국내에서는 테러방지법, 미국에서는 백도어 이슈로 인해 2월 통신 시장이 떠들썩했다. 정부 특정 기관이 특정 스마트폰의 정보를 알아내는 목적은 같지만 엄밀히 말하면 백도어와 테러방지법은 좀 다른 편이다. 백도어에 대해 알아보자.Araboza

보통 아파트에 이런 뒷문이 있다(출처: flattop341)

백도어=뒷문

백도어처럼 이해가 쉬운 영단어가 잘 없다. 직역해도 뜻이 완벽하게 들어맞는다. Back=뒤, door=문이니까 말이다. 이 단어를 주로 쓰는 미국이나 유럽에서는 단독주택에 사는 경우가 많고, 단독주택에는 보통 차고 혹은 뒤뜰로 향하는 뒷문이 존재한다.

아파트에서도 마찬가지. 이는 보통 주인을 위한 것이지만 사이버 세계에서의 뒷문은 손님을 위한 것이다. 손님이 주인 허락을 받지 않고 마구 드나들 수 있는 게 뒷문이다. 손님이 마구 드나들 수 있다면? 그렇다. 당연히 불법이다. 백도어는 해킹의 기본적인 수법으로, 보통 특정 소프트웨어에 심겨져 주인의 사생활 정보를 들여다보는 용도로 사용된다.

그냥 문과 뒷문의 차이

백도어도 결국은 그냥 문일 뿐인데, 왜 문제가 되냐 하면 정상적인 절차를 거치지 않기 때문이다. 지금 이 글을 쓰는 곳은 뉴욕의 한 아파트인데, 미국의 괜찮은 아파트에는 깡패보다 더 무서운 형들이 입구를 지키고 있다. 눈 마주치면 의심하는 눈으로 쳐다보는데 오줌이 마려울 정도다.

아파트 입구에는 ‘모든 주거인은 사진이 포함된 ID를 지참해야 들어올 수 있다’는 문구가 써있다. 들어오기 위한 ‘허가’를 받는 것이다. 사진이 꼭 있어야 하는 이유는 요즘 교통카드처럼 찍는 보안키가 많은데, 이 경우도 해킹이 가능하기 때문이다. 수상한 사람이 오면 무서운 형들이 사진을 확인하고 교통카드를 찍게 한다.

(자랑 주의) 맨하탄 고급아파트는 보통 이렇게 생겼고 1층에 무서운 형들이 꼭 있다

백도어는 뒷문이다 보니 이러한 절차가 다소 생략돼 있다. 사진을 확인하지 않고 카드만 띡하고 찍으면 해킹을 통해 아파트에 입주할 수 있는 것. 무서운 형들을 만나지 않아도 되니 사진도 필요없다. 엄연한 불법 침입이다.

캐나다(토론토)에서 머문 적도 있었는데, 도시마다 다르겠지만 토론토는 뒷문에 띡하고 찍는 것도 큰 문제가 없고, 입구에도 아저씨가 아닌 인상 좋은 할아버지가 상주하고 있었다. 이는 테러 위협이 많은 미국과 범죄 혹은 테러에 대한 긴장상태가 낮은 캐나다의 차이에서 기인한다. 미국 캐나다 이야기를 왜 하나면 자랑하고 싶어서. 회사 짤리고 여행 왔지만 그래도 자랑은 일단 해야지.

무서운 형=보안시스템, 포토 ID=접근 권한

위의 이야기에서 무서운 형과 포토 ID를 다른 말로 바꾸면 해킹과 백도어에 관한 이해가 쉽게 갈 것이다. 각 OS는 각 손님에게 접근권한을 부여해 해당 OS에 진입할지 말지를 결정한다. 예를 들어 여러분의 아이폰에서 쓰는 iOS가 무서운 형이라고 하면, 이 무서운 형은 앱을 깔았을 때 핸드폰의 어느 정보까지 접근할 수 있는지를 집주인에게 꼭 물어본다.

집주인은 바로 당신이다. 그래서 앱을 깔고 뭘 실행하면 손님은 어떤 기능을 허가해달라고 주인에게 조르게 된다. 예를 들어 사진 보정 앱을 아무거나 깔아보자. 그러면 사진 보정 앱에서 꼭 필요한 ‘카메라 접근 권한’과 ‘포토 앨범 접근 권한’을 달라고 손님(앱)이 조르는데, 사용자는 이걸 건네줘야 이 앱을 똑바로 사용할 수 있으므로 건네주게 된다. 이 경우 사용자의 사진첩에 접근할 수 있게 되지만 사진을 어디다 보내는 권한은 안 주므로 사진첩이 털릴 걱정은 하지 않아도 된다.

즉, 집 일부만 공개하고 보여주기 싫은 안방이나 컴퓨터(중요)는 안 보여줘도 되는 것. 보여주기 싫은 컴퓨터를 열어보려고 하면 무서운 형들이 와서 다시 쫓아낸다.

온화한 얼굴의 팀 쿡은 이번만큼은 강경했다

애플의 백도어 사건=무서운 형에게 포토ID를 좀 느슨하게 보라고 하는 것

지난 2월 미국에서는 한 부부가 총기를 난사하는 ‘묻지마 총격 사건’이 있었고 총 14명이 사망했다. 그런데 이 테러범이 사용하는 스마트폰은 아이폰 5c였다. 이에 미국 법원은 애플에게 ‘백도어’를 제공하라는 명령을 내린 바 있다. 법원이 제공하라고 한 내역은 세 가지다.

