국가안보상 필요성 확대 불구 보안 취약해 악용소지 높아
미 정부, 기업에 고객 정보 제공 요구 거세져
미성년자 온라인 보호법(COPA) 시행의 일환으로 인터넷 업체들에게 검색 용어나 URL 검색 결과를 비롯해 다양한 정보를 요청한지 얼마 되지 않아 미국 법무부는 이보다 한층 강화된 법안을 시행하기에 이르렀다. 미국 법무장관인 알베르토 곤잘레스는 구글과 AOL, 버라이존 등의 업체들에게 가입자 정보나 기타 고객 데이터를 최소 2년 동안 유지, 정부가 범죄자 조사를 필요로 할 때마다 데이터를 제공해줄 것을 요청하고 있다. 현재 인터넷 업체들의 경우 모든 데이터를 저장해놓아야 한다는 의무 규정은 없다.
사람들은 정부 기관이 범죄나 테러리스트와 싸우는데 필요한 데이터를 보유하고 있길 바라지만 개인의 신원 정보인 이름과 주소, 사회보장번호, 웹 검색 기록 등에 대한 잠재적인 오용의 가능성이 제기될 수 있다.
최근 유럽 재판소는 유럽집행위원회와 국토안보 세관이민국 간에 체결된 데이터 공유 협약에 대해 유럽의 프라이버시 법에 위반된다며 무효 판결을 내렸다. 양측의 협정은 테러리스트를 막기 위해 2004년부터 고안된 것이다.
이에 따라 양측은 데이터 공유 방법에 대해 다른 대응책 마련에 부산한 움직임을 보이고 있다. 이는 정부 기관이 기업의 데이터를 공유하는 사례 중의 하나이다. 미국 국가안전보장국은 AT&T를 비롯한 통신 회사들로부터 방대한 전화 통화 내역을 받고 있다. 트럭 회사들은 미국으로 들어갈 경우 화물에 대한 보고가 의무화되어 있다. 금융 회사의 경우는 의심스러운 거래 내역을 보고해야 한다. 또한 소환장을 발부해 개별 회사들로부터 데이터를 확보하고 있다.
연방 정부기관들의 기업 데이터 공유는 대부분 성공적으로 이루어져왔다. 9/11 테러 공격 이후, 정부는 운송 업체 특히 항공 업체들과 협력해 승객과 직원들의 정보를 넘겨 받아 테러리스트 목록과 대조해보고 있다. 항공 회사들의 경우, 컴퓨터를 통한 승객들의 사전 스크린 시스템인 CAPPS II이나 시큐어 플라이트(Secure Flight)라 불리는 테러감시자 명단 검색 시스템의 일환인 국토안보 프로젝트에 따라 탑승객과 항공사 직원의 자료를 제공하고 있지만 데이터 분실이나 오용의 가능성이 제기되고 있다.
프라이버시 옹호론자들은 수백만 건에 이르는 데이터의 양과 저장되는 기간, 제공되는 데이터의 범위 등을 걱정하고 있다. 이번 협약에 따라, 유럽의 항공사들은 관세이민국에 최대 34비트의 탑승객 정보를 제공해야 하는데, 탑승객 정보에는 이름을 비롯해 항공권을 현금으로 구입했는지 혹은 카드로 결제했는지 등의 구매 방법에서부터 기내식으로 무엇을 주문했는지 등이 포함되어 있다.
국토안보국은 최대 3년 6개월 동안 해당 정보를 보유할 수 있다. 이번 협정은 유럽연합 법원이 정한 만료시한 9월30일 전에 재협상이 될 예정이다. 데이터 공유가 매우 정밀하고 조심스럽게 시행되고 있지만 또 다른 문제가 있다. 미국 질병통제 및 예방 센터는 조류 독감의 발발에 대비해 국제 항공사들에게 탑승객들의 긴급 연락처 정보를 6개월 동안 저장해둘 것을 요청하고 있다. 유럽항공연합의 정보 관리자인 데이비드 핸더슨은 "이러한 요청을 수행하기 위한 인력과 비용이 만만치 않다"고 밝혔다.
