안드레스는 오직 날씨만 묻습니다
안드레스는 베네수엘라 사람입니다. 그는 동네 과일 가게에서 수년째 일하고 있습니다. 어느 날 저는 그에게 정권이 가장 가혹했던 시기, 고향에 있는 가족들의 안부를 물었습니다.
"제 고향은 항상 날씨가 좋습니다." 그가 대답했습니다.
이해가 되지 않아 다시 물었습니다. 그러자 그는 이렇게 설명했습니다. "가족들과는 왓츠앱(WhatsApp)으로만 연락할 수 있어요. 전화가 잘 안 되거든요. 하지만 메시지를 쓸 때는 정말 조심해야 합니다. 누군가 대화를 엿볼지도 모르니까요. 우리가 아는 건, 언제든 누구든 체포될 수 있고, 체포되면 가장 먼저 휴대전화를 열어본다는 사실입니다. 비밀번호를 말하지 않으면 말할 때까지 때리고 독방에 가둡니다. 그리고 왓츠앱에서 마음에 들지 않는 내용이 발견되면, 운이 좋으면 구타와 며칠간의 구금으로 끝나지만, 운이 나쁘면 그 사람은 사라집니다."
"그래서 그들과 이야기할 때 저는 기본적으로 날씨가 어떤지만 묻습니다. 답장이 오면 적어도 그들이 살아있다는 건 알 수 있으니까요."
안드레스는 범죄자가 아닙니다. 숨길 것도 없습니다. 하지만 그는 채팅창에 적힌 문장 하나가 사랑하는 사람의 삶을 파괴할 수 있는 세상에 살고 있습니다.
프라이버시가 필요한 것은 범죄자만이 아닙니다
피고인의 방어 전략에 대해 의뢰인과 상담하는 변호사를 생각해보십시오. 그 대화는 정당하고 합법적이지만, 맥락을 벗어나면 치명적일 수 있는 정보를 담고 있습니다. 그 변호사는 그 대화의 비밀을 유지할 전문적이고 법적인 의무가 있습니다.
젊은 커플을 생각해보십시오. 여자는 부모님과 함께 삽니다. 그들은 친밀한 대화를 나누며, 이는 완전히 정당하지만 그들의 가장 사적인 영역에 속합니다. 그들은 그 대화가 해킹당하거나, 팔리거나, 법적으로 요구될 수 있는 서버에 존재하지 않도록 할 권리가 있습니다.
세금 최적화에 대해 세무사와 상담하는 프리랜서를 생각해보십시오. 그가 법의 어느 경계선에 있든 그것은 그의 문제입니다. 그들이 사무실에 앉아 대화한다면 아무도 엿듣지 못할 것입니다. 원격으로 대화한다고 해서 왜 상황이 달라져야 합니까?
혹은 미사일이 쏟아지는 가운데 파리에 있는 편집국과 연락하려는 이란의 기자를 생각해보십시오. 또는 고향에 남겨진 부모님과 대화하는 마드리드의 이민자를 생각해보십시오.
이 모든 사람들에게는 프라이버시가 필요합니다. 그들 중 누구도 범죄자가 아닙니다.
'완벽한 암호화'라는 함정
2018년, FBI는 암호화된 휴대폰을 판매하는 회사를 설립했습니다. 브랜드명은 'Anom'이었습니다. 시장에서 가장 안전한 대안으로 홍보되었습니다. 3년 동안 100개국 이상에 12,000대 이상의 기기가 배포되었습니다. 사용자들은 전적인 신뢰를 가지고 대화했습니다.
그들이 몰랐던 사실은 모든 메시지가 FBI 서버로도 전송되었다는 점입니다. 모든 단어, 모든 사진, 모든 계획이 말입니다.
2021년 6월, '트로이의 방패 작전(Operation Trojan Shield)'이 세상에 공개되었습니다. 16개국에서 800명 이상이 체포되었습니다. 역사상 최대 규모의 국제 공조 수사였습니다.
이것은 기술적 결함이 아니었습니다. 암호화는 진짜였습니다. 기술은 작동했습니다. 문제는 그 배후에 누가 있었고 그들이 무엇을 얻으려 했느냐는 것이었습니다.
