오타와, 감시를 위한 네트워크 비밀 백도어 생성 권한 요구
(theglobeandmail.com)캐나다 사이버 보안 법안의 문제점
법안 C-26의 주요 내용
- 법안 C-26은 캐나다 정부가 통신사에 암호화된 네트워크에 백도어를 설치하도록 비밀리에 명령할 수 있는 권한을 부여함.
- 이는 5G 암호화 표준을 변경하여 정부 감시를 용이하게 할 수 있음.
기존 네트워크의 취약점
- 현재 네트워크에는 이미 많은 취약점이 존재함.
- 예를 들어, 1975년에 개발된 신호 시스템 No.7은 휴대전화 보안의 주요 취약점임.
- 2023년 Citizen Lab 보고서에 따르면, 전 세계 모바일 네트워크의 중심부에 광범위한 취약점이 존재함.
법안의 문제점
- 정부가 새로운 취약점을 만들기보다는 기존 취약점을 해결해야 함.
- 법안 C-26은 캐나다의 통신 서비스의 "기밀성, 무결성, 가용성"을 손상시킬 수 있는 기술적 변경을 강제할 수 있는 광범위한 권한을 부여함.
- 정부는 이 법안을 통해 캐나다인의 가장 기밀한 통신에 대한 보안 여부를 결정하는 유일한 중재자가 됨.
암호화 약화의 위험성
- 5G 기술의 암호화는 모바일 통신을 보호하고 사용자 데이터를 중간자 공격으로부터 보호함.
- 법안은 클라우드 연결 스마트 장치와 위성 기반 서비스에도 영향을 미칠 수 있음.
- 역사적으로 정부의 백도어는 사이버 보안에 심각한 위협을 초래함.
정부의 사이버 보안 전략의 모순
- 캐나다는 2022년에 화웨이와 ZTE의 통신 장비를 차단했지만, 법안 C-26은 캐나다가 비밀 명령을 통해 암호화를 약화시킬 수 있는 권한을 제공함.
- 이는 캐나다의 친암호화 정책과 전문가 지침에 모순됨.
안전한 백도어는 존재하지 않음
- GCHQ 보고서에 따르면 상업적 해킹 회사의 위협이 사이버 환경에 큰 영향을 미칠 것임.
- 캐나다 정부가 통신사에 보안 기능을 약화시키도록 강제하면, 사이버 스파이 업체와 기타 적들이 통신에 접근할 수 있는 더 많은 방법을 찾게 될 것임.
GN⁺의 의견
- 암호화의 중요성: 암호화는 사이버 보안의 핵심이며, 이를 약화시키는 것은 전체 시스템의 안전성을 위협함.
- 정부의 모순된 정책: 캐나다 정부의 정책이 일관성이 없으며, 이는 국제적으로도 부정적인 영향을 미칠 수 있음.
- 기술적 취약점: 법안이 통과되면 새로운 기술적 취약점이 생길 가능성이 높음.
- 대안 필요성: 캐나다는 암호화를 보호하고 강화하는 방향으로 사이버 보안 법안을 재검토해야 함.
- 국제적 영향: 캐나다의 법안이 다른 국가들에게도 유사한 억압적 법안을 정당화하는 근거가 될 수 있음.