'국가안보영장'이라는 이름으로 무소불위의 파워 과시
정부는 소환장이나 '국가안보영장'의 형태로 데이터를 요청하고 있다. 소환장은 판사의 승인을 받아야 하며 구글이 올해 초에 했던 것처럼 비즈니스에 어려움을 겪게 하거나 너무 모호할 경우 기각될 수 있다. 국가안보영장은 판사의 서명을 받지 않아도 되는 FBI가 발부하는 소환장으로, 은행과 보험, 전화, ISP와 신용 기록을 확인할 수 있다(의료 기록은 제외). 일반적인 소환장과는 달리, 국가안보영장을 받은 기업들은 거부할 권리가 없다.
FBI는 국가안보영장을 남용하고 있는 것처럼 보인다. 워싱턴 포스트는 지난해 정부가 3만 건의 영장을 발부했다고 보도했다. 법무부 대변인은 워싱턴 포스트의 보도가 정확하지 않다고 지적했지만 얼마나 발부되었는지는 확인해주지 않았다. 법무부는 검찰이나 검사가 발부한 소환장이 얼마인지 추적하지 않는다. 게다가 법무부는 영장의 수신자에게 부과되는 비용을 모니터링 하지도 않는다. AOL의 경우 수십 명의 직원들이 연간 12,000건의 법률 집행 요청을 처리하고 있다. 이러한 요청의 1/5는 정보 공유에 관한 것이다.
한편, 기본원칙도 바뀌고 있다. ISP 업체들의 전자 정보 제공을 의무화한 미국에 이어 유럽 의회와 법원은 지난해 12월 통신 업체들이 전화와 인터넷 기록을 2년 동안 저장토록 해 테러방지 조사에 협조해야 한다는 법안을 승인했다. 마이크로소프트는 '유럽의 데이터 저장 및 유지 법안'에 따르기 위해 내부 데이터 유지 정책을 재검토하고 있다고 밝혔다.
기업들은 정부의 데이터와 정보 요청에 대해 때때로 거부하고 있다. 구글의 경우가 그러하다. 구글은 법원의 규칙에 따르면서도 법무부가 처음에 요청했던 것보다 훨씬 적은 데이터만을 제공했다. 구글의 변호사인 니콜 웡은 "법원이 정한 내용이 정부나 그 누구도 인터넷 업체들로부터 데이터를 요청할 때 '백지 위임장'을 가진다는 것을 의미하지는 않는다"고 회사 블로그에서 밝혔다.
소규모 ISP인 Lariat.net의 브렛 글라스 사장은 정부로부터 고객 데이터에 대한 요청을 받아본 적이 없으며 만일 요청을 받는다면 이를 거부할 것이라고 말했다. 그는 "연방 정부나 의회 또는 FCC 등 누구라도 우리에게 데이터를 제공하라고 요청해온다면 법률적인 소송을 정식으로 제기할 것"이라면서 "데이터는 우리의 것이 아닌 고객의 것"이라고 밝혔다.
컨설턴트인 리차드 윈터는 데이터를 공유하는 기업들의 경우 기술적인 문제가 있다면서 특히 중앙의 데이터 웨어하우스를 보유하고 있지 않을 경우 어려움이 있다고 말했다. 그는 정부 기관들이 여러 IT 시스템에 분산된 자료를 찾는 것은 쉽지 않을 것이라면서 많은 기업들이 분산된 데이터를 한 곳에 모아 회사 내부에서 사용하는 데에도 상당한 작업이 요구된다고 지적했다.
데이터 공유는 예민한 문제이다. 어스링크와 마이크로소프트, 비자 등은 이에 대해 공식적인 언급을 하지 않고 있으며, 구글은 정부의 소환장을 받은 것은 인정하지만 구체적인 수치는 밝히질 않고 있다.
