[이슈추적] 카카오톡 ‘실시간 감청’ 논란 : 월간조선

지난 9월 스마트폰 메신저 이용자들 사이에 ‘사이버 망명’ 바람이 불었다. 같은 달 18일 검찰이 사이버상의 허위사실 유포를 막기 위해 ‘실시간 모니터링’을 하겠다는 내용을 담은 보도자료를 배포한 후였다. ‘텔레그램(Telegram)’ 등 외국이 개발한 메신저가 대안으로 떠올랐다.

당장 인터넷상에서 이에 대한 논쟁이 치열하게 벌어졌다. 스마트폰 이용자들 사이에는 ‘국가권력이 개인 간의 대화 내용을 실시간으로 지켜본다는 얘기인가’하는 의문과 불안감이 증폭됐다. 급기야 다음카카오의 이석우(李碩祐) 대표는 “앞으로 (검찰의) 감청 영장 협조 요구에 응하지 않겠다”고 주장했다.

“불특정 실시간 감시는 불가능”

이후 김진태(金鎭太) 검찰총장은 10월 23일에 열린 국정감사에 출석해 ‘검찰은 (카카오톡, 라인 등 SNS에 대한) 실시간 감청을 한 적도 없고 장비도 없다’면서도 ‘통신업체가 감청 영장 집행에 대한 협조를 거부하면 수사기관이 직접 집행하겠다’는 발언을 했다. 메신저상의 대화 내용 보호 여부를 둘러싼 논란에 기름을 붓는 발언이었다.

과연 카카오톡 등 국내업체의 모바일 메신저에 대한 감청은 가능한가. 이를 따져보기 전에 우선 검찰이 말한 ‘실시간 모니터링’이라는 게 가능한지부터 살펴볼 필요가 있다.

전문가들은 이에 대해 ‘사실상 불가능하다’고 말한다. 메신저 대화가 저장되는 서버에 침입해 메시지를 들여다보는 것도 불가능할뿐더러, 설사 가능하다 해도 하루에 카카오톡으로 오가는 메시지가 약 55억 건인데, 그걸 어떻게 모니터링하느냐는 이유다.

임종인 고려대 정보보호대학원장.

임종인(林鍾仁) 고려대 정보보호대학원 원장은 “우리나라 검찰이나 국정원을 미국의 NSA(National Security Agency)로 여기지 말라”라고 일축했다. 임 원장의 말이다.

“미국의 NSA는 한 해에 암호 해독 관련 비용으로 겉으로 드러난 비용만 3000억원을 씁니다. 우리나라 국정원은 30억도 안 씁니다. 실시간 감시가 가능하겠습니까?”

일반 시민들이 생각하는 불특정 다수에 대한 카카오톡 실시간 모니터링을 하고 싶어도 기술적・현실적으로 불가능하다는 말이다.

김 총장의 발언처럼 검찰이 직접 메신저를 감청하는 것은 가능할까? 임 원장은 “이 또한 불가능하다”라고 잘라 말했다.

“검찰총장이 뭔가 잘못 알고 계신 거예요. 카카오톡만 봐도 대화 내용을 전송하고 저장하기 위한 서버가 1만 대에 육박하고 있어요. 서버는 전국 7군데에 흩어져 있습니다. 참고로 구글(Google)은 1백만 대가량 되고, 네이버(Naver)는 10만 대가 넘어요. 전국 곳곳에 흩어져 있는 서버들이 엄청나게 복잡한 네트워크로 연결돼 있어요.

이런 상황에서 특정인의 메시지가 어느 서버를 통과해 어디로 나오는지 검찰이 어떻게 알 수 있습니까? 통신사업자가 협조해 주지 않는 한 불가능해요. 어느 한 군데 선을 꽂으면 대화 내용을 엿듣거나 엿보는 게 가능한 시스템이 아니에요.”

결국 메신저 감청은 실질적으로 통신업자의 협조하에서만 가능하다는 말이다.

실제 집행 절차를 봐도 감청 영장이 집행되기 위해서는 통신업자의 협조가 필수적이다. 감청은 어떤 절차로 이뤄질까.

텔레그램(Telegram)

텔레그램은 러시아 출신의 파벨·니콜라이 두로프 형제가 독일에서 만든 비영리 모바일 메신저다. 두로프 형제는 러시아에서 널리 쓰이고 있는 SNS ‘브콘닥테’를 개발했다. 이들은 러시아 당국의 검열에 반발해 독일로 건너가 텔레그램을 개발했다.

