보안 전문가이자 해커인 모건 마르퀴스 브와르(Morgan Marquis-Boire)는 지하에서 비밀리에 이루어지고 있는 정부의 감시활동에 대해 조사하고 있다. 각국 정부가 전세계의 기자와 인권활동가를 감시하기 위해 악성코드를 어떻게 활용하고 있는지 모건의 설명을 들어보자.
ⓒAmnesty International
스파이웨어(spyware)란 무엇이며, 말웨어(malware)와는 어떻게 다른가?
대체로 말웨어란 허가 없이 실행되어 사용자의 시스템에 해롭거나 위험한 작업을 하는 악성코드를 가리킨다. 주로 바이러스, 트로이 목마, 크라임웨어(crimeware)로 알려져 있으며, 사용자의 데이터를 암호화시키고 이를 빌미로 대가를 요구하는 랜섬웨어(ransomware) 역시 여기에 포함된다.
스파이웨어는 사이버상의 범죄자보다는 정부, 정보원, 경찰이 피해 대상의 컴퓨터에 설치하는 프로그램으로, 해당 컴퓨터의 온라인 통신 기록을 열람할 수 있게 한다. 현재 대부분의 사람들이 온라인상에서 활동하고 있는 만큼 국가의 감시 활동 역시 온라인에서 주로 이루어진다.
어디까지 감시할 수 있는가?
감시 대상이 된 장치로 어떤 활동을 하느냐에 따라 다르다. 예를 들어 갈수록 휴대폰을 전화 통화보다는 일반적인 온라인 통신 활동을 하는 데 이용하는 만큼, 소위 ‘합법적으로 개입하는’ 모바일 스파이웨어가 거래되기도 한다. 이러한 소프트웨어가 휴대폰에 몰래 설치될 경우 사용자가 아닌 다른 사람이 GPS를 통해 위치를 추적하고, 주소록을 열람하고, 문자 메시지를 감시하고, 전화 통화를 녹음하고, 페이스북(Facebook) 채팅을 훔쳐보는 것이 가능하게 된다.
감시의 표적이 되는 사람들은 누구인가?
모로코의 기자 여러 명과 ‘맘파킨치(Mamfakinch)’라는 이름으로 알려진 활동가가 모로코 정부가 설치한 것으로 추정되는 말웨어의 표적이었는데, 이들은 뉴스 ‘특종’을 가장해 보내진 ‘미끼’ 문서를 받았다. 이 문서를 분석해 보니, 이들이 사용하는 전자기기에 스파이웨어를 몰래 설치하는 악성코드가 포함되어 있었다. 이를 통해 정부는 맘파킨치가 무슨 글을 쓸 것인지, 소식통이 누구인지를 알아낼 수 있었다.
또한 아랍에미리트연합의 유명 인권옹호자인 아흐메드 만수르(Ahmed Mansoor) 역시 상업적 스파이웨어를 통해 감시당하고 있음을 알 수 있었다. 만수르는 지속적으로 물리적, 전자적 감시 활동의 표적이 되었으며, 평화적인 활동을 벌였다는 이유로 수많은 살해 협박을 받기도 했다.
‘아랍의 봄’ 기간 동안 바레인 정부는 영국 기업으로부터 구매한 스파이웨어를 이용해, 무기 거래를 추적하는 단체인 바레인 워치(Bahrain Watch)를 감시했다. 또한 미국에서는 에티오피아에 관한 내용을 보도하는 위성 방송국 ESAT이 또다른 유럽 기업이 제작한 스파이웨어의 표적이 되었다.
스파이웨어를 판매하는 업체는 어디인가?