비즈니스에 도움되지 않으면서 '부담'만 가중
국토안보부와 EC의 협정은 시큐어 플라이트 프로그램보다 한층 강화된 것이다. 미국 운송보안국(TSA)은 지난해 10월, 탑승권을 가진 탑승객을 테러리스트 목록과 비교해보는 등 실시간 트랜잭션 데이터를 통합하려는 시큐어 플라이트의 계획이 항공사의 IT 시스템을 업그레이드하지 않고는 구현하기 어렵다고 인정한 바 있다.
일부 항공사들은 고객의 프라이버시를 보호하는 것을 넘어선 행위에 대해 공개적으로 불만을 제기해왔다. 제트블루(JetBlue)는 액시엄(Acxiom)을 위탁 업체로 선정해 150만 명 이상의 승객 정보 5백만 건을 토치 컨셉트(Torch Concepts)에 이관하기로 한 2003년의 시도에 많은 비난을 받은 바 있다. 토치 컨셉트는 군사 시설에 접근을 시도하는 사람들의 특성을 분석하는 데이터 마이닝 툴을 개발하고 있다. 제트블루는 TSA의 공식 요청 문서를 받은 다음에 참여하기로 동의했었다. 훗날 제트블루의 CEO인 데이비드 닐맨은 데이터 제공이 자사의 프라이버시 정책을 위반한 것이라고 시인했다.
안보 이유로 인해 항공 업계는 정부가 주도하고 있는 데이터 공유 프로젝트에 참여해야 하는 필요성을 이해하고 있다. 하지만 미국과 유럽의 업계 전문가들은 미국 정부가 더욱 체계적으로 조직화해야 할 것을 촉구하고 있다. 항공사들은 미국을 목적지로 향해 가는 항공기에 탑승한 승객의 정보를 이륙 후 15분 내에 제공할 것을 요구하는 TSA 시큐어 플라이트 프로그램과 관세이민국의 API(Advanced Passenger Information) 프로그램에 적용 받는 것을 원치 않고 있다.
항공운수협회의 CEO인 제임스 메이와 유럽항공협회의 회장인 울리히 슐레트-스트라트하우스는 국보안보부 장관인 마이클 처토프에게 보낸 서한에서 "두 프로그램은 긴밀한 협력 하에 기능을 발휘해야 하며 커뮤니케이션이나 프로그래밍, 정보 요청에 대한 불필요한 복제 행위가 없어야 한다"고 언급했다. 메이와 슐레트-스트라트하우스는 시큐어 플라이트와 API가 정부의 항공탑승 금지자 명단을 대신하거나 항공사로부터 요청한 데이터가 복제되지 않도록 요청했다.
금융 서비스 회사들은 정부 기관이 아닌 누군가에게 데이터가 넘어가는 것을 원치 않고 있으며, 테러리스트의 금융 거래를 막는 선에 그쳐야 한다고 요구하고 있다. 미국 재무부의 금융 범죄에 관한 의심스러운 행동 보고서(SAR) 파일은 1996년 처음 요청한 이후 매년 증가해 지난 해에만 919,000개의 보고서가 작성되었다.
은행들은 SAR에 대해 우려를 표명하고 있는데 특히, 애국법(Patriot Act)이 제정된 이후 이를 위반할 경우 최대 100만 달러의 벌금이 부과되며 최악의 경우에는 금융 회사의 면허가 취소될 수 있다. 450여 개의 지점을 운영하고 있는 자이언스 뱅코프의 기업 규제 준수 매니저인 켈리 이더링톤은 "9/11 이후 규제가 극도로 심해졌다"고 말했다. 다른 은행들과 마찬가지로, 자이언스는 의심스러운 행동을 언제나 보고하고 있지만 법 집행 요청이 지난 수년 동안 크게 높아지고 있는 상황이다.
