◇ 꽤 어려워요
텔레그램은 절대 추적 못 하나?
→특정 방 출입 정보는 서버에 남아
이번 ‘n번방’ 사건에 사용된 텔레그램은 이미 해외에서 디지털성범죄의 도구로 사용된 사례가 있다. 2018년 초에는 불법 콘텐츠, 특히 아동 성 착취물이 텔레그램에서 공유되자 애플이 앱스토어에서 텔레그램을 일시 퇴출시켰다.
텔레그램이 불법 성 착취 영상물의 온상이 된 이유는 역설적으로 높은 보안성 때문이다. 텔레그램이 제공하는 비밀 대화(Secret Chat) 기능을 사용하면 제3자가 대화 내용을 알아내는 것이 사실상 불가능하다.
이런 비밀 대화 기능은 송신자와 수신자만 메시지를 읽을 수 있는 종단간 암호화(End-to-end encryption) 기술을 사용하는 것으로 알려져 있다.
암호화는 일반적으로 암호키를 이용한다. 메시지를 암호화해 암호키를 가지고 있는 사람만이 암호를 풀 수 있도록 하는 것이다. 그러면 제3자가 통신 내용을 해킹한다고 해도 데이터가 암호화돼 있어 해석이 불가능하다.
종단간 암호화 방식은 이런 암호키를 송신자와 수신자가 직접 교환한다. 주고받는 대화 내용은 암호화해 서버에 저장되지만, 암호키는 서버를 거치지 않는다. 또 암호키는 통신할 때마다 갱신된다. 이전의 암호키를 제3자가 획득하더라도 새로운 대화 내용을 볼 수 없다는 뜻이다.
카카오톡도 종단간 암호화 기술을 활용한 비밀 대화 기능을 제공한다. 다만 일반 대화는 사용자 사이에 주고받은 대화 내용이 암호화된 채 서버에 저장돼 있고, 암호키도 서버를 거치기 때문에 만에 하나 제3자가 카카오톡 서버를 해킹하면 대화 내용이 노출될 수 있다. 뒤집어 얘기하면 대화 내용과 대화를 주고받은 당사자들을 추적할 수 있다는 뜻이다.
텔레그램도 모든 정보를 완벽히 암호화하는 것은 아니다. 대화 내용까지는 아니더라도 특정 방에 출입한 정보는 서버에 남는다.
대검찰청에서 이번 디지털성범죄 수사를 자문하고 있는 조호묵 KAIST 사이버보안연구센터 실장은 “텔레그램도 다른 메신저와 마찬가지로 사용자가 메시지를 보내면 플랫폼을 거쳐 데이터베이스 서버에 저장되는 3티어(Tier) 구조를 사용하고 있다”며 “텔레그램의 협조를 받아 데이터베이스 서버에 접근한다면, 특정 방에 출입한 사용자 명단이나 사용자의 개인정보, 사용자 간 일반 채팅 메시지 등 메타 데이터(속성 정보)를 확보할 수 있을 것”이라고 말했다.
현재 텔레그램은 본사 소재지와 서버 위치가 정확히 알려지지 않았다. 텔레그램이 각국 수사기관의 인적 사항 확인 요청을 받아들인 사례도 없다.
경찰은 3월 23일 언론브리핑에서 “인터폴 및 미 연방수사국(FBI), 국토안보수사국(HSI) 등과 협업해 텔레그램 본사를 확인 중”이라며 “본사를 찾게 되면 외교적인 방법을 동원해 협조를 구할 예정”이라고 발표했다.
김승주 고려대 정보보호대학원 교수는 “서버 접근 권한이 없는 상황에서 텔레그램의 대화 내용을 확인할 수 있는 방법은 사용자의 기기를 압수해 삭제되지 않은 내용을 보는 것이 유일하다”고 설명했다. 가령 채팅방 운영자의 스마트폰을 확보하면 운영자와 과거 대화한 기록이 있는 불특정 다수의 정보를 확보할 수 있다.
경찰은 텔레그램에서 닉네임 ‘박사’로 활동하며 ‘박사방’을 운영한 조주빈을 검거할 당시 그의 집에서 스마트폰과 노트북, PC 등을 압수했다. 조 실장은 “경찰이 스마트폰의 잠금장치를 풀기 위해서는 이스라엘 정보보안업체인 셀레브라이트가 개발한 디지털 포렌식 장비를 사용할 것”이라고 예상했다.