텔레그램의 특징은 비밀대화 설정 기능이 있다는 것이다. 누군가와 비밀대화를 하겠다고 선택하면 종단 간 암호화(End-to-End Encryption·상대와의 대화 내용이 암호화되어 오감) 기능이 시작되고, 서버에 대화의 흔적이 남지 않는다. 내가 상대에게 보낸 메시지가 특정 시간 후에 자동으로 삭제되도록 설정할 수도 있다. 예를 들면 1분 후에 자동으로 대화창에서 메시지가 삭제되는 식이다.

수신이 끝난 메시지를 들여다보면 실시간 감청?

감청 관련 절차를 규정한 통신비밀보호법 7조를 보면 검찰, 경찰, 국정원 등이 법원에 통신제한조치(감청)를 위한 영장 발급을 요청한다. 고등법원 수석부장판사가 허가하면 해당 통신업자에 해당인의 통신 내용에 대한 감청을 요청한다.

통신업자는 특정인의 대화 내용을 검찰, 경찰, 국정원 등 요청한 기관에 전달한다. 이때 회사마다 전달 방법이 다르다. 수사 전용 계정을 만들어 여기로 대화 내용을 실시간으로 전달해 주는 회사도 있고, 대화 내용을 며칠분 모아서 보안메일이나 저장매체를 통해 전달하는 경우도 있다.

이런 상황에서 지난 10월 7일, 이석우 다음카카오 대표는 기자회견을 열고 “감청 영장에 대해 제대로 집행하기 위해서는 실시간 감청 설비가 있어야 한다”며 “카카오톡에는 이러한 설비가 없기 때문에 영장에 명시된 메시지 3일에서 7일 분량을 모아 수사기관에 제공해 왔다. 앞으로는 이러한 협조를 하지 않을 것”이라고 말했다.

이튿날인 10월 8일에는 카카오톡 공지사항을 통해 보안성을 강화하겠다고 발표했다. 구체적으로는 ‘일대일 비밀대화방 기능 제공’과 ‘수신확인 메시지 자동삭제 기능 추가’ 등을 예로 들었다. 대부분 텔레그램에서 제공하고 있는 기능이다.

이 대표가 말한 내용을 짚어보자. 감청 영장을 ‘제대로 집행’한다는 표현은 무슨 뜻일까. 관련 전문가들 사이에서도 실시간 감청의 범위를 어디까지로 볼 것인가에 대한 논란이 있다. 예를 들면 다음카카오 측이 요청받은 카카오톡 메시지를 검찰에 전달할 때, 메시지를 넘기는 시점에는 이미 당사자들 사이에 메시지 송수신이 완료됐는데, 이를 ‘실시간 감청’으로 볼 수 있느냐는 의문이다.

감청으로 볼 수 없다고 보는 측에서는 대법원 판례를 예로 든다. 2012년 10월 25일에 내려진 대법원 판결을 보면, 이미 송수신이 완료된 내용은 감청의 대상이 아니라고 규정했다. 판결 요지를 옮겨보면 이렇다.

〈‘감청’은 전자적 방식에 의하여 모든 종류의 음향·문언·부호 또는 영상을 송신하거나 수신하는 전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 음향·문언·부호·영상을 청취·공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송수신을 방해하는 것을 말한다. 그런데 해당 규정의 문언이 송신하거나 수신하는 전기통신 행위를 감청의 대상으로 규정하고 있을 뿐 송수신이 완료되어 보관 중인 전기통신 내용은 대상으로 규정하지 않은 점, 일반적으로 감청은 다른 사람의 대화나 통신 내용을 몰래 엿듣는 행위를 의미하는 점 등을 고려하여 보면, 통신비밀보호법상 ‘감청’이란 대상이 되는 전기통신의 송수신과 동시에 이루어지는 경우만을 의미하고, 이미 수신이 완료된 전기통신의 내용을 지득하는 등의 행위는 포함되지 않는다.〉

종단 간 암호화란

올해 10월쯤 카카오톡 검열 논란으로 생소한 전문 용어가 보도되고 있다. ‘종단 간 암호화(End to End Encryption)’란 단어다. ‘단대단 암호화’라고도 부른다. 줄여서 ‘E2EE’라고 쓰는 곳도 있다.

메신저를 통한 커뮤니케이션의 작동방식은 아주 단순하게 설명해서 스마트폰(클라이언트)↔서버↔스마트폰(클라이언트)의 형태다. A라는 사용자가 스마트폰용 메신저 응용프로그램(앱)에 글을 입력하면 해당 메신저 서비스 업체의 서버가 B라는 사용자의 스마트폰 앱으로 전달하는 식이다.