미국의 100대 금융 서비스 회사들의 컨소시엄인 BITS의 존 칼슨 이사는 SAR에 대해 "금융 회사들에게 아무런 이점도 제공하지 않고 부담만 안겨주고 있다"고 토로했다. 그는 업계의 과도한 규제와 고객 프라이버시를 보호해야 하는 이중고를 안고 있는 금융 업종의 입장을 대변하면서 법적인 기반이 없거나 법원이 발부한 공식 문서가 없이는 정부 기관에 데이터를 제공하지 않을 것이라고 밝혔다.
보안상 취약해 제공된 정보 악용 소지 커
정부 기관들이 수집한 기업 정보와 인터넷 데이터로 할 수 있는 일은 무엇일까? 일부 회의론자들은 모든 정보가 하나로 묶인 방대한 데이터베이스가 전체 시민들의 정보로 쌓일 수 있다고 걱정하고 있다. 국방기관의 연구원들이 수년 전에 이러한 방법으로 테러리스트를 알아내기 위해 데이터 마이닝 작업을 진행했던 사례도 있어 충분히 가능한 얘기로 들린다. 이 프로그램은 당시 여론의 악화에도 불구하고 2년 이상이나 진행된 바 있다.
다소 다르지만 연관성이 있는 우려 사항은 한 가지 목적으로 수집된 데이터가 다른 목적으로도 사용될 수 있다는 점이다. 최근 USA Today는 FBI가 범죄자들로부터 수집한 DNA 증거 자료를 사용해 신원이 확인되지 않은 수많은 사망자의 신원을 확인할 계획이라고 보도했다.
또한 일단 연방 정부 손에 넘어간 데이터는 보안을 확신할 수가 없게 된다는 우려도 있다. 지난 5월 미국 보훈부에서 발생한 2,650만 전역군인 및 가족들의 신상 정보 도난 사건을 보면 납득이 가는 주장이다. 보훈부는 전에도 보안이 취약하다는 지적을 받아왔지만 제대로 된 보안 정책이 실행되지 않았다. 보안은 많은 데이터가 축적되고 오랫동안 저장되는 기관에서 그 중요성이 더욱 커지고 있다.
암호화가 한 해결책이 될 수는 있지만 암호화된 데이터는 쉽게 검색하기가 어렵기 때문에 정부 기관에서 사용하는데 어려움이 따른다. 기업과 정부 기관의 데이터 공유는 결코 쉽지 않은 과제임에 틀림없다.
Larry Greenemeier <lgreenem@cmp.com>
유럽연합과 미국 정부 기관의 데이터 공유 논란
지난 5월30일, 유럽 재판소는 미국과 유럽이 미국으로 가는 항공기 탑승객의 데이터를 공유하도록 체결한 협정에 대해 무효 판결을 내렸다. 이번 판결은 미국 정부가 소환장을 사용해 인터넷 회사들로부터 데이터를 취합하려는 시도에 대해 어려움을 겪게 하는 계기가 될 전망이다.
유럽 재판소는 유럽 연합의 항공사들이 컴퓨터 예약 시스템에 저장된 승객에 대한 정보를 미국행 항공기가 이륙한 후 15분 이내에 미국 세관이민국에 전송해야 한다는 것을 골자로 한 2004년 협약에 대해 불법이라고 판결을 내렸다. 이에 따라 유럽 위원회의 변호사들은 9월30일까지 새로운 데이터 공유 협약에 대한 초안을 마련하거나 항공사와 정부 기관간의 갈등을 그대로 내버려둘 수밖에 없게 되었다.
이는 또한 기업들이 데이터에 대한 정부의 요청에 대응하는 서로 다른 방법을 제시하고 있다. 일부 항공사들은 요청을 따르고 있지만 거부하고 있는 항공사도 있어, 유럽연합이 의무조항으로 만들 것인지의 여부를 강요하고 있다. 유럽 의회가 처음에는 협약이 충분하다고 판단했지만 데이터 보호 문제가 법정으로 가게 되었다.
