구독상품안내
2020년 2월, 여성들의 신상정보를 알아낸 뒤 성 착취 동영상을 강요한 이른바 ‘n번방 사건’의 공범자 66명이 검거됐다. 이들은 ‘텔레그램*’과 같은 폐쇄적인 메신저를 통해 범죄를 벌였으며, 동영상을 제공하는 대가로 암호화폐를 받았다. ‘박사방’을 비롯해 n번방에서 파생된 여러 텔레그램 방을 이용한 사람은 26만 명에 이르며, 피해자 70여 명 중 미성년자는 16명이나 된다(4월 20일 기준).
이번 사건은 추적이 어려운 메신저와 암호화폐를 이용해 대규모 성범죄를 벌였다는 점에서
이전의 성범죄와 다르다. 첨단 기술이라는 허울은 26만 명의 눈을 가렸고, 인간의 기본적인 윤리 의식마저 잠식했다. 하지만 걸리지 않을 것이란 범죄자들의 믿음은 깨졌고, 뛰어난 보안 기술로 제품을 홍보하던 여러 메신저는 이 사건과는 아무런 관계가 없는 양 입을 다물었다.
그들은 정말 범죄의 책임에서 자유로울 수 있을까?
n번방 사건의 범죄자들은 텔레그램의 보안이 완벽하다고 믿었고, 그 확신은 범죄를 더 크게 키웠다. 하지만 세상 어디에도 ‘완벽한’ 보안 기술은 없다.
텔레그램의 보안 기술은 크게 두 갈래다. ‘메시지를 암호화하는 방법’과 ‘메시지를 서버에 저장하는 방법’이다. 텔레그램은 메시지를 암호화하기 위해 RSA, 디피-헬먼 키 교환, AES 등의 암호화 기술을 상황에 맞게 이용한다. 이 세 가지 방식은 모두 수학적으로 풀기 어렵다는 사실이 인정돼, 금융권에서도 흔하게 사용한다.
이렇게 암호화한 메시지는 메신저의 서버를 거쳐 상대방에게 전달된다. 밥이 앨리스에게 ‘수학동아’라는 메시지를 보낸다고 해보자. 대다수의 메신저는 밥의 메시지를 암호화한 #234%&과 같은 메시지를 서버에 전송한다. 서버에서는 이 메시지를 다시 수학동아로 원상 복구시켜 저장한다. 서버에서 메시지를 다시 암호화한 *(#453과 같은 메시지를 앨리스에게 보낸다. 메신저는 이 메시지를 풀어 밥이 보낸 메시지인 수학동아를 앨리스가 확인할 수 있게 한다. 즉 이 과정에서 밥↔서버, 서버↔앨리스 사이에 두 번의 암호화와 복호화 과정이 일어난다. 그러면 서버에는 수학동아라는 원래 메시지가 남는다. 누군가 이 서버를 해킹하거나 감찰하는 경우 밥과 앨리스가 어떤 대화를 했는지 모두 알 수 있다.
이런 우려로 텔레그램은 ‘종단간 암호화’ 기술을 적용했다. 종단간 암호화 기술은 암호화와 복호화 과정이 밥↔앨리스 사이에서 단 한 번만 일어나게 한다. 서버에는 #234%&와 같이 의미를 알 수 없는 암호화한 메시지만 저장된다. 따라서 서버를 ‘탈탈’ 털어도 밥과 앨리스의 대화 내용을 알 수 없다. 암호화한 메시지만 받아볼 수 있다.
하지만 완벽해 보이는 종단간 암호화 기술에도 허점은 있다. 2019년 미국의 IT 회사 ‘노턴라이프록’은 ‘미디어 파일 재킹’이라는 공격으로 텔레그램의 보안을 뚫는 데 성공했다. 미디어 파일 재킹은 스마트폰에 설치된 다른 애플리케이션을 통해 접근하는 공격 방식이다. 사용자의 단말기는 언제나 보안에서 가장 취약한 부분이다. 노턴라이프록은 이 공격으로 텔레그램을 통해 오고간 대화, 사진, 오디오 파일 등을 보는 것뿐만 아니라 조작까지 할 수 있다고 밝혔다. 이 외에도 텔레그램을 공격하는 방법은 여러 가지가 있다.
텔레그램의 창업자 파벨 두로프는 2016년부터 “개인 사생활을 보호하는 것은 테러와 같은 위협을 받는 것보다 더 중요하다”고 말해왔다. 즉 텔레그램은 강력한 보안 체계가 수사 기관으로부터 범죄자를 감쌀 수 있다는 것을 누구보다 명확하게 인지하고 있었다. 하지만 그보다 사생활 보호가 더 중요한 가치라고 판단한 것이다.
