 시스템이 잘 작동하는 독일, 영국, 이탈리아, 미국 국적이라는 사실은 의미심장하다. 대외적으로는 수출을 통해 이익을 얻을 수 있을 뿐만 아니라 국내 정치에서도 감시 기술을 이용해 통제를 공고히 하는 데 써먹을 수 있기 때문에, 이 나라들에선 감시 기술의 개발과 수출을 규제하지 않고 있다. 한국도 바세나르 협약의 일원이다. 이 나라에서 우리가 구할 수 있는 기술과 금지된 기술은 세계 체제 수준에서 제한되어 있다. 우리 시대 인터넷은 권력의 손바닥 위에 있고, 권력에 방해되는 기술은 철저히 억압받고 있다는 걸 알아야 한다. 이 사실을 이해하는 것이야말로 국정원의 아둔한 스캔들 너머에서 우리가 해야 할 일이 무엇인지 깨닫는 길이다.

허점이 없는 시스템은 정부가 통제할 수 없다. 그래서 시스템을 안전하게 보호하고자 하는 각국 정부의 노력은 적잖이 기만적이다. 특히 미국 정부가 암호 기술을 통제하는 일에 가장 앞장섰다. 1990년대 내내 미국 행정부는 국가가 모든 사람의 암호에 접근할 수 있어야 한다는 입장을 강력하게 밀어붙였다. 이 시기를 해커들은 ‘암호전쟁(crypto-wars)’이라고 부른다. 전자우편을 암호화하는 최초의 기술 가운데 하나인 PGP(Pretty Good Privacy)를 1991년에 고안한 필립 짐머만은 불법적으로 방어 기술을 수출했다는 이유로 미국 정부에 기소당했다. 이것이 1990년대 암호 전쟁의 첫 장면이다. 미국 정부는 1993년에 클리퍼 칩(Clipper Chip)이라는 백도어 기술을 모든 컴퓨터에 의무 설치하려고도 했다. 모든 컴퓨터에 정부의 감시 시스템을 심겠다는 계획에 해커들이 가만히 있을 리 없었다.

미국 국가안보국(NSA)이 20억 달러를 들여 유타주에 짓고 있는 인터넷 클라우드 ‘적란운' 단지. 전 지구의 이메일, 휴대폰 등의 정보를 들여다 볼 수 있는 엄청난 용량의 데이터 센터다. NSA 제공

정부-해커 사이의 암호 전쟁

해커들은 자유로운 소프트웨어의 형태로 강력한 암호 기술 툴들을 퍼뜨리기 시작했다. 한국 사회에선 해커라는 말에 부정적인 의미가 강하지만, 본래 이 단어는 컴퓨터 기술에 기초해 새로운 세계를 만드는 모든 활동가를 의미한다. 이들 가운데 정부와 기업의 감시 기술에 맞서 싸우는 급진적 사이버 아나키스트들을 사이퍼펑크(cypherpunk)라고 부른다. 미국 정부는 사이퍼펑크들이 개발한 암호화 기술이 널리 활용될 수 없도록 지속적으로 방해했다. 암호 기술은 군사용으로 제한됐고 수출이 금지됐다. 때로는 결함이 있는 암호 기술을 정부에서 배포하기도 했다. 클리퍼 칩 계획이 실패로 끝난 뒤엔 키 에스크로(Key escrow) 정책을 내놓았다. 두 정책 모두 클린턴 행정부의 작품이었다. 신뢰할 수 있는 시민단체나 제3단체에 컴퓨터의 암호를 푸는 마스터키를 위탁하자는 주장이다. 클리퍼 칩의 경우와 마찬가지로 강력범죄, 테러리스트, 인종차별주의자 및 아동 포르노 제작자를 수사하기 위해선 감시 기술이 꼭 필요하다는 명분도 반복됐다.

PGP를 고안한 짐머만은 걸프전을 겪은 1991년 미국에서 반테러법이 입안되는 과정을 지켜보면서, 미국의 미래가 완연한 통제 사회로 접어들게 될 거라고 경고했다. 그가 예견한 나쁜 미래가 다름 아닌 바로 오늘이었다. 2013년 에드워드 스노든이 빼돌린 국가안보국(NSA) 내부 기밀문서가 공개되면서 미국 정부의 광범위한 통신기록 감시가 만천하에 드러났다.

미국에서 사이버스페이스는 군사적인 전장이다. 이것은 미군이 2012년에 공식 표명한 내용이기도 하다. 국가안보국(NSA)이 20억달러를 들여 짓고 있는 유타 데이터 센터, 일명 클라우드 적란운(積亂雲) 단지도 거의 완공 단계에 와 있다. 이곳의 데이터베이스 용량은 사실상 무한대에 가깝다. 북미 대륙뿐만 아니라 지구 전체의 이메일과 휴대폰, 구글 검색, 온갖 사적인 데이터 흔적들이 이곳에 모조리 포획된다. 미국은 디지털 네트워크 전체를 여러 조각으로 분해해 다양한 시각에서 들여다볼 수 있는 엄청난 능력을 보유하게 되는 것이다. 그리고 이 힘에 맞서 싸우는 전 세계 해커들의 항전을 ‘제2차 암호전쟁’이라고 부른다.

감청·감시의 전모 드러나지 않아

이탈리아 해킹팀이 해킹되고 국정원의 스마트폰 감시사건으로 불길이 옮겨붙는 과정 역시 암호 전쟁의 연속선에 있다. 그러나 전쟁의 패러다임과 양상은 1차 암호 전쟁 때와 달라졌다. 1990년대의 감시 기술이 표적 대상을 겨냥한 전술적 접근에 치중했다면, 오늘날엔 전략적인 접근으로 패러다임이 변했기 때문이다. 어떤 지역 전체의 모든 정보를 상시로 포획하고 데이터베이스화한 뒤, 이를 분석 시스템으로 분류해서 언제라도 전술적 접근으로 전환할 수 있는 시스템을 구축해야 한다. 비약적으로 발전하고 있는 메모리 기술과 데이터 전송 기술 덕분에 가능해진 일이다. 국정원도 이러한 변화를 어떤 수준으로든 수용하고 있으리라 예상된다. 이번에 발각된 해킹팀의 기술이 국정원이 준비하고 있던 계획의 전부였을까? 아니면 빙산의 일각에 불과할까? 참고로 지난 10년간 이 나라에선 패킷 감청설비의 숫자가 무려 9배나 증가했다. 이 설비가 어디에서 어떻게 쓰이는지는 제대로 밝혀진 적이 없다. 큰 그림을 그릴 수 있어야 이 전쟁에 맞설 수 있다.

셰익스피어의 4대 비극 중 하나인 ‘맥베스’의 제3막에서, 주인공은 피비린내 나는 일에 너무도 깊이 발을 들여놓은 나머지 되돌리기엔 너무 늦어 계속해서 나아갈 수밖에 없다고 한탄한다. 파국을 향해가는 멕베스의 모습에 국정원을 겹쳐본다. 악업은 이미 쌓일 대로 쌓였고 나쁜 일은 기어이 일어나고야 만다. 무대가 끝나면 주인공의 어리석음을 비웃는 소리가 떠들썩할 것이다.

임태훈 인문학협동조합 미디어기획위원장

관련 기사

api_db 저작권자 © 한국일보 무단전재 및 재배포 금지

문화 최신기사