댓글과 토론
Hacker News 의견들
-
캐나다는 감시를 위해 통신망에 백도어를 둘 권한이 이미 있음. 모든 주권 국가는 RAN 아키텍처의 일부로 자국 인프라에 대해 그렇게 함
https://en.wikipedia.org/wiki/Lawful_interception
캐나다가 실제로 원하는 건 영장 같은 전통적 법적 관문이나 법적 감독 없이 이걸 하는 방법으로 보임- 개인 프라이버시가 빠르게 약해지는 상황에서는 이런 권한 확장을 말할 때 어느 기관이 어떤 맥락에서 쓰는지 구체적으로 봐야 함
예컨대 요즘은 NSA류 정보기관이 원하는 전자통신은 거의 마찰 없이 이미 가져간다고 보는 게 자연스러움. 미국에는 자국민 국내 감시에 대한 방어장치가 있다고 하지만, Five Eyes 파트너 기관이나 상업 데이터 브로커를 통해 얼마나 빠르고 쉽게 우회되는지 이미 봤음
더 무서운 건 국내 법집행기관이 영장 요건이나 개별 요청 절차 같은 마찰을 없애는 새 방법을 얻는 경우임. 그런 요청은 이론상 추적·검토해서 남용을 잡아낼 수 있는데, 국내 수사기관이 모든 것을 담는 full take 피드에 접근해 나중에 거대한 메타데이터 연결 그래프를 만들고 검색할 수 있게 되는 건 정말 끔찍함 - 캐나다는 1982년 이후의 헌장에 notwithstanding clause가 있어서, 의회가 권리장전 격의 내용을 무시할 수 있으니 실질적인 헌법이 없다고 볼 수도 있음
- 보통 차이는 감청이 어디서 일어나느냐에 있음
대부분의 국가는 신호가 존재한 이래 신호를 가로챌 능력을 가져왔음
지금 원하는 건 운영체제나 애플리케이션을 장악해서 암호화 전이나 복호화 후의 메시지 평문을 본국으로 보내게 하는 것임
하지만 기업에 그냥 들어가서 그렇게 하라고 명령할 수는 없으니, 기업이 이런 변경을 구현하도록 강제할 권한이 필요함. 그래서 이런 법안들이 매우 모호하게 끝나는 경우가 많음 - 어떻게 가능하다는 건지 궁금함. HTTPS가 종단 간 감청을 막아주지 않나?
그걸 깨뜨릴 능력이 있다는 건지, 아니면 내가 통신하는 엔드포인트 소유자에게 정보를 넘기라고 요구할 수 있을 뿐인지 모르겠음 - 이건 통신사만 하는 일이 아님. 장비 공급업체가 장비 안에 합법 감청 기능을 포함하고, 통신사는 접근 설정만 하면 되는 구조임
지금 확인할 수는 없지만, 공개 표준의 일부이기도 했던 것으로 기억함
- 개인 프라이버시가 빠르게 약해지는 상황에서는 이런 권한 확장을 말할 때 어느 기관이 어떤 맥락에서 쓰는지 구체적으로 봐야 함
-
편집증이라고 불러도 인정하겠지만, Recall 같은 클라이언트 측 스캐너는 수학이나 하드웨어를 깨지 않고 종단 간 암호화를 우회하려는 목적이라고 봄
NPU 기반 클라이언트 측 스캔과 어휘 분석 기법이 결합되면, 설령 내가 Apple/Google/Microsoft를 영구히 버릴 정도로 잘 알고 있더라도 평범한 익명 친구가 Recall이 켜진 Copilot+를 쓰고 있을 수 있음. 그러면 Microsoft는 그 친구의 기기에서 대화를 읽고 나를 특정할 수 있음- 머지않아 Microsoft가 Recall 데이터를 OneDrive에 “백업”하는 기능을 제공할 것이고, 그러면 법집행기관은 그걸 쉽게 소환장으로 받아낼 수 있음
예를 들어 WhatsApp은 Drive 백업을 강하게 권하는데, 경찰 입장에서는 거기서 사본을 얻기가 쉬움 - 운영체제나 Recall 운영자들이 “우연히” 수집된 중요 정보 더미 위에 앉아 있다는 걸 깨닫고 정보 브로커 시장에 뛰어드는 건 시간문제임
- 머지않아 Microsoft가 Recall 데이터를 OneDrive에 “백업”하는 기능을 제공할 것이고, 그러면 법집행기관은 그걸 쉽게 소환장으로 받아낼 수 있음
-
Snowden과 Assange가 가르쳐준 게 하나 있다면, 국가 주도 감시에 대해 증거 기준을 지나치게 높게 잡으면 안 된다는 것임
입수 가능한 증거는 항상 실제 상황보다 늦고, 예전에 과장이나 예외적 의심으로 여겼던 것들, 예컨대 “NSA는 내가 브로콜리를 싫어한다는 것도 안다” 같은 말조차 결국 완전히 근거 없는 건 아니었음- NSA는 실제로 World of Warcraft 안에서도 감시했음. [1]
정보요원들이 “국가안보”를 위해 게임 속 엘프로 돌아다니는 시점이면, 우리가 멍청하지만 끝없이 재미있는 시간선에 살고 있다는 걸 알 수 있음
[1] - https://www.theguardian.com/world/2013/dec/09/nsa-spies-onli...
