애플, 암호화 메시지 앱 스캐닝 반대 진영에 합류
(bbc.com)- 영국 Online Safety Bill이 iMessage, WhatsApp, Signal 같은 암호화 메시지 앱에 아동학대 이미지 스캔을 요구할 수 있어, 애플이 법안 수정을 요구함
- 법안은 Ofcom에 인증 기술로 메시지 내용을 스캔하도록 지시할 권한을 주며, 정부는 엄격한 개인정보 보호 장치가 충족될 때의 “마지막 수단”이라고 설명함
- 애플은 종단간 암호화가 언론인, 인권 활동가, 외교관과 일반 시민을 감시·신원 도용·사기·데이터 유출에서 보호한다고 강조함
- Signal과 WhatsApp은 암호화 프라이버시 약화 요구를 거부하겠다는 입장이고, Signal은 강제될 경우 영국에서 철수하겠다고 말함
- 시민사회·학계·사이버 전문가들은 이 조치가 영국을 넘어 국제 디지털 통신 서비스의 보안 신뢰를 흔들 수 있다고 경고함
Online Safety Bill을 둘러싼 암호화 충돌
- 애플은 Online Safety Bill의 권한이 iMessage, WhatsApp, Signal 같은 암호화 메시징 도구에 아동 성착취물 스캔을 강제하는 데 쓰일 수 있다고 비판함
- 애플은 법안이 종단간 암호화를 보호하도록 수정돼야 한다는 입장임
- 종단간 암호화는 송신자와 수신자 외에는 메시지를 읽을 수 없게 하는 방식임
- 경찰, 정부, 일부 주요 아동보호 단체는 WhatsApp과 Apple iMessage 같은 앱의 암호화가 법 집행기관과 기업의 아동 성착취물 식별을 어렵게 만든다고 봄
- 영국 정부는 기업이 플랫폼에서 아동학대를 막아야 한다는 입장임
- 기업은 플랫폼에서 심각한 아동 성학대를 방지할 수 있을 때만 종단간 암호화를 구현해야 한다고 봄
- 사용자 프라이버시를 유지하면서 아동 성착취물 확산에 대응할 해법을 기업과 계속 찾겠다는 입장임
- 법안은 현재 의회 통과 과정에 있으며, Ofcom이 플랫폼에 인증 기술로 메시지 내용을 스캔하도록 지시할 수 있는 권한을 포함함
- 정부는 이 권한이 “마지막 수단”이며, 엄격한 개인정보 보호 장치가 충족된 경우에만 쓰인다고 설명함
클라이언트 측 스캐닝과 업계 반발
- 정부는 암호화된 메시지에서도 아동학대 자료를 스캔할 수 있는 기술적 해법이 가능하다고 봄
- 많은 기술 전문가는 이를 위해 메시지가 전송되기 전 휴대폰이나 컴퓨터에서 검사하는 클라이언트 측 스캐닝 소프트웨어가 필요하다고 봄
- 비판자들은 클라이언트 측 스캐닝이 메시지 프라이버시를 근본적으로 약화한다고 우려함
- 애플은 2021년에 iCloud 업로드 전 iPhone 사진에서 학대 콘텐츠를 스캔하는 계획을 발표했지만, 반발 이후 폐기함
- Signal과 WhatsApp을 포함한 여러 메시징 플랫폼은 암호화 메시징 시스템의 프라이버시를 약화하라는 지시를 받아도 거부하겠다고 밝힌 바 있음
- Signal은 2월에 암호화 메시징 앱의 프라이버시 약화가 강제되면 영국에서 “walk”하겠다고 말함
- 애플의 합류로 가장 널리 쓰이는 암호화 앱 일부가 법안의 해당 조항에 반대하는 구도가 됨
공개서한과 보안 신뢰 우려
- 디지털 시민자유 단체 Open Rights Group은 Chloe Smith 기술부 장관에게 공개서한을 보냄
- 서한에는 80개 이상의 국내외 시민사회 단체, 학계, 사이버 전문가가 서명함
- 영국이 종단간 암호화로 보호되는 채팅을 포함해 사적 채팅 메시지를 일상적으로 스캔하도록 요구하는 첫 자유민주주의 국가가 될 수 있다고 경고함
- 4천만 명 이상의 영국 시민과 전 세계 20억 명이 이런 서비스를 사용하기 때문에, 영국뿐 아니라 국제적으로도 디지털 통신 서비스 보안에 중대한 위험이 될 수 있다고 봄
- 정부와 군 고객에게 E2EE 제품을 제공하는 영국 기술기업 Element는 암호화 메시지 프라이버시를 약화하는 법안 조치가 영국 기업 보안 제품에 대한 고객 신뢰를 낮출 수 있다고 우려함
- 스캔 의무화에 쓰일 수 있다고 비판받는 법안 일부가 바뀔 수 있다는 기대도 커지고 있음
- 변경은 며칠 안에 공개될 수정안 패키지에 포함될 수 있음