이것은 이례적인 사례가 아닙니다. 50년 넘게 스위스 기업인 크립토 AG(Crypto AG)는 120개국 이상의 정부에 암호화 장비를 판매했습니다. 2020년까지 아무도 몰랐던 사실은 크립토 AG가 CIA와 독일 정보국의 비밀 소유였다는 점입니다. 장비는 작동했지만, 실제 소유주가 모든 내용을 읽을 수 있도록 의도적인 취약점이 심어져 있었습니다.
이란, 인도, 파키스탄, 바티칸, 남미의 군사 정권들이 모두 신뢰했습니다. 왜 누군가가 그토록 저렴하게 암호화 기술을 팔려고 했는지 아무도 의심하지 않았습니다.
항상 던져야 할 질문
누군가 당신에게 무언가를 제안했는데 그들이 대가로 무엇을 얻는지 이해할 수 없다면 의심하십시오. 모든 사람이 악의를 가졌기 때문이 아니라, 비즈니스 모델을 이해하는 것이 해당 서비스를 신뢰할 수 있는지 판단하는 가장 기본적인 방법이기 때문입니다.
왓츠앱을 사용할 때, 메타(Meta)가 무엇을 얻는지 당신은 알고 있습니다. 광고를 팔기 위한 당신의 데이터, 습관, 주의력입니다. 당신이 이에 동의하든 아니든, 적어도 그 거래 조건은 이해하고 있습니다.
하지만 누군가 광고도 없고, 구독료도 없으며, 눈에 보이는 비즈니스 모델도 없이 완전히 무료로 암호화 통신 서비스를 제공한다면, 암호화 기술이 좋은지가 중요한 게 아닙니다. 질문은 이것이어야 합니다. "누가 이것을 지원하며, 그 이유는 무엇인가?"
진정으로 중요한 것
프라이버시 도구를 평가하는 데 도움이 되는 징후들이 있습니다. 오픈 소스, 보안 감사, 유럽의 관할권 등입니다. 이들은 모두 긍정적인 요소입니다. 하지만 그 어떤 것도 절대적인 보증이 되지는 못합니다.
오픈 소스는 누군가 애플리케이션이 무엇을 하는지 검토할 수 있다는 뜻입니다. 하지만 솔직해집시다. 99.9%의 사용자는 코드 한 줄도 읽지 않을 것입니다. 그리고 수천 명의 사람들이 검토한 오픈 소스 프로젝트에서도 발견되지 않은 채 수년간 존재했던 심각한 취약점들이 역사에는 수없이 많습니다.
보안 감사는 가치가 있습니다. 하지만 감사는 돈으로 지불되며, 돈은 의지를 사는 가장 단순한 수단입니다. 감사는 검토된 당일에 코드가 깨끗했다는 것을 말해줄 뿐입니다. 그 이후에 무엇이 바뀌었는지는 알려주지 않습니다.
세계 최고의 코드를 가지고 감사를 받고 오픈 소스라 하더라도, 당신의 데이터가 서버를 거친다면—비록 1초라도, 암호화되어 있다 하더라도—누군가는 그 서버에 물리적으로 접근할 수 있습니다. 그리고 그 누군가는 판사, 정부, 혹은 거액의 뇌물이 어떤 문이든 열 수 있는 국가에 있을지도 모릅니다.
당신을 진정으로 보호하는 것은 "데이터를 읽지 않겠다"는 약속이 아닙니다. 당신을 보호하는 것은 데이터가 당신의 손을 결코 떠나지 않는 아키텍처입니다. 침해당할 서버가 없고, 유출될 백업이 없으며, 열 수 있는 백도어가 없는 구조입니다.
신뢰는 거저 주어지지 않습니다
Anom 사용자들은 제품이 작동했기에 신뢰했습니다. 크립토 AG 고객들은 브랜드가 존경받았기에 신뢰했습니다. 안드레스는 왓츠앱을 신뢰하지 않지만 대안이 없습니다.
프라이버시 도구에 대한 신뢰는 "잘 작동한다"는 사실에 기반해서는 안 됩니다. 배후에 누가 있는지, 그들이 무엇을 얻는지, 그리고 내일 그 회사가 문을 닫거나 소유주가 바뀌거나 외국 정부로부터 법원 명령을 받았을 때 당신의 데이터에 어떤 일이 일어나는지 이해하는 것에 기반해야 합니다.
다음에 누군가 보안 메신저 앱을 추천한다면, 기능이나 디자인부터 보지 마십시오. 누가 돈을 내고 있는지 보십시오. 대답이 납득되지 않는다면 다른 앱을 찾으십시오.