오픈소스 암호화 메시지 서비스 시그널이 앱 보안 보호라는 입장을 고수하고 있다. 시그널은 수요일 프랑스에서 암호화 백도어 법안이 제정될 경우 스웨덴에서의 사례처럼 프랑스에서도 서비스를 중단하겠다고 발표했다.

시그널 CEO 메레디스 휘태커는 X에 올린 게시물에서 “나쁜 법을 지지하는 사람들은 프랑스 정치인에게 이 법안이 암호화를 위반하지 않는다고 빠르게 확신을 주었다. 이들의 주장은 진부하고 지루할 뿐 아니라 우습기까지 하다. 뒤늦게 이 법안을 이해하는 사람을 위해 기본 사항을 다시 살펴보면, 종단간 암호화는 발신자와 수신자라는 두 가지 목적만 있어야 하고, 그렇지 않으면 백도어 공격의 대상이 된다는 내용”이라고 요약했다.

휘태커는 “암호화 프로토콜의 변형된 PRNG부터, 정부가 제공하는 정부 소프트웨어를 보안 통신에 접목해 정부가 사용자의 채팅에 정부를 추가하는 권한까지, 사적 통신의 외피에 구멍을 뚫고 백도어가 되기 마련”이라고 주장했다.

또한 프랑스 시장을 떠나게 된다면 바로 이 법이 이유일 것이라며 사적 의사소통이 지속되는 미래를 위해서는 암호화 백도어라는 악영향을 허용할 수 없다고 덧붙였다.

지난달 스웨덴 정부가 암호화 우회를 시도할 때도 휘태커는 비슷한 주장을 했다. 다른 입법 기관과 마찬가지로, 프랑스 입법 기관도 암호화에 대한 다양한 접근 방식을 논의하고 있으며, 실제로 암호화 백도어를 요구하게 될지는 아직 확실하지 않다.

그러나 프랑스 당국의 최종 결정을 제쳐두더라도, 암호화를 훼손함으로써 초래될 사이버보안 재해에 대한 휘태커의 주장은 타당한 면이 있다.

“통신은 관할권 경계 안에 머물지 않는다. 즉, 프랑스에서 생긴 구멍은 어디서든 시그널의 강력한 개인 정보 보호 보장을 훼손하려는 모든 사람에게 벡터가 된다. 해독 불가능한 수학에 맞서 싸우는 대신, 프랑스 정부 직원이나 정부 요원을 개인 채팅에 사이드로드하고 여기에 쓰이는 소프트웨어를 고르기만 하면 된다”라는 것이 휘태커의 의견이다.

암호화 백도어 논쟁은 전 세계의 많은 다른 정부가 직면한 문제다. 예를 들어, 애플은 현재 영국 정부의 암호화 백도어 요구에 반대하며 항소하고 있으며, 미국은 영국 정부 관계자의 암호화 백도어 요구를 비난하고 있다.

문제의 근본적인 원인은 정부의 암호화 백도어에만 국한되지 않는다. 암호화된 대화의 어느 한 쪽이 침해되면 양쪽 모두에 같은 문제가 발생한다. 예를 들어, 우크라이나 군은 현재 멀웨어(주로 키로거)를 심어 백도어보다 훨씬 더 효과적으로 암호화를 우회하는 공격적인 피싱 캠페인을 물리치고 있다.

엔드포인트 차단도 사이버 범죄자들을 역으로 공격하는 수단이 되었다. 유로폴 관계자는 12월에 메시지를 읽은 후 몇 분 후에 사라지게 하는 앱을 교묘하게 악용한 사이버 공격자를 우연히 발견했다. 그러나 경험이 많은 공격자는 오히려 다른 공격자를 믿지 않는다. 수신자 중 한 명은 동료와 수익 배분을 의논하는 장면을 캡처해 법 집행 기관이 암호화된 메시지를 모두 읽을 수 있었다.

애널리스트 “백도어 문제점 많아”

여러 애널리스트는 백도어에 대한 수요가 증가하고 있다는 점에 우려를 표하고 있다. ABI 리서치의 디지털 보안 산업 애널리스트 아이슬링 도슨은 휘태커의 게시물을 보고 많은 정부 암호화 제안이 “백도어의 기술적 함의를 이해하지 못하고 있다”고 말했다. 그리고 “시장에서 철수하는 조직의 수가 증가해 경제적 손실을 초래하고 생태계 내 보안 업체의 수가 줄어들거나 제안된 규제 조치에 대한 법적 및 사법적 도전의 가능성이 높아질 전망에 직면했다”라고 말했다.

도슨은 또한 암호화 백도어 시도를 위험한 것으로 간주하며 “제안서에서 ‘사이드 클라이언트 스캐닝’과 같은 용어를 사용하면 상황이 복잡해지고 정부의 의도가 모호해진다. 공급업체의 암호화 장벽을 뚫고 정부의 백도어를 만들면 필연적으로 구멍이 생긴다. 사이버 범죄자와 악의적인 공격자가 그 구멍을 이용하지 않을 것이라고 믿는 것은 환상일 뿐”이라고 지적했다.

도슨은 또한 백도어가 사이버보안 및 개인 정보 보호 문제를 넘어서는 법적 문제를 야기한다고 주장했다. 도슨에 따르면 프랑스의 제안으로 피고인은 암호화 백도어를 통해 감시된 증거에 이의를 제기하기가 어려워진다. 이 법안은 피고인에 대한 감시 활동의 공개를 금지하기 때문이다. 도슨은 “피고인의 ECHR(유럽 인권 협약) 제6조 공정한 재판권에 따라 피고인에게 불리한 증거를 듣고 이의를 제기할 권리에 근본적으로 위배된다고 주장했다.

다른 애널리스트들도 비슷한 우려를 표했다.

인포테크 리서치 그룹의 수석 연구 책임자 프레드 샤뇽은 프랑스 입법기관이 논의 중인 암호화 백도어 접근 방식이 다른 정부와 다소 다르다고 지적했다.

샤뇽은 “프랑스는 ‘유령 참가자’를 통해 다른 접근 방식을 취하고자 하는데, 이 접근 방식을 통해 정부 기관이 암호화된 대화에 조용히 참여하게 해, 기본적으로 실시간으로 백도어를 만드는 것”이라며 정부는 기업이 자체적으로 암호화를 해제하도록 강요하는 규제를 추진하는 대신, 근본적으로 보안을 약화시키지 않는 해결책을 찾기 위해 암호화 업체와 협력해야 한다고 주장했다.

무어 인사이트 앤 스트래티지의 수석 애널리스트 앤셀 사그도 유럽 전역에서 암호화에 관한 정부 활동에 대해 일반적인 우려를 표명했다. 사그는 영국의 백도어 요구처럼 유럽 정부에서 불안한 추세가 나타나고 있다며 백도어는 악의적 행위자에게 악용 기회를 주는 본질적 문제라고 지적했다. 또한 “백도어는 보안과 안전에 대한 잘못된 인식을 만들어 내고, 많은 기업이 주력해 온 보안과 안전에 정면으로 반한다”라고 강조했다.
dl-itworldkorea@foundryco.com