1. 비밀번호 10번 이상 오류 시 기기 내 데이터 자동 삭제 기능 해제
2. 손이 아닌 컴퓨터로 비밀번호를 반복 입력하는 방법 제공
3. 비밀번호 오류 시 일정 시간 동안 입력을 제한하는 기능 해제

1번의 경우엔 두말할 것 없이 최고의 보안 기능이다. 2번의 경우 애플이 겪었던 ‘패프닝(Fappening, fapping+happening)’ 때문에 더 강력해졌다. 제니퍼 로렌스를 비롯한 여러 할리우드 스타의 스마트폰 계정을 컴퓨터로 반복 입력-탈취하는 사건을 말하는데, 스타들이 직접 찍은 사생활이 다 노출되는 지경에 이르렀다. 3번의 경우 패프닝 사건과 유사하게, 자신이 비밀번호를 틀리면 재입력 가능한 시간이 점점 늘어나는 기능이다. 이 세 개의 기능만으로도 상당한 해킹 방어가 가능하다.

미국 정부기관은 ‘특정 사용자’에게 ‘특수 상황’에서만 사용할 것을 약속했다. 즉, 저 테러범에게만 사용할 거라고 한 것인데, 애플 CEO인 팀 쿡은 이에 “정부는 이 도구를 제한적으로 사용할 것이라고 말하겠지만, 그런 식의 통제가 이뤄질 거란 장담은 어디에도 없다”고 반박했다. 팀 쿡 개간지.

즉, 좀 근엄한 손님(미국 정부)이 무서운 형에게 “우리만 들어갈 수 있는 문 하나만 만들자. 이번 한 번만 들어갔다가 잠깐 보고 나올게”라고 말한 것이고, 융통성 없는 무서운 형이 이를 거부한 것이다. 근엄하거나 좀도둑인 것과 상관없이 여러분은 여러분 집(스마트폰)의 주인이다.

이에 미국 정부는 “애플의 마케팅이다”며 반박했고, 다른 IT 기업(삼성전자, 페이스북, 구글 등)은 애플의 결정을 지지했다. 그럼 왠지 덜 무서운 형이 지킬 것 같은 다른 집(삼성)은 어떨까? 삼성 역시 백도어를 거부하고 있다. 적절한 타이밍에 팀 쿡처럼 나와서 선빵을 못친 것뿐이다. 다만 안드로이드 자체가 아이폰에 취약점이 있으니 ‘허가되지 않은 사용자가 등록한 앱’은 최대한 안 까는 게 좋겠다. 나도 모르게 뒷문을 열어주는 꼴이 된다.

백도어의 문제점은 국가가 집에 들어오는 것뿐만이 아니다. 일단 백도어를 만들어놓으면, 다른 도둑도 들어올 수 있다. 수준이 높은 해커가 침입할 수 있다는 말이다. ‘텔레그램’의 젊은 사장 파벨 두로프는 이를 두고 “테러리스트에도 도움이 되는 것”이라고 말했다. 파벨 두로프는 러시아판 페이스북인 브콘닥테(VK) 창립자이며, 러시아 정부의 개인정보 요구에 불응해 망명한 젊은 개간지다.

VK, 텔레그램을 만든 파벨 두로프

다시 말하지만 지금 뉴욕에서 글을 쓰는 중인데(자랑 맞다), 뉴요커는 대부분 아이폰 아니면 갤럭시를 쓴다. 프라이버시, 인권, 표현의 자유 등을 최고 가치로 생각하는 미국인들이 쓰는 폰이라면 어느 정도 믿어도 될듯싶다. 사대주의 같아 보이지만 굳이 자랑하려고 쓴 단락이니 넘어가자. 아 참 LG폰은 수만명 만나는 중 한 명 봤다. 소니도 한 명.

테러방지법=다크 나이트

영화 ‘다크 나이트’에서 배트맨(브루스 웨인)은 심각한 테러범 조커를 방지하기 위해 개부자인 자신의 집에 감청 시설을 만든다. 실제로 있는 기술은 아니다. 원리는 모든 주파수에서 발생하는 데이터를 돌고래나 박쥐처럼 튕겨나오는 것들로 인식해 사물의 모양을 파악하고 음성을 들을 수 있도록 하는 것. 실제로 화면에 사람들의 모습이 표현된다.

이를 두고 배트맨의 회사 사장인 루시우스 폭스(모건 프리먼)는 미국인답게 ‘비도덕적’이라며 비난했다. 배트맨은 결국 조커가 도망치고 나서 이 기기를 파괴한다.

테러방지법에 사용되는 감청은 이것과 비슷하며 현실적이다. 그냥 통신사에게 데이터를 받는 것이다. 간단하고 합리적이다. 손님 입장에서는 그렇다. 물론 아무 집주인이나 골라서 들어간다는 건 아니다. 다만 팀 쿡의 말처럼 악용될 소지가 있는 것도 사실이다.

배트맨과 감청 장치

테러방지법이 발현될 경우 ‘테러범 의심’인 자의 문자와 전화 내용은 감청된다. 즉, 무서운 형의 개입 없이 집에 아이용, 반려동물용, 안전용으로 설치해놓은 CCTV를 볼 수 있는 것이다. 무서운 형은 입구를 통하지 않았으니 이를 막을 수 없고, 집주인은 CCTV를 누가 보는지 알기 어렵다. 실제 CCTV라면 철거할 수 있겠지만 이는 철거할 수 없는 CCTV다.

일단 테러방지법은 통과됐고, 애플의 백도어는 거부됐다. 즉, 집에 도둑이 들어올 염려는 점점 줄어들고 있다. CCTV는 잘 모르겠다. 최대한 여러분의 사생활을 지키기 위해 노력하길 빈다.