- 세부 내용이나 캠페인 단체의 우려를 충족할지는 아직 명확하지 않음
댓글과 토론
Hacker News 의견들
-
종단간 암호화를 제공하려면 플랫폼에서 끔찍한 아동 성착취를 동시에 막을 수 있어야 한다는 식이면, 벽이 있는 집도 그 안에서 아이가 해를 입지 않는다고 건축업자가 보장하지 못하면 금지해야 한다는 논리임
- 그보다는 집 하나에 나쁜 사람이 있을 수 있으니 개인 주택의 자물쇠를 금지하자는 쪽에 가까움
말도 안 되게 미친 발상임 - 소아성애자도 자동차를 몬다
- Dutroux 사건 뉴스를 어린 시절에 들었을 때, 이런 일이 벌어지는 건물은 그냥 무너지는 편이 낫겠다고 생각했던 기억이 있음
- 어느 정도 동의는 하지만 규모가 완전히 다름
흑백으로 나눌 문제가 아니며, 많은 사람이 이 말에 반대할 것도 알고 있음
- 그보다는 집 하나에 나쁜 사람이 있을 수 있으니 개인 주택의 자물쇠를 금지하자는 쪽에 가까움
-
AI 이미지 조작, 자동완성, 옷 벗기기 이미지 때문에 CSAM은 훨씬 더 이상해질 것 같음
일본의 미성년자 묘사 헨타이를 소지·판매하는 것이 합법이라는 판례도 있음: https://en.wikipedia.org/wiki/United_States_v._Handley
누군가 https://thispersondoesnotexist.com/ 같은 곳에서 아동 이미지를 얻고, 이를 나체나 성행위 이미지로 생성하면 어떻게 될까? 아이도 실제가 아니고 성행위도 실제가 아니라는 점에서 위 논리와 거의 같음
더 큰 문제는 “이 이미지가 아동 강간의 증거인지, 그냥 AI 생성물인지 어떻게 구분하느냐”임
점점 “CSAM은 범죄의 증거이지 그 자체가 범죄여서는 안 된다”는 쪽으로 기울고 있음
다만 CSAM 소지에 대한 엄격책임을 없애자고 해도, 사춘기 전 아동을 강간한 인간에게는 사형을 지지함- 범죄 현장 증거로 보면, 단순히 어떤 이유로든 소지했다는 이유만으로 수십 년형을 받을 중범죄가 되는 건 꽤 이상함
소아성애자들이 스스로 범죄 장면을 사진과 영상으로 찍어 인터넷에 공유하는 셈인데, 법 집행기관처럼 인터넷 탐정들이 이런 자료를 조사할 수 있다면 훨씬 많은 아동 학대범이 결국 잡힐 것 같음
배포는 당연히 계속 불법이어야 하지만, 단순 소지를 금지한다고 인신매매범을 막지는 못하고, 문제 해결에 크게 도움이 될 수 있는 아마추어 수사 인력을 없애버림
이들은 경찰도 풀지 못한 장기 미제 살인사건을 많이 해결해 왔음
생각해 보면 좀 소름 끼치기도 함. 다른 범죄 현장 증거는 이런 식으로 보호되지 않음
누군가 찔리거나 총에 맞거나 참수되는 사진·영상을 소지하는 게 불법인가? 그런 자료에서 성적 쾌감을 얻는 사람도 분명 있을 텐데, 그런 자료는 퍼져도 별로 신경 쓰지 않음
마치 권력자들이 이 일의 배후가 누구인지 일반 대중이 정말 알기를 원치 않는 것처럼 보임. 이미 매우 부유하고 강력한 사람들이 아동 성매매 조직에 자주 연루된다는 건 알고 있음
AI 이미지 생성은 이를 더 위험하고 우스꽝스럽게 만듦. 이제 누군가 로컬에서 Stable Diffusion 같은 것으로 CSAM처럼 보이지만 실제 아동은 없는 이미지를 만들고, 원격으로든 집 어딘가에 SD 카드를 떨어뜨리는 식으로든 내 소유물 안에 넣으면 수십 년형 책임을 질 수 있는 시대가 다가옴
적이 없기를 바라야 함 - 인용한 판례는 미국 연방법에만 해당함
그런 사건들 이후 미국의 많은 주가 CSAM의 컴퓨터 생성 묘사를 금지했기 때문에, 컴퓨터 생성 이미지나 아동 성인형 인형은 나라의 상당 부분에서 허용되지 않음
실제 아동이 관여하지 않는 이런 물건에 접근할 수 있으면 관심 있는 사람들의 대다수가 실제 범행을 더 할지 덜 할지 모르므로 판단은 못 하겠음
어떤 사람에게는 욕구를 완화하고, 다른 사람에게는 욕구를 더 키울 것 같음. 심리학자는 아님 - CSAM AI 관련 기사들이 막 나오기 시작했음
- 범죄 현장 증거로 보면, 단순히 어떤 이유로든 소지했다는 이유만으로 수십 년형을 받을 중범죄가 되는 건 꽤 이상함
-
Apple도 얼마 전 이런 사진에 대해 기기 내 스캔을 권장하지 않았나?