- NSA는 실제로 World of Warcraft 안에서도 감시했음. [1]
-
이런 얘기는 대부분의 나라에서 몇 년마다 반복됨. 거의 모든 나라에서 통신은 면허 산업이고, 합법 감청 제공은 그 면허의 법적 의무라는 사실을 다들 잊는 듯함
- 통신망에 감시용 백도어를 둘 권한은 이미 있지만, 실제로 원하는 건 영장 같은 전통적 법적 관문이나 법적 감독 없이 이걸 하는 방법임
그러니 “이미 할 수 있잖아”라는 이유로 그냥 넘기면 안 됨 - 아, 법에 그렇게 쓰여 있으니 당연히 받아들일 만하다는 거군
- 통신망에 감시용 백도어를 둘 권한은 이미 있지만, 실제로 원하는 건 영장 같은 전통적 법적 관문이나 법적 감독 없이 이걸 하는 방법임
-
“2017년 CBC는 해커들이 캐나다 하원의원의 휴대전화 번호만으로 이동 경로, 문자메시지, 통화를 가로챌 수 있음을 보여줬다”
링크된 글에는 해커들이 Parliament Hill 사무실의 Dubé와 베를린 카페에 앉아 있던 Radio-Canada 동료 Brigitte Bureau 사이의 통화를 녹음할 수 있었다고 나옴
궁금한 게 너무 많음. 이게 아직도 되나? SS7을 쓰는 모든 전화에서 되나? 유선전화와 휴대전화 모두 포함인가? 전 세계 어디서든 어디로든 가능한가? 공격의 한계는 뭔가? 누구나 남의 통화를 들을 수 있다면 왜 이게 훨씬 더 큰 문제가 되지 않는 건가?- The Economist가 지난주에 이 주제를 다뤘음
https://www.economist.com/science-and-technology/2024/05/17/...
함께 나온 사설: https://www.economist.com/leaders/2024/05/23/hacking-phones-...
- The Economist가 지난주에 이 주제를 다뤘음
-
이런 시도들의 문제는 실제 범죄나 안전 문제에 대응하려는 게 아니라 정당 지배를 보장하고 반대 의견을 통제하려는 데 있음
기술 변화 속도와 관리주의를 비교해 보면, 이런 정책 시도는 캐나다가 사실상 수십 년간 개발도상국 상태로 가는 길에 들어섰다는 신호처럼 보임. 과거 포르투갈, 그리스, 아르헨티나, 스페인이 20세기 후반에 가난한 나라로 여겨졌던 것과 비슷하고, 당시의 집권 정당들이 오늘날 캐나다와 닮아 있음
정부가 성장에서 반대 의견과 자본 유출 관리로 방향을 바꾸면 이미 끝이 보이는 셈임 -
합법 감청(LI) 분야를 어느 정도 알고 있음. 미국/캐나다의 일부 기관과 기업은 JSI Telecom 도구로 이걸 함
이들은 심층 패킷 검사와 통화 녹음을 하고, 보관 정책은 해당 국가 법에 따라 설정됨. 녹음되는 통화라도 변호사와의 대화는 녹음하면 안 되기 때문에 사람이 듣다가 음소거해야 함. 어떤 나라는 녹음을 허용하지 않아서 사람이 실시간으로 통화를 들어야 함
개인적으로는 민주주의가 사라지고, 정부가 마음대로 하는 공화국들이 득세할 것 같음. 어차피 그 방향으로 가는 듯하고, 이 연극 같은 과정이 피곤함 -