사생활 보호와 범죄로부터의 안전, 이 두 가지 가치는 오래 전부터 충돌해왔다. 미국에서는 이 문제에 대해 30여 년간 시민 단체, IT 기업, 변호사, 국가 기관 등이 끊임없이 논의하고 있다. 어떤 가치가 더 옳다는 ‘싸움’이 아니라 ‘합의점’을 찾는 과정이다.
반면 우리나라는 1998년 김대중 정권이 정부의 주력 사업이던 ‘전자 정부’의 일환으로 ‘암호의 성능을 최대로 끌어올리는 것이 바람직한가, 합법적인 수사가 가능한 선에서 이뤄져야 하느냐’로 전문가들이 잠시 논의했던 적은 있었으나, 그 이후로는 전무하다. n번방 사건과 같은 심각한 사이버 범죄가 일어나고 있는 지금까지도 전문가 협의체조차 만들어지지 않았다.
이런 논의가 없는 상황에서 메신저의 강력한 보안 체계는 독이 될 수 있다. 수사 기관이 영장을 발부하더라도 메시지 내용을 확인하기 어렵게 만든 암호 기술을 ‘영장을 막는 암호화(Warrant-Proof Encryption)’라고 한다. 방수 기능이 있는 제품을 ‘워터 프루프’라고 부르는 것처럼, 이 보안 기술들은 ‘영장 프루프’인 셈이다. 수사 기관이 범죄의 증거를 찾으려면 메신저나 용의자의 스마트폰을 해킹해야 한다. 불가능하진 않지만 무척 어려운 일이다.
김승주 고려대학교 정보보호대학원 교수는 “영장이 발부돼도 범죄 사실을 확인할 수 없게 보안 기술을 높여놓고, 우린 모른다는 식의 태도는 매우 무책임한 것”이라고 지적했다. 수사 기관이 적법한 절차를 거쳐 범인을 검거하는 게 불가능한 암호화 기술을 사용하려면, 기업은 그에 따른 사회적 책임을 져야 한다는 것이다.
사생활을 보호하면서 테러나 범죄로부터 국민을 안전하게 지킬 수 있는 방법은 없을까? 1992년 실비오 미칼리 미국 매사추세츠공과대학교(MIT) 교수는 ‘공평한 공개키 암호화 시스템’을 제안했다. 복호화할 수 있는 열쇠를 여러 개 마련해 정부, 의회, 시민 단체 등 여러 입장의 조직이 분산해 가진다. 여러 집단이 모두 동의하는 경우에만 ‘마스터키’를 이용해 복호화할 수 있는 시스템이다.
이 이상적인 아이디어는 이론으로만 남아있다가 2016년 암호화폐 개념의 창시자이자 세계적인 암호학자인 데이비드 차움에 의해 구현됐다. 차움 박사가 고안한 ‘프리바테그리티’라는 기술은 평소에는 보안을 강조한 여느 메신저처럼 작동하지만, 테러 위협이나 심각한 범죄 등 사생활 보호보다는 안전이 우선된다고 판단되는 경우에만 메시지를 해독할 수 있다.
이게 가능한 건 서로 다른 9개의 나라에 서버를 두고 있기 때문이다. 만약 테러 위협이나 심각한 범죄가 감지되면, 9개의 나라가 모두 동의해야 메시지를 해독할 수 있다. 차움 박사는 미국의 기술 잡지 와이어드를 통해 “우리는 사생활을 포기해서는 안 되지만, 테러리스트와 마약 거래상이 암호 기술을 악용하도록 허락해서도 안 된다”며 개발 이유를 설명했다. 현재 여러 운영체제에 맞도록 기술을 개발 및 보완하고 있다.
"과학자라면 자신의 연구가 어떤 역할을 하는지,
악용한다면 어떤 가능성이 있을지를 깊이 생각해야 합니다.
사회에서 살아가는 인간으로서 사고를 멈춰서는 안 됩니다.
과학자는 그 점을 잊어서는 안 됩니다."
-2008년 노벨물리학상 수상자 마스카와 도시히데
소립자 ‘쿼크’의 존재를 확인하는 데 기여해 2008년 노벨물리학상을 수상한 마스카와 도시히데 일본 교토대학교 명예교수는 저서 ‘과학자는 전쟁에서 무엇을 했나’에서 연구자가 가져야 할 윤리 의식을 끊임없이 이야기한다. 디지털 기술 없이는 어떤 일도 할 수 없는 현 시점에서 마스카와 교수의 말은 다시 한번 새겨들을 만하다.
텔레그램이란?
러시아 최대 규모의 SNS인 ‘브이콘탁테(VK)’를 설립한 니콜라이 두로프와 파벨 두로프 형제가 2013년 설립한 메신저다. 수학으로 박사 학위를 받은 니콜라이 두로프가 텔레그램의 보안 시스템을 설계했다.