이제 반대한다니 다행이지만, 직접 구현하려 했던 과거가 있어서 얼마나 진심인지 가늠하기 어려움- Apple이 CSAM 대응 계획을 세우려 했던 건, 영국 같은 정부가 바로 이런 유형의 악의적 논리를 펴는 것을 선제적으로 막으려던 것이라고 봄
영국은 아동 보호 단체까지 동원해 종단간 암호화를 깨려는 목표에 감정적·사회적 무게를 싣고 있음 - 아니었음. 법으로 강제되는 게 아니라 선택 참여 방식이었음
그 시스템은 iCloud에 업로드되는 이미지에만 작동하도록 설계됐고, 기기 안의 아무 이미지에나 작동하지 않았음
처리에 쓰이는 영수증은 업로드 과정의 일부로 생성됐고, 기기나 서버 어느 한쪽만으로는 서로 협력하지 않는 한 유용한 정보를 독립적으로 알아낼 수 없었음
Apple이 개인정보 보호를 극대화하려고 엄청나게 고민한 흥미로운 방식이었음
하지만 사람들이 세부 내용을 읽지 않고 훨씬 단순한 방식으로 작동한다고 상상해 버려, 실제로 무엇을 하는지에 대한 유용한 논의를 덮어버렸음
영국식 접근에는 반대해야 하지만, Apple이 구현하려던 방식에는 반대하지 않았을 것임 - Apple의 아이디어와 구현은 여기서 반대하는 끔찍한 제안보다 훨씬 낫고, 더 안전하고 사생활 보호적이었음
- 맞음. 정말 이상한 입장 급변처럼 느껴짐
Apple의 진짜 입장은 뭘까? - Apple이 기기에서 이미지를 CP 해시와 비교하려던 계획은 정부에 종단간 암호화 금지의 대안을 제시하려는 매우 합리적인 시도였음
기사 속 정부 대변인이 “기업은 플랫폼에서 끔찍한 아동 성착취를 동시에 막을 수 있을 때만 종단간 암호화를 구현해야 한다”고 말했듯, Apple은 후자를 시도해 종단간 암호화 규제를 막아달라고 정부에 요구할 명분을 만들려 했음
- Apple이 CSAM 대응 계획을 세우려 했던 건, 영국 같은 정부가 바로 이런 유형의 악의적 논리를 펴는 것을 선제적으로 막으려던 것이라고 봄
-
기술 노동자들은 어디서든 노조를 만들고 이런 쓰레기 같은 정책에 단호히 반대해야 함
우리가 전문가이고 엘리트이며 무엇이 최선인지 알고 있고, 여기서 앞장설 책임이 있음
의사들이 팔려고 장기를 적출하지 않고, 약사가 독을 만들어 주지 않듯, 엔지니어는 암호화 백도어를 만들어서는 안 됨- “우리가 엘리트”라는 생각은 좋지만, 현실적으로 우리 대부분은 도덕적으로 비싼 매춘부보다 나을 게 없음
의사들도 Big Pharma에서 뇌물을 받는 경우가 많고, 새 수영장 자금을 마련하려고 불필요한 수술을 권하는 식의 미친 짓을 하는 의사들도 있음 - 그건 노동조합이라기보다 자율 규제 전문직 단체에 가까움
노조는 사용자에 맞서 임금과 근로 조건을 위해 싸우고, 전문직 단체는 의사나 법정 변호사처럼 직역의 숙고된 입장을 대표하고 구성원을 자율 규제함 - “우리가 전문가이고 엘리트이며 무엇이 최선인지 안다”는 깃발은 들고 싶지 않음
대신 비전문가도 이해할 수 있는 말로 문제가 무엇인지 명확히 설명할 수 있다면 모두에게 이로움 - 기술과 코드에 대해서라면 몰라도, 사회적 영향에 대해서는 절대 그렇지 않음
- “우리가 엘리트”라고 주장하는 순간 일반 대중은 모든 신뢰를 잃음
여기서는 권위에 호소하는 방식으로 가면 안 됨
- “우리가 엘리트”라는 생각은 좋지만, 현실적으로 우리 대부분은 도덕적으로 비싼 매춘부보다 나을 게 없음
-
영국에서 나온 또 하나의 미친, 작동 불가능한 인터넷 정책이고 실제로 구현되지도 않을 것임
왜 계속 이러는지 모르겠음
설령 진심이라 해도 영국은 미국 기술 대기업들을 압박할 힘이 부족한 작은 나라임
