EU에 말하세요: "Chat Control"로 암호화를 깨지 마세요

 (mozillafoundation.org)
2P by GN⁺ 6시간전 | ★ favorite | 댓글 1개
  • 클라이언트 측 스캐닝은 암호화 전에 기기에서 메시지나 파일을 검사하는 방식임
  • 이 방식은 아동 보호 목적으로 선전되지만, 실제로는 암호화의 핵심 약속을 훼손함
  • 오탐과 보안 취약점을 야기할 확률이 높은 탐지 도구가 사용됨
  • 한 번 스캔이 허용되면 대상 범위가 확장되어 사생활 침해 위험이 높아짐
  • 결과적으로, 해당 기술은 모두의 보안성을 약화시키는 문제 발생

클라이언트 측 스캐닝(CSS)이란

  • 클라이언트 측 스캐닝은 사용자의 메시지, 사진, 파일을 암호화 전에 기기 내에서 검사하는 방법임
  • 이 방식은 대개 아동 안전 대책으로 홍보되는 중임

암호화 약속 훼손

  • 실제로 클라이언트 측 스캐닝은 암호화가 제공하는 보안성과 프라이버시 약속을 약화시킴
  • "미확인" 콘텐츠를 탐지하기 위한 도구는 오탐 가능성이 높고, 새로운 보안 취약점을 유발 가능성 존재함

적용 범위 확장 위험

  • 초기에는 아동 보호(예: CSAM) 등 제한적인 용도에서 시작되더라도, 이후 스캔 대상 콘텐츠의 범위가 쉽게 확장 위험 노출
  • 암호화가 약해질 경우, 해커의 민감 정보 탈취, 가해자의 취약자 추적, 권위주의 국가의 감시 등 다양한 위험 증가 현상 발생

실질적 보안 약화

  • 클라이언트 측 스캐닝은 실제 보안성 강화 효과 부족 현상 발생
  • 모두의 안전성을 약화시키는 결과로 이어짐
GN⁺ 6시간전  [-]
Hacker News 의견

  • 나는 이것을 모든 집에 감시카메라를 설치하는 것에 비유하는 것을 좋아함, 실제로 범죄를 탐지하거나 수사하는 게 쉬워질 것임, 그리고 정부는 영장 없이는 절대 보지 않겠다고 작은 손가락 걸기 약속도 할 수 있음, 실제로 약속을 지킬 수도 있음, 그러나 이런 식의 위험한 경사는 문제의 일부에 불과함, 더 위험한 것은 이런 시스템이 존재하는 한, 실제 사용 여부와 관계 없이 범죄조직이나 적대적 국가의 해커들이 가장 노릴 만한 표적이 될 것임, 스파이 행위, 협박 등 다양한 악용 가능성이 열림, 프라이버시와 보안이 심각하게 훼손됨

    • 자신들에게 면책 조항을 넣은 이유가 있음, 만약 안전하지 않다고 여기지 않거나, 유럽의회 의원들 사이에 아동 학대 관련 문제를 숨기고 싶어서 그럴 수도 있다고 생각함, 이제 이런 것에 반대하는 것을 일일이 설명할 필요가 없는 지점에 옴, 유럽의회 의원들에게 책임을 물어야 하고, 그게 안 되면 EU 전체에 책임을 물어야 한다고 생각함, 만약 그것도 안 된다면 이런 법에 대해 EU는 정당성이 없는 것임, 결국에는 국가 단위의 책임론으로 되돌아가야 함

    • 집 안에 카메라 감시를 하는 것과 비교하는 건 적절치 않다고 생각함, 집은 거의 내 소유이기 때문에 누가 카메라를 놓으면 가려버릴 수도 있고 치울 수도 있음, 만약 그걸 했다고 감옥에 간다면 이미 세상 자체가 디스토피아임, 휴대폰은 다름, 기본적으로 사용자가 완전히 소유하고 있지 않음, 부트로더가 잠겨 있고, 원하는 코드를 자유롭게 실행할 수 없음, 앱스토어가 있어서 무엇을 깔 수 있는지 정해줌, 결국 Apple/Google이 앱스토어에서 그 앱을 못 쓰게 할 수 있음

    • 현실적인 비교로는 ECHELON 시스템을 들 수 있음, 1971년부터 5 eyes 국가들은 대량 감시와 통신 스캐닝을 해옴, 네가 이런 비교를 싫어하는 이유는 이것이 새로운 현상인 것처럼 위기감을 조성하고 싶기 때문이라고 생각함, 니가 우려하는 모든 일은 이미 과거에 입증된 현실임