이제 민주주의 국가들이 암호화를 적법절차 체계 안에 헌법적으로 보장할 때가 된 건 아닌지 궁금함
적어도 견제와 균형이라는 개념과는 잘 맞아 보임 -
캐나다가 전체주의적이라고? 놀랍네
- 현 정부 반대자들이 요즘 이런 표현을 즐기는 건 알지만, 캐나다 정부는 전체주의와 너무 멀어서 좀 우스워 보임
진짜 문제는 파시즘 같은 게 아니라 과점임
정부는 경쟁으로부터 우호적인 기업과 산업을 보호하고, 심지어 세금을 그쪽으로 흘려보내는 데 대부분의 노력을 씀
Bell과 Rogers의 경우 매년 수십억 달러 규모임 - 걱정할 필요 없음. EU도 몇 주마다 똑같은 걸 시도함
https://www.patrick-breyer.de/en/let-yourself-be-monitored-e... - 정확히는 권위주의임. 전체주의는 단일 이념 아래 인구를 대규모로 동원해야 함
Putin은 전체주의 지도자가 되려 하지만 그조차 성공하지 못했음. 그는 보안기관에 맞서기엔 너무 겁먹었거나 안주한, 탈정치화된 러시아의 “침묵하는 다수”에 꽤 의존함
러시아가 전체주의 국가라면 그 다수가 군대와 정부에 앞다퉈 들어가려는 모습을 보게 됐을 것임 - 이건 쓸모없고 정보도 부족한 냉소임
캐나다는 전체주의가 아님. 솔직히 Ottawa 도심 봉쇄 같은 걸 정당하다고 보는 매우 극단적인 정치관이 아니라면 그렇게 말하기 어렵다고 봄
캐나다에도 MAGA식 음모론적 사고는 꽤 있지만, 캐나다 기준으로는 비교적 최근 현상이고 널리 받아들여진 것도 아님 - 이건 형편없는 평가임
지난 수십 년 동안 캐나다의 어떤 정부도 전체주의, 권위주의, 그 비슷한 것에 가까워진 적이 없음. 살아 있는 기억 속 가장 최근 사례라면 기숙학교일 텐데, 그건 연방 및 하위 정부의 지원 정책 아래 교회들이 운영했음. 축소할 생각은 없지만 마지막 기숙학교는 1997년에 닫혔음
캐나다는 의심의 여지 없이 서구식 자유민주주의 범주에 속하는 대의민주국가임. 신자유주의에도 신보수주의처럼 정당한 비판거리는 있지만, 전체주의적 야망이라는 비난은 극히 드물게만 타당함
오히려 캐나다 민주주의의 가장 큰 위협은 정치 문해력의 하락일 수 있음. 우리는 총리를 직접 뽑는 선거를 하지 않지만 많은 사람은 그렇게 투표함. 양당제가 아니라 실제로는 소수정부가 가능할 정도의 다당제이고 지금도 그렇지만, 많은 사람은 사실상 양당제에 “사표가 되는 농담 정당들”이 붙은 것처럼 투표함
양원제 의회가 있지만, 한 원은 순전히 선출직 의원들로 구성되어 있고 지금까지는 대체로 선의의 힘만으로 비교적 침착함을 유지해 왔음. 장기적으로 충분한 보호장치라고 보지는 않지만 그건 다른 주제임
법안이 의회에 어떻게 제출되고 통과되는지 대부분의 캐나다인은 몇 차례 독회가 있다는 정도 이상으로 즉석에서 답하지 못할 것임. 또 실제로는 대부분이 지역구 의원이나 주의원이 무엇을 하는지 따라가기보다 당 대표와 집권 중 전반적 행보를 보고 투표함
- 현 정부 반대자들이 요즘 이런 표현을 즐기는 건 알지만, 캐나다 정부는 전체주의와 너무 멀어서 좀 우스워 보임