이런 회사들의 유럽 세무 기반이 있는 아일랜드만큼의 지렛대도 없음- 영국의 힘은 미국 기술 대기업을 직접 압박하는 데서보다 Five Eyes 회원국이고 유용한 신호정보 동맹이라는 데서 나올 가능성이 큼
NSA가 Signal을 쓰는 미국인을 더 잘 감시할 방법을 원할 수도 있음. 어떻게 하느냐? 영국인들에게 시키면 됨 - 이런 사고방식이 영국에서 Brexit 국민투표를 통과시켰음
아무리 터무니없는 발상이라도 너무 멍청해서 현실화되지 않을 것이라며 가만히 있어서는 안 됨
현실이 되지 않도록 싸워야 함 - 구현될 것임
EU와 미국 모두 이런 법을 밀고 있다는 걸 기억해야 함
곧 테러 선전, 마약 거래, 불법 시위 촉구까지 포함하도록 확대될 것임 - Daily Mail에 “우리는 아이들을 보호하려 했지만 무책임한 미국 기술 대기업들이 막았다” 같은 문구를 실을 수 있게 됨
- 영국의 힘은 미국 기술 대기업을 직접 압박하는 데서보다 Five Eyes 회원국이고 유용한 신호정보 동맹이라는 데서 나올 가능성이 큼
-
영국은 이상하게 감시에 친화적임
CCTV도 대부분의 다른 나라보다 훨씬 일찍 널리 퍼졌음
Orwell이 영국인이었으니 자신들은 이 문제를 잘 통제하고 있다고 생각하는 모양임- Orwell은 이 문제와 별 관련이 없다고 봄
영국 사회는 미국 사회와 여러 면에서 매우 다르고, 역사가 어느 정도 설명해 줄 것임
많은 유럽 봉건 사회처럼, 정부가 시민을 돌봐야 한다는 오래된 기대가 있음
개인들이 어떻게 행동했든 약탈적인 지주로부터 농민을 보호하는 법이 있었고, 적용이 완벽하지는 않았어도 그런 틀이 있었음
또 오랫동안 지역 “정부”나 공동체가 노숙자를 돌보는 역할을 맡았음
말하려는 핵심은 미국에 존재하는 방식의 정부 불신이 영국에는 그다지 없다는 것임
그래서 정부가 막대한 권한을 쥐고도, 좋든 나쁘든 적어도 자국 시민에게는 남용하지 않을 것이라는 신뢰를 받을 수 있음
CCTV에 한정하면, 현대 영국에서 실제로는 대부분 런던에 집중돼 있음
즉 영국의 대다수 지역은 이런 감시에 별로 영향을 받지 않음
그리고 대부분의 CCTV는 국가가 아니라 민간이 운영하고, 비용 절감을 위해 몇 주 안에 삭제하는 것으로 기억함
실제로는 경찰이 런던을 뛰어다니는 사람의 실시간 영상을 보는 Bourne Identity 같은 상황은 아님
여러 회사에 요청과 소환장을 보내 사후에 정보를 확보해야 함 - 고객을 지켜보라고 비번 경찰에게 돈을 주는 것보다 CCTV가 더 쌈
민간 CCTV를 Orwell식이라고 부르는 건 비유가 헷갈린 것 같음
1984의 CCTV는 전체주의 정부가 운영했음 - 세계의 자유롭고 감시에 비우호적인 피난처라는 곳에서도, 모두가 현관 카메라로 촬영하고 영상을 Amazon에 올림
그리고 감히 집 앞을 지나가는 사람의 영상을 인터넷에 올림
- Orwell은 이 문제와 별 관련이 없다고 봄
-
영국의 현 집권당은 13년째 집권 중이고, 완전히 아이디어가 고갈됐음
제1야당도 “저들과 같지만 더 잘하겠다” 이상의 실제 제안을 거의 못 함
영국이 마주한 주요 문제들, 즉 부채, 경제, 주택, 교육, Brexit, 민주주의 붕괴는 사람들이 실제 조치를 지지하려 하지 않는 문제들임
그래서 정당들에게 남은 건 이런 멍청한 정책이나 트랜스젠더를 소아성애자처럼 몰아가는 식의 가짜 분열 이슈뿐임
그래서 이 문제가 계속 되돌아옴- Labour가 다시 집권하면 같은 의제를 밀지 않을 거라고 진심으로 믿는가?
