최근 애플은 영국에 거주하는 신규 사용자에게 ADP(Advanced Data Protection) 기능을 제공하지 않는다고 밝혔다. 기본적으로 범죄자나 국가 감시 또는 유출로부터 데이터를 보호하기 위해 사용하는 보안 기능이지만, 영국 내 사용자는 이용할 수 없게 된다.

애플의 이번 조치는 영국 당국의 요구에 대한 직접적인 대응이다. 영국은 수사 권한 법을 기반으로 애플이 아이클라우드에 저장된 데이터에 대한 암호화를 비밀리에 해제하고 해당 데이터에 대한 백도어를 만들도록 요구했다. 애플은 이에 대응해 암호화를 지원하는 전체 기능을 비활성화한 것이다.

ADP는 애플 사용자에게 아이클라우드의 9가지 데이터 범주(아이클라우드 백업, 아이클라우드 드라이브, 사진, 메모, 알림, 사파리 북마크, 시리 단축키, 음성 메모, 월렛 패스, 자유형 등)에 대해 엔드 투 엔드 암호화를 제공한다. 아이클라우드 키체인, 건강, 아이메시지를 포함한 다른 아이클라우드 범주는 암호화된 상태로 유지된다.

애플은 성명서를 통해 “애플은 더 이상 영국에서 신규 사용자에게 ADP를 제공할 수 없으며, 현재 영국 사용자도 결국 이 보안 기능을 비활성화해야 할 것이다. ADP는 엔드 투 엔드 암호화를 통해 아이클라우드 데이터를 보호한다. 즉, 데이터를 소유한 사용자만이 신뢰할 수 있는 기기에서만 데이터를 해독할 수 있다. 데이터 유출과 고객 개인 정보에 대한 기타 위협이 계속 증가하는 상황에서 영국 고객이 ADP가 제공하는 보호 기능을 이용할 수 없다는 사실이 매우 안타깝다. 엔드 투 엔드 암호화를 통해 클라우드 스토리지의 보안을 강화하는 것이 그 어느 때보다 시급하다”라고 밝혔다.

우선은 영국의 신규 사용자가 ADP 기능을 사용할 수 없게 되지만, 상황은 점점 더 나빠질 것이다. 이미 ADP를 사용하는 영국 사용자라도 아이클라우드 계정을 계속 사용하기 위해 이 기능을 비활성화해야 할 수도 있다. 분명 애플이 원하는 일은 아니다.

온라인 보안 전문가인 앨런 우드워드 교수는 BBC와의 인터뷰에서 이 사건을 “매우 실망스러운 사건”이라고 말하면서, 정부가 자해 행위를 저질렀다고 비난했다. 우드워드 교수는 “영국 정부가 이룬 성과는 영국에 기반을 둔 사용자의 온라인 보안과 개인 정보 보호를 약화시키는 것뿐이다”라고 지적했다.

안타깝게도 영국 정부는 이 사실을 이해하지 못하고 있다. 사실상 전 세계 권위주의 국가 기관에 사람들의 데이터에 대한 접근을 요구할 수 있는 가능성을 제시했다는 점에서 영국 내무부 공무원들에 대한 엄청난 비난이다. 디지털 보안을 이해하는 사람이라면 누구나 알고 있듯이, 모두가 안전하지 않으면 누구도 안전하지 않다. 영국은 모두의 안전을 위협한 셈이다.

확인할 수는 없지만, 영국에서 ADP 기능을 비활성화한 결정은 영국 당국이 전 세계 모든 사람의 아이클라우드에 저장된 데이터에 대한 액세스를 요구한 데 따른 것일 가능성이 크다. 즉, 영국 당국이 국가 감시를 위해 애플에 어느 정도까지의 정보 개방을 요구했는지 알 수 없다. 영국 정부가 이런 액세스를 어떻게 처리하고 사용자에게 어떤 영향을 미칠지도 알 수 없다.

분명한 것은 영국 정부는 자국의 안보에 해를 끼치는 권위주의적 과잉행위에 책임이 있다는 것뿐이다. 미국 상원은 이미 영국이 이런 디지털 과잉행위를 중단하지 않으면 영국과의 정보 공유 협정을 재평가하겠다고 경고하기도 했다.

개인 정보 보호를 위한 싸움은 끝나지 않았다. 애플은 발표문을 통해 “애플은 사용자의 개인 데이터에 대해 최고 수준의 보안을 제공하기 위해 최선을 다하고 있으며, 앞으로도 영국에서 그렇게 할 수 있기를 희망한다. 이전에 여러 번 언급했듯이, 우리는 제품이나 서비스에 백도어나 마스터 키를 구축한 적이 없으며, 앞으로도 그럴 일이 없을 것이다”라고 강조했다.
dl-itworldkorea@foundryco.com