[카톡 감청논란]기술적 '가능'·제도적 '불가'…검찰이 감청 위해 대규모시스템 투자?
김진태 검찰총장의 '카카오톡(카톡) 직접 감청' 발언이 도마 위에 올랐다. 소강상태로 접어는 듯 했던 '카톡 감청' 논란이 재 점화되는 분위기다.
발단은 김진태 검찰총장의 23일 국정감사 발언. 이석우 다음카카오 공동대표가 감청영장 집행에 응하지 않겠다고 밝힌 것에 대해 "업체가 협조하지 않으면 수사기관이 직접 감청하겠다"고 말했다.
카톡 실시간 감청이 가능하냐는 논란은 이미 지난 16일 국회 법제사법위원회 국정감사에서 이뤄졌다.
당시 이 대표는 "카카오톡 실시간 감청 불가능하다. 그런 설비 없다"는 발언을 김인성 전 한양대 교수는 "실시간 감청 가능하다. 복잡한 게 아니고 SW적으로 가능하다"고 말했다.
양쪽 다 틀린 말은 아니다. 카톡 서버 전체에 대한 합법적인 실시간 감청은 현재 시스템 구조로는 불가능 하지만 특정인을 대상으로 한 실시간 감청은 기술적으로 충분히 가능하다는 것이 보안 전문가들의 견해다.
◇다음카카오 '협조 없인' 카톡 서버 감청 불가능
카카오톡 등 메신저나 이메일 인터넷 감청은 네트워크를 오가는 데이터를 들여다 보는 '패킷(전자신호) 감청'을 말한다. 특정 서버와 PC를 오가는 데이터 패킷에 '심층 패킷분석시스템(DPI)'을 연동하면 이들 패킷 정보를 분석해 내용을 재조합할 수 있다. 수사기관 뿐 아니라 일반 기업들도 DPI 시스템을 도입한 사례가 있다. 국내 일부 대기업들은 DPI 시스템을 도입해 사내 보안 용도로 활용하고 있다. 외부로 나가는 데이터 패킷 중 사내 기밀과 관련된 키워드를 검출, 사전에 걸러내는 식이다.
그렇다면 카카오톡 서비스에 DPI를 적용한 전면적인 실시간 감청이 가능할까. 3500만명 회원에 하루 평균 60억건의 메시지가 오가는 카카오톡처럼 대규모 서버에 DPI 시스템을 적용하기 위해서는 상당한 규모의 시스템 투자가 필요하다. 기존 시스템까지 재변경하는 것까지 감안하면 많게는 수천억원의 비용을 부담해야한다.
수사기관 쪽에서 카카오톡 서버로 들어오는 데이터 패킷을 동시에 받을 수 있는 이중화 서버(미러링)를 구축하는 방법도 있다. 하지만 이 방법도 비용 문제와 함께 대규모 프라이버시 침해 문제로 이어질 수 있기 때문에 법원 허가가 불가능하다. 통신비밀보호법에 따라 감청영장은 국가안보와 국민생명과 직결된 극히 제한적인 조건에서 영장을 신청할 수 있도록 돼 있기 때문이다.
독자들의 PICK!
전 CIA요원 에드워드 스노든의 폭로 내용대로 미국 정보당국이 현지 IT기업들의 서버를 이용해 대규모 사찰이 가능했던 배경은 2011년 9.11테러 이후 제정된 '애국법(Patriot Act)' 때문이라는 게 보안 전문가들의 분석이다. 임종인 고려대 정보보호대학원장은 "카카오톡과 같은 대규모 서비스를 감청하려면 대규모 DPI 시스템 투자는 물론 기존 시스템 구조도 일부 변경해야 가능하다"며 "때문에 사업자의 협조 없이는 불가능한 일"이라고 밝혔다.
◇ 특정인 타깃 '불법 도감청' 기술적 가능
반면 특정인 혹은 그룹을 상대로 카카오톡 대화내용을 엿보는 것은 기술적으로 얼마든지 가능하다고 보안 전문가들은 말한다. 유선망은 물론 LTE(롱텀에볼루션) 방식 무선인터넷의 경우에도 기존 인터넷 표준 방식(TCP-IP) 그대로 쓰기 때문에 특정 네트워크 구간에서 데이터를 가로채 패킷 분석을 통해 내용을 확인할 수 있다는 설명이다. 예를 들어 수사기관이 패킷감청 장비를 인터넷 장비에 설치하면 가능하다는 얘기다. 그러나 서버와 단말기간 데이터 패킷이 암호화돼 있다면 중간에 데이터 패킷을 가로채도 내용을 확인하기 어렵다.
더 쉬운 방법이 있다. 특정인의 스마트폰과 PC에 '스파이 앱(백도어)'를 몰래 설치하는 것이다. 현재 안드로이드폰 사용자들 사이에 빈번한 스미싱 사고도 스마트폰에 설치된 악성코드 때문이다. 스마트폰에 숨겨진 스파이앱은 사용자가 입력한 내용은 물론 원격에서 앱을 실행시켜 열어 볼 수 있다. 모바일 악성코드 전문가는 "스파이앱은 쉽게 말해 원격제어 프로그램과 동일하기 때문에 모바일 메신저는 물론 이메일까지도 모두 열어볼 수 있다"고 말했다.
그러나 이처럼 스파이앱을 설치하는 경우는 허가되지 않는 '해킹'에 속한다. 법으로는 이같은 유형의 감청에 대해 합법적 영장 청구가 사실상 불가능하다.
전직 정보보호기관 관계자는 "암호화 기술을 적용했다 해도 100% 풀지 못한다는 보장이 없는데다 모든 사용자들의 단말기 보안까지 책임질 수는 없지 않겠느냐"며 "기술적 이슈보다는 법제도나 정책적 이슈로 도감청 문제에 대한 접근이 필요하다"고 지적했다.