마지막 집권이 꽤 오래전이긴 하지만, Starmer는 Labour도 매우 좋아했던 반사생활·친감시 의제를 밀어붙일 딱 그런 유형의 사람임
- Labour가 다시 집권하면 같은 의제를 밀지 않을 거라고 진심으로 믿는가?
-
영국은 스스로 피해를 입히는 데 능한 것 같음
먼저 Brexit, 이제는 Online Safety Bill임
Brexit은 인구의 절반이 지지했지만, 이 안전 법안은 대중의 관심을 별로 끌지 못했거나 내가 놓친 것 같음
특정 문제에 일반 해법을 적용하면서, 그 일반 해법의 피해 반경은 원래 의도한 특정 문제보다 비대칭적으로 훨씬 커지는 패턴으로 보임- Online Safety Bill은 저렴한 주택을 짓는 것보다 훨씬 따기 쉬운 성과라서, 실제로는 그다지 중요하지 않은 결과라도 “달성 가능한” 결과에 집중하는 듯함
덧붙이면, 나는 Online Safety Bill에 반대함 - Snooper's Charter도 잊으면 안 됨
- Brexit에 반대한 표를 던졌지만 여전히 EU 회의론자임
두 이슈는 비교할 수 없음
- Online Safety Bill은 저렴한 주택을 짓는 것보다 훨씬 따기 쉬운 성과라서, 실제로는 그다지 중요하지 않은 결과라도 “달성 가능한” 결과에 집중하는 듯함
-
Apple은 사생활 보호 측면에서 신뢰할 수 없음
그 소프트웨어가 실제로 무엇을 하는지 아무도 모름
전부 폐쇄 소스임
광고에서 사생활 보호를 강조한다고 해서 실제로 사용자 사생활을 보호한다는 뜻은 아님- 결과가 증명하는 듯함
연방기관과 법 집행기관은 Apple 사용자 데이터에 접근할 수 없다고 계속 불평함
심지어 그걸로 소송도 함
그래서 꽤 잘 작동하는 것처럼 보임 - 그게 이 제안에 반대하는 것과 무슨 관련이 있음?
- Apple 소프트웨어를 감사할 수 없는 건 맞지만, 다른 누구의 소프트웨어도 감사할 수 없으니 왜 Apple만의 결점인지 모르겠음
또한 Apple은 사생활 보호에 전념한다고 널리 광고해 왔고, 정직하지 않다는 신호를 보인 적이 없으며, 우리에게 거짓말해서 얻을 것도 없고, 거짓말이 들통나면 브랜드에 헤아릴 수 없는 피해를 입게 됨
- 결과가 증명하는 듯함
-
이건 ISP가 불법 복제에 책임져야 한다는 주장과 같음
2000년대 초부터 공통 운송자 지위 때문에 그렇게 되지 않았음
기술은 언제나 자신이 전달하는 콘텐츠와 분리된 상태로 남는 방법을 찾아냄
더 나은 비밀 메시징 개념이 기술적으로 가능하다는 연구 논문이 나오는 5분 뒤에, 이런 암호화 노출 정책들이 법으로 구현될 것 같음