특별 액세스: ‘특별히’ 잘못된 생각

미국 시민, 체류자, 방문객을 포함하여 우리에게는 기본적인 욕구와 이양할 수 없는 권리가 있습니다. 이러한 개념이 의미를 가지려면 적으로부터 우리를 안전하게 지키고 자유롭게 소통할 수 있어야 합니다.

그래서 우리는 돈, 권한 및 체계를 통해 우리를 안전하게 지키는 임무를 정부에 부여했습니다. 이 중요한 일은 사법 커뮤니티, 인텔리전스 커뮤니티, 군대 및 기타 정부 기관을 통해 수행됩니다.

이 세계에서는 비즈니스도 한 몫을 합니다. 우리와 같은 소비자에게 필요한 통신 서비스를 제공하고자 하는 비즈니스를 예로 들 수 있습니다. 이러한 비즈니스는 기업 시민이라는 점에서 우리와 비슷하며, 이 맥락에서는 중요한 역할을 수행하는 정부의 조력자가 됩니다.

그러나 이 협력 체계에서는 경우에 따라 이해 상충이 발생합니다.

이와 같이 중복되고 상충하는 욕구는 벤 다이어그램을 통해 이해할 수 있습니다. 첫 번째 집합은 안전한 상태에서 안심하고 소통하기를 바라는 소비자로 구성됩니다.   두 번째 집합은 우리를 안전하게 지킬 임무를 가진 정부로 구성됩니다. 세 번째 집합은 재화 또는 서비스를 제공하고, 통상적으로 정부의 임무를 지원하는 비즈니스로 구성됩니다. 집합 외부에는 우리 모두에게 적대적인 동기 및 목표로 활동하는 적이 있습니다.

이들 집합은 의회에서 이사회, 그리고 저녁 식탁에까지 오르는 논쟁을 잘 보여 줍니다. ‘미 정부의 임무 수행에 도움이 될 수 있으니, 통신에 대한 정부의 특별 액세스 또는 백도어 액세스를 개발하도록 하는 법률을 제정해야 하는가?’라는

이 질문은 간단해 보이지만 깊숙이 들어가면 수없이 많은 층의 복잡성이 드러납니다.

사법 기관의 목표는 수사 중에 가능한 한 많은 정보를 수집하는 것입니다. 이 목표는 칭찬할 만하지만 막대한 대가를 치러야 합니다. 좀 더 깊게 들어가 보겠습니다. 공격자의 통신을 캡처하고 저장할 수 있습니다. 그러나 이 통신 중 특정 유형은 암호화됩니다. 정부에서는 공공의 이익에 큰 위협이 된다면 이 통신을 신속히 검색하고 분석할 수 있어야 한다고 생각합니다.

소비자는 위험 부담의 정도에 따라 개인 정보와 안전을 걱정할 수 있습니다.   예를 들어 미국에 거주하는 대부분의 미국 시민은 특별 액세스를 외국 정부로 확대하는 것에 반대합니다. 하지만 이러한 국가에서 거래하는 비즈니스가 합법적으로 이러한 기능의 사용을 차단하려면 어떻게 해야 하는지는 알 수 없습니다.

비즈니스는 소비자의 요구를 지원하는 동시에 정부의 규정을 충족해야 하는 중간에 끼어 있는 경우가 많습니다. 특별 액세스 또는 백도어 액세스의 경우 제기되는 제안에 따라 비즈니스를 수정할 것을 요구받습니다.

RSA와 같은 기술 공급업체에서는 다음과 같은 네 가지 문제를 제기했습니다.

  1. 우리는 현재 영상 관제의 황금기에 살고 있습니다. 사법 기관에서는 막대한 개인 관련 데이터에 액세스할 수 있습니다. 마지막 한 방울까지 다 마셔서 추가로 얻을 수 있는 가치가 그렇게 클까요? 많은 경우 보상은 빠르게 감소하고 부수적으로 들인 모든 노력은 헛수고가 되고 있습니다.
  2. 데이터에 대한 특별 액세스는 근본적으로 보안을 약화하고, 추가 장애 지점을 늘리고, 시스템 복잡성을 현저하게 증가시킴으로써 상당한 위험을 야기합니다.
  3. 지금 이대로도 안전한 시스템을 설계하기는 충분히 어렵습니다. 아직도 그 방법을 모릅니다. 그래서 전체 업계가 여기에 몰두하고, RSA와 같은 회사가 존재하는 것입니다. 특별 액세스를 추가하면 나쁜 상황이 최악의 상황이 됩니다.
  4. 이 프로세스는 악몽과 같은 절차를 거쳐야 합니다. 특별 액세스를 누구에게 허용하고, 누구에게 허용하지 않을지를 어떻게 결정할 것입니까? 이러한 기능의 남용을 방지할 검사 및 기준은 어떻게 시행할 것입니까? 국제 관할권의 사례는 어떻게 처리합니까?

범죄자, 테러리스트 등의 적대적 상대는 이 논쟁을 조용히 지켜보고 있습니다. 이들은 정책 결정자 및 사법 기관에서 생각하는 만큼 이 논쟁에 관심이 없을 수도 있습니다. 이미 좀도둑이 지문을 남기지 않기 위해 장갑을 사용하거나 영상 관제 카메라에 신원이 노출되는 것을 피하기 위해 스키 마스크를 쓰는 것만큼 쉬운 방법으로 방대한 암호화 툴에 액세스할 수 있기 때문입니다. 미국의 적을 비롯하여, 정교한 위협 행위자는 그 결과에 더 관심을 가질 수 있습니다. 시스템에 대한 특별 액세스가 필요하다고 결정된다면 이들은 약화된 시스템을 차후에 악용할 수 있다고 생각할 것입니다.

우리는 지금 인터넷 시대에서 가장 중대한 의사 결정을 내려야 하는 갈림길에 서 있습니다. 이는 보안과 개인 정보 보호 사이의 이원론적 문제가 아니라 더 방대하고, 다원적이며, 미묘한 문제로, 무한대의 가능성이 존재합니다. RSA는 정부의 특별 액세스가 보안 시스템 설계의 근본 원칙에 상반되기 때문에 ‘특별히’ 잘못된 생각이라고 믿습니다.

No Comments