  • 만약 인권의 요새라고 하는 EU가 이런 법안을 밀어붙인다면, 더 권위주의적인 국가들이 Apple, Google, Meta에게 똑같은 것을 요구할 때 우리가 무슨 논리로 반대할 수 있을지 의문임

    • EU가 다른 지역보다 덜 심각하다고 해서 인권의 요새가 되는 것은 아니라고 생각함, 서구 어디나 마찬가지로 권력 싸움이 항상 존재함

    • 왜 그런 인권의 상징이라고 스스로를 포지셔닝하는지 궁금하지 않냐는 질문을 던짐, 너무 자주 반복해서 이제 모두가 믿고 있기 때문이라고 생각함

  • 왜 시범 적용을 먼저 하지 않는지 묻고 싶음, EU 국회의원들 간의 모든 커뮤니케이션부터 완전히 공개하면 어떻겠는지 제안함, 우리 모두가 그 암호화를 깨 보자는 취지임

    • “EU 내무장관들이 경찰, 군인, 정보요원 그리고 자기 자신마저 '채팅 관제' 대상에서 빼려는 건, 그들이 이 스누핑 알고리즘이 얼마나 위험하고 신뢰 불가한지 너무나 잘 알기 때문임”이라는 Pirate Party MEP Patrick Breyer의 말을 인용함, 그들은 실제로 군사기밀 등이 언제든 미국 손에 들어갈 수 있다는 걸 두려워하는 것임, 정부 통신의 기밀도 중요하지만, 일반 사업체와 시민 모두에게 똑같이 적용되어야 하고, 피해자들이 안전하게 소통하고 치유를 나누는 공간도 지켜져야 함, 오늘날 자발적으로 채팅을 감시하는 알고리즘에서 누출된 채팅의 대부분은 수사에 전혀 무관함(예: 가족사진이나 상호합의된 섹스팅 등), EU 장관들이 디지털 프라이버시와 보호받는 암호화의 파괴를 시민들에게만 강요하고 자기들은 빼려는 건 너무나 부당함

  • 많은 비 EU권 사람들이 이 이슈를 단순히 EU 문제로 치부한다고 생각함

    1. 너가 EU 사람과 메시지를 주고받은 적 있다면, 너도 '채팅 관제' 대상이 됨
    2. EU는 EU의 가치를 전파한다는 명목으로 다른 나라들에게 막대한 금액을 지원함, 이 "도움"을 '채팅 관제'를 조건으로 삼는 시점도 머지않았다고 봄
    • 만약 이번 건을 EU가 쉽사리 통과시킨다면, 다른 정부들도 그대로 따라 할 성공의 청사진을 얻는 셈임

  • Ylva Johansson(이번 법안의 창시자)는 스웨덴에서 인기 있어서 EU로 간 게 아니라, 2019년 사민당 정부에 의해 지명되었고, 커미셔너들은 애초에 투표로 뽑히는 게 아님, 브뤼셀에서 중요한 건 당에 대한 충성도, 수십 년 장관 경력, 성별 균형 등임, 사실상 각국 정부들이 '국내에서 인기 떨어진 정치인'의 '주차장'으로 EU를 씀, 이제 그녀는 '채팅 관제' 법안만으로 가장 잘 알려짐, 결국 국내에서 인기가 없는 정치인이 EU의 논란 많은 정책을 주도하는 아이러니함만 더 드러남

    • 여러 나라에서 '만료된' 정치인들이 EU로 자리 옮기는 일이 너무 흔해서 유럽인으로서 EU를 존중하는 게 정말 어려워짐, 분명 훌륭하고 정직한 이들도 있겠지만, 내가 사는 곳에서는 업무 실수한 정치인이 EU로 빠져버리면서 국내 책임마저 사라짐, 결국 EU의 가치도 하락하고, 원래 나라에도 해가 되는 이중 손해 상황임, 다만 내 경험이 유럽 전체에 해당하지 않기를 희망함

  • 이런 법안을 볼 때마다, 법을 만든 사람들이 한 사람만 도청하려고 해도 결국 모두를 쉽게 감시할 수밖에 없다는 사실을 모르는 것인지, 신경을 쓰지 않는 것인지, 아니면 그것이 목적이었는지 의문이 듦
    이전에는 정부가 모든 대화방에 무조건 참가시키려던 제안이 있었는데, 이번 것은 그보다는 약간 합리적으로 느껴지긴 함

    • 나는 사람들이 '악의가 아닌 무능으로 설명할 수 있는 일엔 무능으로 돌려라'는 원칙을 정치인에게도 적용하는 게 아이러니하다고 느낌, 정치인들은 예산과 인재를 원하는 만큼 쓸 수 있고, 각 분야 전문가들의 분석까지 지원받음, 이런 환경에서 무능할 수 있는 사람이 현실적으로 거의 없다고 생각함, 결국 우리가 보는 건 무능이 아니라 이해 상충이고, 그들이 원하는 것과 시민의 동조를 얻기 위한 줄다리기임