대부분의 메신저는 스마트폰과 서버 사이에 암호화 장치를 적용해 둔다. 보안을 위해서다. 일반적으로 ‘RSA’라고 하는 공개 키 암호화 알고리즘이 이 사이에 있다. 암호화된 자물쇠를 풀 수 있는 열쇠는 스마트폰과 서버뿐이다. 서버는 도착한 메시지를 풀 수 있다. 즉 서버에는 평문으로 바뀌어 저장이 되는 것이다. 평문이라는 것은 보통 사람들이 내용을 확인할 수 있는 형태의 글을 말한다. 카카오톡 검열 논란이 불거진 배경이다.

종단 간 암호화는 처음 입력하는 단계부터 최종적으로 수신하는 각 단계마다, 메시지를 평문으로 저장하지 않고 모두 암호화하는 방식을 말한다. 서버에서조차 메시지를 평문으로 저장하지 않는다. 카카오톡은 검열 논란 이전 서버에 평문 형태로 저장해 두었다. 그런데 앞으로는 종단 간 암호화로 자물쇠를 채우겠다는 것이다. 사용자가 스마트폰에 저장한 열쇠가 없으면 서버에서조차도 메시지 대화록을 열어볼 수가 없다.

그러나 양자컴퓨터, 즉 반도체가 아닌 원자를 기억소자로 활용하는, 양자역학의 원리에 따라 작동하는 미래형 첨단 컴퓨터가 출현하면 종단 간 암호화를 포함한 암호체계 자체가 뚫릴 수 있다고 주장하는 전문가들이 있기는 하다. 하지만 그건 미래의 이야기다.

종단 간 암호화도 뚫릴 수 있어

다음카카오 이석우 대표는 “감청 영장 협조에 응하지 않겠다”고 말했다.

감청으로 볼 수 있다고 주장하는 측은 정보기관의 메시지 수집 업무를 기술의 제약 때문에 통신업자가 ‘대행’해 주는 것이므로 감청으로 볼 수 있다고 주장한다. 실제로 통신비밀보호법 제9조는 ‘통신제한조치는 이를 청구 또는 신청한 검사·사법경찰관 또는 정보수사기관의 장이 집행한다. 이 경우 체신관서 기타 관련기관 등에 그 집행을 위탁하거나 집행에 관한 협조를 요청할 수 있다’고 명시했다.

다음카카오가 밝힌 대로 올해 내에 종단 간 암호화를 실시하면 감청이 불가능할까. 여기에 대해서는 전문가들과 다음카카오의 의견이 엇갈린다. 임 원장의 설명이다.

“서버에 저장되어 있는 자료는 아무리 암호화되어 있어도 키(key)를 가져오면 볼 수 있습니다. 키는 메시지를 송수신하는 당사자들 단말기에 저장되죠. 카카오톡 측에서도 주고받은 기록을 뽑아낼 수는 있지만 메시지 내용을 해독하려면 암호를 풀어야 합니다. 하지만 이것도 만약 NSA처럼 연 수천억원을 들여 수퍼컴퓨터를 돌린다면 풀 수 있습니다.”

김승주(金昇柱) 고려대 사이버국방학과 교수도 “헐거운 종단 간 암호화는 충분히 뚫릴 수 있다”고 말했다.

《월간조선》은 다음카카오 측에 종단 간 암호화 및 이 대표의 발언에 대한 부연설명을 요청하는 질문지를 보냈다. 다음은 질문지에 대한 다음카카오 측의 답변 전문이다.

—종단 간 암호화는 언제부터 시행 예정입니까.

“연내 시행 예정입니다.”

—종단 간 암호화를 하면 암호화 키가 있어야만 대화 내용을 볼 수 있다고 들었습니다. 그렇다면 다음카카오에서 이 키를 관리하는 부서는 어디이고 인원 규모는 어느 정도 되는지요.

“종단 간 암호화를 시행하면 그 키는 다음카카오가 관리하는 서버가 아닌 사용자가 소유하고 있는 단말기에 저장됩니다. 따라서 암호화 키를 다음카카오에서 관리하지 않습니다.”

—1대 1 대화가 아닌 그룹 대화창의 경우, 종단 간 암호화가 가능한지요. 휴대폰 대 PC 간의 대화에도 가능한지 궁금합니다.

“네. 가능합니다.”

—카카오톡 대화 내용이 서버에 2~3일만 남도록 하겠다, 라고 밝혔는데 언제부터 시행 예정입니까.

“현재 시행 중입니다.”

—서버에 2~3일치 대화만 저장할 경우, 예를 들면 데이터 로밍을 안 하고 장기 출장을 다녀와서 일주일 이상의 시간이 흐른 후에 카카오톡 메시지를 확인하려는 경우엔 어떻게 되는 건가요.

