암호화 논쟁의 진실

오늘, 미 하원 내 에너지 상업 위원회의 감독 및 조사 청문회에서 “Deciphering the Debate Over Encryption: Industry and Law Enforcement Perspectives(암호화 논쟁의 진실: 업계 및 사법 기관의 관점)”이라는 제목으로 진술을 했습니다. 복잡하면서도 미묘한 사안이지만 토론의 골자를 잡는 데 큰 도움을 준 몇 가지 핵심 요점이 있습니다. 이 문제는 얼마 전에 RSA Conference의 기조연설에서 다룬 내용으로, 지난달 오스틴에서 열린 South by Southwest Interactive 페스티벌에서 패널로 참석하여 발표한 사안을 오늘 청문회 진술에서 다시 다루게 되었습니다.

암호화된 커뮤니케이션에 대한 사법 기관의 액세스와 관련된 끊임없는 논쟁은 우리 보안 커뮤니티의 근본적인 문제 중 하나입니다.   때로는 극악 무도한 범죄에 맞서 사법 기관의 기소권을 보장하는 한편, 보안과 개인 정보 보호, 경제적인 측면의 경쟁력을 보호해야 하는 형평성의 균형을 잡아야 합니다.

사법 기관에서는 이미 유용한 정보를 제공하는 다량의 관제 데이터에 액세스하고 있으며, 아직도 액세스하는 데이터를 효율적으로 관리하지도 완벽하게 활용하지도 못하고 있습니다. 최근에는 “특별 액세스” 메커니즘을 도입하자는 정책 입안자의 주장에 불을 지피는 사건들이 있었습니다. 간단히 말해, 모든 암호화에 “백도어”를 만들어 사법 기관에서 단순 범죄자들을 쉽게 기소할 수 있도록 하자는 것입니다. 간단한 것처럼 들리는 이 요청은 달성하기가 불가능할 뿐 아니라 우리가 사용하는 인터넷 인프라스트럭처의 보안을 근본적으로 약화시켜 국가 안보 및 공공의 안전을 위협하는 의도치 않은 결과를 야기할 수 있습니다.

어떤 암호화 시스템을 사용하더라도 가장 큰 어려움은 효과적인 운영 보안을 구축하고 유지하는 데 있습니다.  이 두 차원은 복잡할 뿐 아니라 사실상 실패 위험도 높습니다.  알고리즘의 구축 방식, 키 교환 메커니즘, 공유 메모리/스토리지 및 키 위치에서 지속적으로 결함이 감지되고 있습니다. 훌륭한 암호화 기능을 바로 사용할 수 있다 하더라도 정보를 보호하기는 지극히 어렵습니다. 하드웨어, 프로토콜 구축, 운영 체제, 인증 메커니즘 및 컴퓨팅 플랫폼의 기타 구성 요소에는 적절히 암호화된 정보조차 손상시킬 수 있는, 피할 수 없는 결함이 있습니다.

사이버 보안을 제대로 유지하려면 올바른 암호화가 필수적입니다. 올바른 암호화를 사용할 수 없다면 미국의 중요한 네트워크 및 시스템을 지키는 사람들이 큰 피해를 입게 될 것입니다. 특별 액세스는 복잡성을 가중시킬 뿐 아니라 아직까지 완벽하게 파악하지 못했을 수 있는 새로운 취약성을 가져옵니다. 다시 말해, 우리 모두가 안전하게 만들려고 하는 인터넷 인프라스트럭처를 의도적으로 약화시켜 더 많은 위험을 야기할 수 있습니다. 사법 기관을 위해 모든 암호화에 “백도어”를 만드는 것은 불순한 의도를 가진 훨씬 더 많은 집단의 사람들에게 우리를 해칠 기회를 만들어 주는 것이나 다름 없습니다.

어렵고 실패하기 쉬운 사이버 보안 전문가의 노력을 헛수고로 만드는 정책은 정당화될 수 없으며 이러한 정책으로는 업계와 사회의 안전을 기대할 수 없습니다. 이러한 정책의 부정적인 영향은 테크놀로지 기업은 물론이고 중요한 인프라스트럭처, 전력 및 공공 서비스, 자동차, 제조, 의료, 법률, 은행 및 금융 업계를 비롯한 모든 업계까지 번질 수 있습니다.

이 중요한 주제에 대한 여러분의 의견을 들려 주십시오.   암호화를 약화시키는 것은 국가 안보를 근본적으로 무너뜨리는 행위입니다.

“Deciphering the Debate Over Encryption: Industry and Law Enforcement Perspectives”(암호화 논쟁의 진실: 업계 및 사법 기관의 관점) 청문회를 보지 못하신 분은 여기에서 볼 수 있습니다. 웹캐스트에서 3시간쯤 지나면 제 섹션이 나옵니다.

No Comments