    • 정치인들이 직접 기술적 문제를 푸는 것이 아니라, 사회 전체에 최선이라고 여기는 것을 결정하는 입장임, ‘범죄자에 한해서만 암호를 깨면 모두 더 안전해진다’고 생각하는 것은 근본적으로 비합리적이진 않음, 문제는 그게 불가능하다는 점임, 그러나 정치인들에게 암호학은 사실상 ‘마법’과 같음, 현실적으로 불가능해도 모르기 때문임, 기후변화 문제에서도 마찬가지로 ‘과학자들이 그냥 대기 중 CO2만 잘 없애주면 된다’고 생각함, 해결 과정을 이해하지 못하지만 가능한 줄 알고, 마법 주문 정도로 여김

    • 텍스트 분석방식 자체에 대한 논의는 여전히 진행 중이고 완전히 배제된 건 아님

    • 실제로 많은 법안들이 정치행동위원회 같은 단체에서 제안하는 '모델 법안'을 거의 그대로 가져와서 각국 의회에 제출함, 미국 여러 주도 동시에 동일한 법안을 내는 이유이기도 함
      당 내에서 무슨 법안에 표를 던질지 결정함, 가끔은 위험한 법안이 위원회에서 걸러지기도 함(예: 모든 mRNA 백신 금지법, 비백신 혈액만 제공 법 등),
      각주별 의회 법안 현황은 여기에서, 연방 의회는 여기에서 확인 가능함
      예로 HR 22 법안은 단 2페이지지만 누가 연방 투표를 막으려는지 눈에 보이는 법안임(실제로 연방 투표에 외국인이 참여하는 건 불법임), Enhanced Driving License는 5개 주만 발급함, 결론적으로 투표권 박탈이 가능한 여러 집단(트랜스젠더, 비시민, 결혼 후 남편 성을 쓴 여성, 개명자, 여권 발급 비용 부담 안 되는 사람들 등)이 있음

  • 범죄 및 CSAM 공유 행위 근절을 이유로 암호화를 깨겠다는 논리는 효과가 없으며, 오직 준법 시민에게만 해가 될 것임, 범죄자들은 불법이 되더라도 실질적인 암호 방식 얼마든지 쓸 수 있음, 이런 사실 EU도 잘 알고 있음, 늘 '아동 보호'를 명분으로 삼지만 진짜 목적은 감시임

  • EU의 "Chat Control" 논의에서 잘 언급되지 않는 사실은 이 법이 특정 "플랫폼"에만 적용된다는 점임
    즉, Meta 같이 제3자 플랫폼을 통하지 않는 암호화 채팅은 사실상 법의 적용 범위 바깥임
    만약 누군가 제3자 없는 인터넷 채팅이 불가능하다고 느낀다면, 사실상 EU의 채팅관제보다 더 심각한 프라이버시 장벽을 가진 셈임
    EU의 정책을 정면 비난하는 포럼 댓글보다는 ‘EU가 결국 Big Tech를 규제 중’이라는 맥락이 더 크다고 생각함
    이번 법안이 Meta에는 타격이 될 수 있고, 그러면 대중을 겨냥한 왜곡된 정보 캠페인이 진행될 것임
    실질적으로는 (a) 제3자인 Meta를 이용하는 자체가 정부가 감시하게 되는 큰 허점을 만드는 것이고, (b) 실제 감시 주체는 정부가 아니라 Meta임
    EU는 Meta가 프라이버시를 무시하고 Surveillance 비즈니스를 통해 이익을 내는 점을 계속 벌금으로 제재함, 사적인 대화에 Meta만큼 최악의 선택지는 없다고 생각함

  • Chat Control 법안은 사실 프라이버시에 관심 있는 사람들을 겨냥하지 않음, 이런 이들은 언제든 암호화를 계속 쓸 방법을 찾을 것임, 수학적 기초는 법률로 사라질 수 없고, 오픈소스 프로젝트 역시 없어지지 않음
    이 법은 결국 "주류" 일반인들이 누가 들을 수도 있다고 의식해서 자기검열 하며 살아가는 현실을 제도화함, 평범한 사람들만 수단을 잃고, 익숙한 workaround는 계속해서 사용 가능함

  • 이런 법안은 정말로 이번에 무덤에 묻어버렸으면 하는 바람임, 좀비처럼 언제든 다시 살아 돌아오는 게 너무 지침

답변달기