“서버에 저장하는 기간이 3일 이내이므로 일주일 이상 시간이 지난 메시지의 확인은 불가능합니다.”

—다음카카오 측에서는 ‘기술적으로 실시간 모니터링이 불가능하다’고 밝혔는데, 다음카카오가 관련 장비를 갖추지 않았다는 뜻인지, 아니면 현재의 통신 기술로는 실시간 모니터링 자체가 아예 불가능하다는 뜻인지 궁금합니다.

“관련 장비를 갖추고 있지 않으며, 앞으로도 설치할 계획이 없다는 의미입니다.”

—감청 영장에 응하지 않겠다고 이석우 대표께서 밝혔는데 이 입장은 현재도 변함이 없는지요.

“카카오톡 메시지 감청 영장에 응하지 않겠다는 입장에는 변화가 없습니다.”

다음카카오 측이 답한 내용 중, 그룹 대화창의 종단 간 암호화에 대해 관련 전문가들은 ‘힘들다’고 말한다.

미국의 보안 관련 스타트업 카프리카 시큐리티에 근무하고 있는 박세준(朴世俊) 연구원은 “단체 대화창의 경우 보안성을 높이려면 신경 써야 할 부분이 많다. 보안성을 높이려고 이런저런 기능을 넣으면 통신업자의 서버에 과부하가 걸리고 사용자의 사용성도 떨어지는 등의 문제가 발생할 수 있다”고 설명했다. 실제로 텔레그램의 경우에도 단체 대화창에는 비밀 대화(암호화) 기능을 적용할 수 없다.

메신저 감청은 기술 아닌 법적인 문제

관계자들의 의견을 종합해 보면, 카카오톡을 포함한 국내 통신업체가 제공하는 모바일 메신저의 감청이 가능한가 하는 문제는 기술의 영역이 아니라 법·정책의 영역에서 다뤄야 할 문제로 보인다.

메신저 감청을 다루는 통신비밀보호법은 1993년에 제정됐다. 그 후로 몇 차례 개정을 거치긴 했지만 20년간 빠르게 변화한 통신 환경을 제대로 규율하고 있지 않다는 게 전문가들의 공통된 지적이다.

가장 시급하게 수정해야 할 부분은 감청의 성격과 범위, 감청 영장의 허가 요건이다. 어떤 종류의 혐의에 감청이 가능한지 재검토하고 범위를 엄밀하게 좁힐 필요가 있다. 현재 조문은 내란죄나 외환죄, 살인죄 등뿐만 아니라 신용, 업무와 경매에 관한 죄, 사기·공갈죄에도 감청 영장을 청구할 수 있다고 규정한다.

실제 감청 영장 집행 상황을 보면 감청이 이뤄진 건 중 대부분이 국가보안법과 관련한 수사의 일환이었다. 다음카카오 측은 “2013년과 올해 상반기까지 접수받은 감청 요청은 147건이고 이 중 집행한 것은 122건”이라고 밝혔다. 이 중 101건이 국가안보 관련 사안이었고, 21건은 살인, 강간 등의 강력범죄 관련 건이었다.

둘째, 영장 집행을 이유 없이 거부할 경우 처벌 조항을 명문화해야 한다. 통신비밀보호법은 통신사업자의 협조 의무를 처벌 규정 없이 권고사항으로만 규정했다. 제15조를 보면, ‘전기통신사업자는 검사·사법경찰관 또는 정보수사기관의 장이 이 법에 따라 집행하는 통신제한조치 및 통신사실 확인자료 제공의 요청에 협조하여야 한다’고 되어 있다.

미국이나 영국 등의 국가는 영장 집행을 담보하기 위해 엄격한 처벌 규정을 적용한다. 미국 NSA는 지난 2008년 포털사이트 야후가 미국의 자료 요청을 거부하자, 하루에 25만 달러(한화로 약 2억5800만원)의 벌금을 매일매일 부과하겠다고 통보했다. 재정적인 압력을 견디지 못한 야후는 결국 미국의 프리즘 프로그램(미국 정부가 지난 2007년부터 구축한 정보감시 프로그램)에 정보를 제공하기 시작했다.

임 원장은 “처벌 조항 없이 통신사업자에게 선언적으로 협조하라고 하는 것은 통신업자를 오히려 불리한 위치에 놓는 것”이라며 “사업자 입장에서는 처벌 조항도 없는데 협조하면 이용자와 시민단체의 거센 비판에 직면할 수 있다. 처벌 조항을 만드는 게 필요하다”고 말했다.