최근 자국민들에게 억압적인 정권에 스파이웨어 프로그램을 판매해 악명이 높아진 소규모 업체들이 밝혀졌다. 영국계 독일 기업인 감마 인터내셔널(Gamma International)은 바레인의 활동가들을 감시하는 데 이용된 스파이웨어를 제공했다. 또한 해킹팀(Hacking Team)이라는 이탈리아 업체는 맘파킨치에 대한 공격 활동에 참여했으며, 이전에도 수단, 에티오피아, 바레인, 이집트, 카자흐스탄, 사우디아라비아 등 다수의 억압 정부에 스파이웨어를 판매했다. 최근 유출된 내용에 따르면 올해 5월까지도 리비아에 프로그램을 판매할 예정이었다. 록히드마틴(Lockheed-Martin), BAE 시스템, 레이시언(Raytheon) 등 규모가 큰 다국적기업 역시 이런 유형의 기술을 개발하고 있다. 아래 지도를 통해 이외에도 음성적으로 감시 업계에서 활동하는 더 많은 기업을 확인할 수 있다. 지도보기(영문)
ⓒhttp://www.globalcause.net/
활동가와 기자들은 어떻게 대응해야 하나?
암호화, 익명화, 사생활 보호 툴과 같은 보호 기술을 사용하는 인권활동가는 거의 찾아보기 어렵다. 대부분의 사람들이 문서, 통신 기록, 연구 자료 등 민감한 정보를 상당히 보유하고 있으며, 이러한 정보를 보호하고 싶을 것이다. 그러기 위해서는 스스로 보안 툴을 익히고, 정보 보안에 대해 신중하게 생각하기 시작해야 한다. 전자개척자재단(EFF)이 배포하는 감시 대비 자가보호 키트(영문)와 같은 수많은 자료를 인터넷 상에서 찾아볼 수 있다. 빠르고 쉽게 배우고자 한다면 시티즌랩(Citizen Lab)의 동료가 작성한 이 블로그 게시물을 참고하는 것도 좋다.
마치 만병통치약처럼 널리 홍보되고 있는 개인 제작 툴은 주로 피하라고 하고 싶다. 모든 감시 활동을 막아내는 프로그램이란 없기 때문이다. 또한 활동가들은 스스로를 위해서뿐만 아니라, 더 위험한 상황에 처해 있을지 모르는 연락 상대를 위해서라도 현명한 결정을 내려야 한다는 것을 알아야 한다.
국제앰네스티는 어떻게 대응해야 하는가?
국제앰네스티와 같은 시민단체들이 인권단체에 대한 감시활동의 위험을 알리기 시작했다는 것은 매우 긍정적이라고 생각한다. 감시활동의 표적이 되었던 바 있는 국제앰네스티는 이것이 얼마나 위험한 것인지를 정확히 잘 알고 있다. 이번 기회에 이 분야에서 ‘보안 청정지역’이 더 넓어질 수 있기를 바란다.
또한 국제앰네스티가 이 분야에 있어 더욱 긍정적인 정책 변화를 이끌어내기 위해 로비활동을 하고 있다는 것 역시 훌륭한 일이다. 정부가 이러한 유형의 감시 프로그램을 이용하는 것이 더욱 투명하게 공개되고, 개인과 소규모 단체들이 스스로 취해야 할 보안 대책에 대한 인식을 더욱 높이게 될 날을 기대한다.
향후 전망은 어떤가?
매우 급속하게 변화하는 기술분야인 만큼 장기적인 예측을 하기는 어렵다. 미국 국가안보국(NSA)이 휴대폰의 메타데이터 수집을 중단할 예정이라고 밝히긴 했지만, 한편으로는 영국 정부와 FBI가 채팅 및 메시지 애플리케이션의 암호화가 더욱 강력해지자 이에 대해 공포감을 조성하고, 사용자들의 사적인 데이터를 더욱 많이 열람할 수 있어야 한다고 주장하고 있다. 이러한 추세가 앞으로 어떻게 전개될 것인지를 예측하기란 정말 쉽지 않은 일이지만, 무엇보다도 더 많은 사람들이 이러한 논의에 참여하고, 정부의 활동을 면밀히 검토하는 것이 가장 중요하다.
ⓒPrivate
모건 마르퀴즈 브와르(Morgan Marquis-Boire)는 국제앰네스티 기술인권위원회의 고문대행으로, 최신 기술과 관련된 인권침해를 조사하고 알리는 국제앰네스티의 활동에 대해 위협 정보를 알려주고 보안 관련 자문을 맡고 있다.
