암호화 메시지 서비스 시그널은 지난 19일 프랑스에서 암호화 백도어 규제가 제정될 경우 스웨덴에서 그랬던 것처럼 프랑스에서 떠나겠다고 경고했다. 시그널의 메레디스 휘태커 CEO는 X에 게재한 글에서 “이 나쁜 법을 주창하는 사람들이 프랑스 정치인들을 설득하려 하고 있다. 그들은 해당 법안이 암호화를 깨지는 않는다고 주장한다. 그러나 그들의 주장은 진부할 뿐 아니라 우습기까지 하다. 이해를 위해 기본을 살펴보자. 엔드 종단간 암호화는 발신자와 수신자라는 두 개의 끝단만 가져야 한다. 그렇지 않으면 백도어 공격의 대상이 된다”라고 밝혔다.
그는 이어 “세 번째 끝단을 추가하려는 모든 기법은 프라이빗 커뮤니케이션 회선에 구멍을 뚫고 백도어가 될 수 있다. 암호화 프로토콜의 변형된 PRNG이든, 정부가 사용자 사이의 채팅에 개입할 수 있는 정부 소프트웨어든 마찬가지다”라고 말했다.
시그널 CEO는 다음과 같이 덧붙였다. “이것이 바로 시그널이 언제나 그래왔듯이, 이 법을 준수해야 하기 전에 프랑스 시장을 떠나려는 이유다. 오늘날 시그널의 어깨가 무겁다. 사적인 의사소통이 지속될 수 있는 미래를 만들어 나가기 위해서는 이러한 치명적 영향을 허용할 수 없다.”
휘태커는 스웨덴의 정부 관계자들이 지난 달에 유사한 방식으로 암호화를 우회하려 시도했을 때에도 비슷한 생각을 공유했던 바 있다.
다른 입법 기관과 마찬가지로, 프랑스 입법 기관들도 암호화에 대한 다양한 접근 방식을 논의하고 있다. 그들이 암호화 백도어를 요구할 지는 아직 확실하지 않다.
한편 프랑스 당국이 어떤 결정을 내릴 지와 관계없이, 암호화 훼손으로 인해 야기될 수 있는 사이버 보안 위험성에 대한 휘태커의 주장에는 일리가 있다. 그에 따르면 통신은 정부 관할권 경계 안에 머물지 않는다. 즉, 프랑스에서 생긴 구멍이 다른 지역에서 공격 벡터가 될 수 있다. 휘태커는 ”굳이 해독하기 어려운 수학에 씨름하는 대신 프랑스 정부 요원을 확보하거나 그들이 쓰는 소프트웨어만 확보하면 된다. 그러면 개인 간 채팅에 침투할 수 있다”라고 밝혔다.
이러한 암호화 백도어 논쟁은 전 세계의 많은 다른 정부에서 발생하고 있다. 예를 들어, 애플은 현재 영국 정부의 암호화 백도어 요구에 대해 분쟁을 벌이고 있다. 미국은 영국 정부 관계자들이 암호화 백도어 요구를 시도한 것조차 비난하고 있다.
이러한 이슈는 정부의 암호화 백도어에 국한되지 않는다. 암호화된 대화의 어느 한 쪽이 가로채여도 같은 문제가 발생한다. 예를 들어, 우크라이나 군은 현재 공격적인 피싱 캠페인을 진행하고 있는데, 이 캠페인은 백도어보다 훨씬 더 효과적으로 암호화를 우회하는 맬웨어(주로 키로거)를 심는 형태로 이뤄진다.
엔드포인트 탈취를 이용해 사이버 범죄자의 뒤통수를 치기도 한다. 지난 12월 유로폴의 관계자들은 메시지를 읽은 후 몇 분 후에 사라지는 앱을 교묘하게 사용하는 사이버 도둑을 우연히 발견했다. 그러나 경험이 많은 도둑들은 다른 도둑을 믿지 않았기에, 수신자 중 한 명이 동료들과 돈을 나누는 것에 대한 토론을 화면 캡처했다. 덕분에 법 집행 기관은 암호화된 메시지를 모두 읽을 수 있었다.