아이폰은 비밀번호가 10회 이상 틀리면 모든 데이터가 영구적으로 삭제된다. 셀레브라이트의 디지털 포렌식 장비는 아이폰의 인증 메커니즘을 거꾸로 이용해 데이터 삭제 기능을 중단시키고, 비밀번호로 모든 경우의 수를 대입하는 ‘브루트 포스법(Brute force method)’을 활용한다. 셀레브라이트는 이 장비를 각국의 정부기관에만 판매하고 있다.
김형중 고려대 정보보호대학원 교수는 “n번방 사건이 터진 후 인터넷상에 텔레그램 사용 기록을 삭제하는 방법 등이 돌아다니는데, 휴대전화를 압수해 디지털 포렌식 기술을 적용하면 삭제한 기록도 찾을 수 있다”며 “개인이 텔레그램 서버에 접근하는 것은 불가능할 뿐만 아니라 휴대전화에서 사용 기록을 지우더라도 서버에는 채팅방 출입 기록이 그대로 남아 있다는 점을 기억해야 한다”고 말했다.
암호화폐 사용자 추적할 수 있나?
→거래소 협조나 클러스터링 이용하면 충분히 가능
성 착취 영상물을 거래하는 데 사용한 암호화폐도 범죄자들의 꼬리를 잡는 데 사용할 수 있다. 텔레그램과 마찬가지로 암호화폐 역시 ‘암호’라는 이름처럼 익명성이 보장되는 것이 특징이다.
거래가 이뤄지면 보내고 받는 사람의 주소, 금액, 시간, 주소 사용 횟수 등의 거래 정보가 블록체인상에 남고 누구나 이 정보에 접근할 수 있지만, 해당 정보가 누구의 것인지 알 수 없다. 그래서 인물을 특정해 추적하기가 매우 어렵다.
그렇다고 해서 방법이 전혀 없는 것은 아니다. 암호화폐를 송금하는 방법은 크게 3가지다. 거래소에서 암호화폐를 사서 받는 사람의 주소로 바로 보내는 방법, 거래소에서 산 암호화폐를 개인 지갑으로 옮긴 뒤 받는 사람의 주소로 보내는 방법, 암호화폐를 직접 채굴해서 개인 지갑에 보관하다가 받는 사람의 주소로 보내는 방법이다.
현 시점에서 개인이 집에 있는 컴퓨터로 암호화폐를 채굴해 사용할 확률은 매우 낮은 만큼 세 번째 경우는 논외로 한다.
첫 번째 경우처럼 거래소를 이용했다면 거래소의 협조만 있으면 거래 정보는 쉽게 알아낼 수 있다. 실제로 경찰은 거래소의 협조를 받아 조주빈이 사용한 암호화폐 주소로 암호화폐를 송금한 내역이 있는 주소를 역추적하고 있다. 그 중간 성과로 박사방 유료회원 10여 명의 신원을 확인해 4월 6일 아동 성 착취 영상물 소지 혐의로 입건했다.
두 번째 경우처럼 개인 지갑의 주소로 옮겨서 송금한 경우에도 추적이 가능하다. 여기에는 연관성 있는 데이터끼리 그룹으로 묶는 방법인 ‘클러스터링’ 기술을 적용할 수 있다. 암호화폐에서 가장 많이 쓰이는 클러스터링 분석 도구는 ‘k-평균 알고리즘’이다. 변수의 개수(n)에 따라 데이터를 n차원의 한 점으로 두고, 유사도가 높은 것끼리 k개의 그룹으로 묶는 방식이다. 유사도는 데이터 사이의 거리로 평가한다.
김형중 교수는 “텔레그램 n번방, 박사방 등 주요 유통방의 활동 기간과 거래 금액을 변수로 그룹을 만들 수 있을 것”이라고 말했다. 가령 박사방은 20만 원, 70만 원, 150만 원 등 특정 금액의 입장료를 받았는데, 이를 당시 암호화폐의 환율로 환산하면 입장료가 오간 유통방을 찾을 단서가 될 수 있다는 뜻이다.
클러스터링 분석으로 추려낸 주소에 보관된 암호화폐가 실명확인을 하는 국내 거래소를 통해 현금화됐다면 해당 사용자의 신원도 특정할 수 있다.
조주빈은 암호화폐 중 모네로를 주로 취급한 것으로 알려졌다. 모네로는 일반적인 암호화폐보다 추적이 어려워 ‘다크코인’으로 분류된다. 비트코인과 같은 일반적인 암호화폐와 달리 보내고 받는 사람의 주소와 거래 금액이 기록에 남지 않는다. 링 서명을 기반으로 한 거래 방식이기 때문이다.