셋째, 외국과의 공조 강화다. 테러라는 공동의 적을 둔 미국과 영국은 감청 자료를 서로 공유한다. 지난해 8월 영국 《가디언》지는 GCHQ(정보통신본부, 영국의 감청전문 정보기관)의 전략보고서를 입수해 보도했다. 보고서에는 미국 NSA가 GCHQ의 정보 수집 활동을 위해 3년간 약 1억 파운드(한화로 약 1700억원) 이상의 비밀 자금을 제공했다는 내용이 담겨 있었다.

지난 10월에는 국제앰네스티 등의 비영리단체가 미국과 영국의 정보기관을 상대로 제기한 소송 과정에서, NSA가 습득한 감청 자료에 GCHQ가 별도의 허가 없이 접근할 수 있다는 사실도 확인됐다.

한국 또한 미국이나 영국처럼 상시적인 위협 요소를 갖고 있다. 바로 북한의 김씨 정권이다. 이번 사이버 망명 바람을 계기로 관련 법의 정비가 필요한 이유다.⊙

朴世俊 카프리카 시큐리티 연구원 인터뷰
“암호화 기술로 어느 메신저가 더 좋다 말할 수 없어”

박세준 연구원은 미국의 보안 관련 스타트업 카프리카 시큐리티의 공동창업자다. 미국 카네기멜론대 재학 시절 해킹동아리 PPP를 만들기도 했다. 국제해킹보안대회에서 25회 우승한 ‘화이트 해커(White Hacker)’이기도 하다. 화이트 해커는 학습이나 보안 정도 점검 등을 위해, 즉 타인에게 도움을 주기 위한 목적으로 해킹을 하는 해커를 말한다.

—카카오톡과 텔레그램의 암호화 기술 수준을 비교한다면 어느 쪽이 더 우위에 있다고 보나요.

“직접 비교는 힘들겠지만, 굳이 보안과 암호화에 더 신경 쓴 곳이 어디냐고 하면, 텔레그램이 우위에 있는 것이 사실입니다. 이제까지 각 사가 공개한 홍보자료만 봐도 알 수 있죠. 그러나 암호화 기술로 메신저 품질을 비교하긴 힘듭니다. 두 메신저가 추구했던 방향과 성격이 달라요. 카카오톡은 간결하고 빠른 메시지 전송과 다양한 이모티콘, 카카오 플랫폼과의 통합성을 고민했지요. 텔레그램은 도청이나 감청으로부터 안전한 메신저 구현과 오픈소스를 통한 다양한 플랫폼에서 사용 가능하기 위한 확장성을 고민했고요.”

—카카오톡 단체 대화방의 경우 암호화가 기술적으로 쉽지 않다고 했습니다.

“신경 써야 할 부분들이 많아지기 때문에 복잡해집니다. 키 공유의 문제라기보다는 사용자의 편의성을 위해 과거 대화 내용을 남겨둘 것이냐 보안성을 위해 새로 대화를 시작하게 할 것이냐의 문제겠군요. 결국 사용성과 보안성 중 어느 것에 더 치중하느냐에 따라 구현의 복잡도가 달라지겠죠.”

—종단 간 암호화 기술이 모바일 메신저와 컴퓨터 메신저 사이를 오가는 대화에도 적용될 수 있을까요?

“종단 간 암호화 방식은 기본적으로 사용하고 있는 기기 간에 암호키를 저장하는 기술입니다. 종단 간 암호화가 적용된 대화방에 들어가 있다면 해당 기기 이외에는 다른 기기에서 대화를 확인할 수 없죠. 마찬가지로 모바일에서 비밀대화를 나누고 있던 내용이 PC에서 확인되지 않는 게 정상입니다.”

—미국 NSA의 경우 양자컴퓨터에 대한 투자로 패킷 감청 및 암호 해독을 시도하려고 하고 있습니다. 이에 대해 어떻게 생각하나요?

“양자컴퓨터가 등장하면 현재의 기술 수준으로는 풀기 힘든 문제들을 풀 수 있기 때문에 암호학에 큰 변화가 생깁니다. 암호화된 패킷을 현재 기술로 풀려면 수억 년이 걸릴 수 있습니다. 그러나 양자컴퓨터가 등장한다면 수분 내지 수일로 줄일 수도 있습니다.”

(정리 : 白潤浩月刊朝鮮 인턴기자)

상단주메뉴

이슈추적

카카오톡 ‘실시간 감청’ 논란

통신업자가 협조 안하면 불가능

0건

사이트 이용안내

내가 본 뉴스 닫기