백도어와 관련된 우려
애널리스트들은 백도어에 대한 수요가 증가하고 있다는 점에 대해 우려하고 있다. ABI 리서치의 디지털 보안 산업 애널리스트 아이슬링 도슨은 휘태커의 게시물과 관련해 정부 암호화 제안 다수가 “이러한 백도어의 기술적 함의를 이해하지 못하고 있다”라고 지적했다.
그는 이어 이러한 정부들이 문제적 상황에 직면하고 있다고 진단했다. “시장에서 철수하는 조직이 증가해 경제적 손실을 유발하거나, 생태계 내 보안 업체를 줄이거나, 제안된 규제 조치에 대한 법적 및 사법적 도전의 가능성을 야기할 수 있다”라고 도슨은 말했다.
도슨은 또 암호화 백도어 시도에 대해 위험하다고 평가하며 다음과 같이 말했다.
“이러한 제안서에서 ‘사이드 클라이언트 스캐닝’과 같은 용어가 사용되곤 한다. 이러한 행태가 정부의 의도를 의도적으로 복잡하거나 모호하게 만들고 있다. 어차피 핵심은 벤더의 보안 통신에 더 많은 백도어를 원한다는 것이다. 공급업체의 암호화 장벽을 뚫고 정부의 백도어를 만들면 구멍이 생긴다. 사이버 범죄자와 악의적인 공격자가 그 구멍을 이용하지 않을 것이라고 믿는 것은 그야말로 판타지다.”
이 밖에도 도슨은 백도어가 사이버 보안 및 개인 정보 보호 문제를 넘어서는 법적 문제를 제기한다고 주장했다. 그는 “이번 프랑스의 제안은 피고인이 암호화 백도어를 통해 얻은 증거에 이의를 제기할 수 있는 가능성을 제기한다. 해당 법안은 피고인에 대한 감시 활동의 공개를 금지하고 있기 때문이다. 이는 피고인의 ECHR(유럽 인권 협약) 제6조 공정한 재판권에 따라 피고인에게 불리한 증거를 듣고 이의를 제기할 수 있는 권리에 근본적으로 위배된다”라고 말했다.
다른 분석가들도 비슷한 우려를 표했다. 인포-테크 리서치 그룹의 프레드 샤뇽 수석 연구 책임자는 프랑스 입법자들이 논의하고 있는 암호화 백도어 접근 방식이 다른 정부들이 고려하고 있는 접근 방식과 다소 다르다고 평가했다.
그는 “프랑스의 접근 방식은 ‘유령 참가자’를 사용한다는 점에서 색다르다. 정부 기관은 이를 통해 암호화된 대화에 조용히 참여할 수 있다. 기본적으로 실시간 백도어를 만들 수 있게 되는 셈이다. 정부는 기업들이 자체적으로 암호화의 해제를 강요하는 규제를 추진하는 대신, 암호화 벤더와 협력해 근본적으로 보안을 약화시키지 않는 해결책을 찾아야 하다”라고 말했다.
무어 인사이트 & 스트래티지의 앤셀 사그 수석 애널리스트는는 유럽 전역에서 나타나고 있는 암호화 관련 정부 활동에 대해 보다 일반적인 우려를 표명했다. 그는 “유럽 정부에서 나타나기 시작한 불안한 추세라고 바라본다. 영국의 애플에 대한 요청도 비슷한 문제다. 백도어는 본질적으로 문제가 있다. 왜냐하면 백도어는 악의적인 행위자들에게 그 백도어를 이용할 기회를 제공하기 때문이다”라고 말했다.
그는 이어 ”또한 백도어가 보안과 안전을 망가뜨림에도 불구하고 보안과 안전이 존재한다는 인식이 문제가 될 수 있다. 간단히 말해 백도어는 많은 기업들이 힘들게 쌓아온 보안 및 안전 평판에 정면으로 반하는 존재다”라고 말했다.
[email protected]
Read More from This Article: “백도어 수용하느니 프랑스 떠날 것”··· 암호화 메시징 벤더 시그널의 배수진
Source: News