비트코인은 송금할 때 보내는 사람의 주소와 받는 사람의 주소가 일대일 대응의 형태로 거래가 이뤄진다. 하지만 모네로는 거래가 이뤄질 때 다수의 무작위 주소가 추가된다. 일대일 대응 형태가 아닌 그룹 대 그룹 형태로 거래가 이뤄지기 때문에 자금 흐름을 역추적할 때 거래에 실제 참여한 사람을 특정하기 어렵다.
김형중 교수는 “그럼에도 실제 거래에 참여한 사람을 찾아낼 가능성이 전혀 없는 것은 아니다”라며 “모네로는 참여자가 적어 무작위로 생성할 주소가 부족할 땐 이전 거래에 사용했던 주소를 가지고 오는 방식인 만큼 이전 거래와 비교해 실제 거래에 참여한 주소를 특정할 수 있다”고 말했다.
국내 포털 사이트에 불법 콘텐츠 유통할 수 있나?
→인공지능(AI) 기술로 불법 콘텐츠 관리
텔레그램의 성 착취 영상물을 신고하는 ‘프로젝트 리셋(Project ReSET)’은 2019년 12월부터 성 착취 영상물과 불법 촬영물이 공유되는 텔레그램 채팅방을 찾아 신고하고 있다. 신고가 들어가면 텔레그램이 해당 채팅방을 차단한다. 이는 텔레그램이 불법 콘텐츠를 관리하는 유일한 방법이다. 김승주 교수는 “텔레그램에서 채팅방을 일일이 들여다보며 불법 콘텐츠를 관리하는 것은 사생활 침해이기 때문에 현실적으로 제약이 있다”고 말했다.
하지만 서버를 우리나라에 둔 포털 사이트는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 불법 콘텐츠를 관리할 의무가 있다. 카카오는 포털 사이트 다음과 카카오TV, 티스토리와 같은 공개형 서비스에 올라오는 불법 콘텐츠를 관리하기 위해 인공지능(AI) 기술을 동원해 신고가 들어오지 않은 불법 콘텐츠도 관리하고 있다.
카카오는 이미지의 색을 이용해 불법 콘텐츠를 분류하는 기술을 개발했다. 음란물과 같은 불법 콘텐츠에는 피부색이 더 많이 포함돼 있기 때문이다. 하지만 초창기 기술은 모든 픽셀의 색을 일일이 분석해야 해서 분류 속도가 느렸고, 정확도도 23%에 불과했다.
이를 해결하기 위해 카카오는 이미지 처리에 탁월한 성능을 보이는 ‘합성곱 신경망(CNN·Convolutional Neural Network)’을 구현했다. 합성곱 신경망은 이미지를 작은 크기로 나눈 뒤 이들 영역마다 일정한 연산을 수행한다. 그리고 이렇게 얻은 영역별 연산값으로 새로운 행렬을 만든다. 그 결과 데이터의 크기를 줄이면서도 선과 대상의 위치, 질감 등 이미지의 다양한 특징을 빠르게 추출한다.
AI가 분류해야 하는 이미지에는 정상 콘텐츠가 불법 콘텐츠보다 압도적으로 많다. 때문에 흑백 사진이나 해상도가 낮은 불법 콘텐츠는 AI가 미처 분류해 내지 못하는 문제가 있었다. 카카오는 정상 콘텐츠의 데이터양을 축소하고, 불법 콘텐츠의 데이터양을 인위적으로 늘려 재학습시켰다. 데이터양을 늘리는 데는 기존에 확보한 불법 콘텐츠의 구도나 크기 등을 바꾸는 방법을 사용했다. 이를 통해 분류 정확도를 76%에서 89%로 높이는 데 성공했다.
인터넷 메신저인 텔레그램을 이용한 소위 ‘n번방’ 사건을 계기로 디지털성범죄에 대한 사회적 공분이 커졌다. 특히 성범죄자들이 텔레그램 등 보안 메신저와 암호화폐를 이용하는 등 인터넷 시대의 축복인 정보기술(IT)을 범죄에 악랄하게 이용하면서 이를 막을 보안기술과 추적기술에 관심이 커졌다. 첨단 정보기술 뒤에 숨은 성범죄자들을 기술적으로 어디까지 발본색원할 수 있을까.