2004 협약은 미국 정부가 어떠한 정보를 언제, 얼마나 오랫동안 보유해야 하는지 규정한 매우 특별한 협정이었다. 승객 데이터는 테러 방지와 심각한 범죄 예방 차원에서만 사용될 수 있었다. 조사와 무관하다면 데이터는 3년 6개월 이상 보관이 불가능했다. 다른 어떤 정부 기관도 세관이민국의 데이터베이스에 직접 접근할 수 없었다. 세관이민국은 EU 항공사 예약 시스템으로부터 승객 정보를 전송 받을 수 있지만 인종이나 종교, 의료 기록 등과 같은 민감한 정보는 걸려내는 자동 시스템을 구현할 경우에 한해서만 허용된다. 이제 데이터 공유가 불법이라는 판결이 내려진 상황에서, 이해 당사자간의 협약만으로는 충분하지 않게 되었다.
IBM, 데이터 마이닝 툴 강화
정부 기관들이 데이터를 수집하게 되자, 이를 활용할 수 있는 방안을 모색하게 되었다. IBM은 정부 기관들이 테러리스트와 범죄자를 체포하기 위해 원본 데이터를 분석할 수 있게 해주는 기술과 기업을 하나로 집중시키고 있다.
IBM은 지난해 공공 및 사설 데이터베이스의 결합을 통해 범죄 행위를 밝혀낼 수 있는 소프트웨어 개발 업체인 SRD를 인수했다. SRD의 소프트웨어는 테러리스트로 알려진 사람과 통화한 사람의 전화번호를 알아낼 수 있다. SRD의 설립자였으며 현재는 IBM의 분석 솔루션 그룹의 과학자인 제프 조나스는 "모든 기관들이 경쟁자나 적들보다 많은 데이터를 확보하고 싶어한다. 이는 미국 정부도 예외가 아니다"라고 말했다.
조나스는 어떤 정부 기관이 자사 소프트웨어를 사용하고 있는지는 밝히지 않았다. SRD는 중앙정보국(CIA)의 벤처캐피털 자회사인 In-Q-Tel로부터 투자를 받은 바 있다. 이 기술은 또한 라스베가스 카지노에서 사용되어 직원과 고객간의 의심스러운 커넥션을 탐지하는데 활용되고 있다.
IBM은 항공기 탑승객에 대한 정보 공유에 대한 미국과 유럽의 규제 기관 간의 협약에 대한 판결을 해결하기 위해 SRD 소프트웨어를 판매할 계획이다. DB2 AR(Anonymous Resolution)은 두 가지 데이터로 암호화해 사용자가 규정한 범주를 토대로 대조해보며 데이터는 암호화된 상태로 남아있어 판독할 수 없다. 이러한 설정을 통해 미국과 유럽연합 국가 기관들은 미국의 탑승금지 목록에 올라 있는 사람들의 신원 확인이 가능하다. 조나스는 "유럽연합의 불법 판결 이후 프라이버시를 보호하는 동시에 자료 검색이 가능한 솔루션이 될 수 있을 것"이라고 기대했다.
IBM은 언어분석시스템을 개발하고 있는 LAS를 인수하면서 분석 제품을 확장하고 있다. LAS는 사람들이 이름을 조금 바꾸더라도 원래의 이름과 대조하여 바뀐 이름을 밝혀내는 소프트웨어를 개발하고 있는데, 미국 정부기관들은 이러한 분석 시스템을 통해 테러리스트가 이름을 바꾸어 비행기에 탑승하더라도 이를 잡아낼 수 있을 것으로 기대하고 있다. 이 소프트웨어는 국토안보부와 FBI, 미국 세관이민국에서 사용되고 있다.