저항부터 취미까지, 감시산업의 무한 사찰

독재 체제가 무너질 때마다 우리는 어떻게 그 체제가 유지될 수 있었는지 질문하게 된다. 통신에 대해 치밀하고 체계적인 감시를 한 리비아·이집트·튀니지에서 어느 정도 그 답을 찾을 수 있다. 고삐 풀린 고객과 미국·유럽 업체들이 개발한 기술이 만나 대규모 실험장을 연출한 덕분이다.

<월스트리트 저널> 기자인 마거릿 코커는 트리폴리 함락 이후 국민을 대상으로 감청·도청한 자료를 수집한 센터를 방문해, 리비아에서 인터넷 네트워크, GSM(유럽식 디지털 이동통신 시스템) 휴대전화, 그리고 위성을 통한 모든 접속(인터넷과 전화)이 감시됐음을 확인했다. 그 자료에는 무엇보다 무아마르 카다피 체제에 반대한 사람들의 전자우편과 통신 내용 요약문이, 센터 벽에는 감시 장치 설치를 담당한 프랑스 기업 불(Bull)의 자회사인 아메시스(Amesys)의 소전단지들이 있었다.(1) 그 뒤 <카나르 앙셰네>는 프랑스 군사정보국(DRM)이 리비아 ‘감시인들’의 교육 지원을 요청받았다고 폭로했다.(2)

카다피와 알아사드는 ‘큰손 고객’

바샤르 알아사드 체제의 시리아에서 인터넷 검열과 전자우편, 소셜네트워크서비스(SNS)인 페이스북과 트위터에 접근하는 데 필요한 (체제가 주시하는) 인터넷 사용자의 ID와 비밀번호 수집을 가능하게 한 것은 다름 아닌 미국 기자재였다. 이것은 특히 반체제 인사들에 대한 내·외부 지원을 비롯해 쌍방향의 모든 통신 내용을 재생·재편집하는 데 효과적인 도구였다.

이 기술들은 ‘DPI’(Deep Packet Inspection·심층 패킷 감시)라는 부드러운 이름을 갖고 있다. 우리가 전자우편 한 통을 목적지까지 보내기 위해서는 기기 수십 대가 교대로 움직인다. 이때 기기는 목적지 주소만 참조하고 전자우편 내용은 보지 않은 채 바로 다음 기기로 그것을 전달한다. 인터넷 법 전문가인 조너선 지트렌은 “이것은 마치 예의 바른 사람들과 어울린 바의 저녁 풍경과 같다. 당신이 바의 카운터에서 멀리 떨어져 있는데 사람이 너무 많아 가까이 가서 주문할 수 없을 때, 옆 사람에게 부탁해 맥주가 당신에게 전달되도록 한다. 옆 사람이 카운터에 좀더 가까이 있는 다른 옆 사람에게 부탁하는 식으로 말이다. 결국 당신의 주문은 카운터까지 도착하고 같은 경로로 맥주가 돌아오게 된다. 모든 사람들이 예의 바르기에 도중에 아무도 당신 잔을 마시지 않는다”고 설명한다.(3)

그런데 DPI 때문에 사정이 달라졌다. 만약 옆 사람이 당신 주문에 대해 따지고 훈계하기 시작한다면 당신은 뭐라 하겠는가? 또 그가 당신 잔의 내용물을 바꿔 물이나 독한 우울증 치료제로 채운다면? 이런 것이 DPI 기술로 가능해지는 것들이다. 대화 내용 읽기, 그것을 수정하고 다른 누군가에게 보내기 등등.
이 시장에 아메시스만 있는 것은 아니다. 다른 프랑스 회사인 코스모스(Qosmos)도 <블룸버그>에 의해 막 포착됐다. 이 미국 통신사는 코스모스가 카다피의 리비아와 같은 모델의 DPI 감청 장치를 시리아의 장비 설치를 맡은 컨소시엄에 제공했다고 폭로했다.(4) 중국에서는 DPI 기술이 정부의 시민 감시와 통신 내용 삭제가 가능한 거대한 검열 장치의 핵심 구실을 한다.

위키리크스 사이트의 최신 문건이 보여주듯이, 실제로 기업들의 많은 내부 문서는 통신망 감시가 “25개국에 걸쳐 있는 새로운 비밀 산업이다. (중략) 전통적인 스파이 역사에서는 영국의 MI5 같은 정보기관이 특정한 한두 사람의 전화를 도청한다. 그런데 최근 10여 년 사이, 다량의 무차별적 감시가 감시 시스템의 전형이 되었다”는 걸 보여준다.(5) <월스트리트 저널>은 미국 대테러 업무기관에 다양한 감시와 해킹 도구를 제안하는 36개 기업의 200개가 넘는 마케팅 문서를 공개했다.(6)

‘심층 패킷 감시’, 그 부드러운 이름

미국에서 DPI가 2006년 5월 세간의 주목을 받았다. 전 AT&T(미국 인터넷 접속 서비스 제공 대기업) 기술자 마크 클라인이 침묵을 깬 것이다. 그는 전 직장에, 다시 말해 미국 인터넷 네트워크 심장부에 나러스(Narus)사 제품이 설치돼 있다고 고발했다. 감청·도청의 지도자 격인 미국 국가안전보장국(NSA)은 1980~90년 에셜론 프로젝트의 고안자다. 나러스의 사훈은 ‘명확하게 보라. 신속하게 행동하라’(See Clearly. Act Swiftly)다. 1997년 창립된 이 DPI 기술 개발업체는 150명의 직원이 2006년 3천만 달러를 벌어들였고, 2010년 보잉에 인수됐다. 이 회사 제품이 호스니 무바라크 시절 이집트에 설치됐던 것으로 추정된다.(7)

원거리통신 중개업체들은 인터넷을 통해 중개되는 대량 정보 속에서 웹사이트, 전자우편, 음성·영상 교환, 실시간 토론, 비동기 토론, 기초 자료와 기타 사항들의 움직임을 들여다본다. 이 흐름의 대부분은 암호통신법의 어려운 암호화 과정을 거치지 않은 채 암호 없이 오간다. 이 때문에 국가 안보기관들뿐 아니라 아마추어 해커도 쉽게 도청할 수 있다.

몇몇 사기업 관계자들 역시 이 기술로 이익을 챙긴다. 프리(Free), SFR, 오랑주(Orange) 같은 프랑스 원거리통신 중개업체들은 정보 전송료를 지급하지 않은 채 자신의 네트워크를 타고 오가는 자료 전송에 대해 불평하기 시작했다. 예컨대 인터넷 접속 서비스 제공업체(FAI·Fourisseur d’accès a Internet)들은 가입자에게 제공해야 하는 유튜브 영상에 비용을 들이고 싶어 하지 않는다. 그래서 데이터 송신업체나 최종 사용자에게 추가 요금을 청구하는 방안이나, 다른 것들의 속도를 보장하기 위해 특정한 흐름의 속도를 선별적으로 늦추는 등의 아이디어가 나오고 있다. 이를 위해서는 네트워크에서 전송되는 것을 정확히 측정하는 일이 필수적이다.

수익 높이려 일반 사용자도 감시

같은 맥락에서, 이동통신사들은 시설투자비를 줄이고 이용자에게 낮은 속도의 인터넷 접속 서비스만 제공하기로 결정했다. 그들은 ‘지능적인’ 전화기 이용자들의 P2P(Peer-to-Peer·개인 대 개인 파일 공유 방식) 파일 교환과 스카이프 같은 음성·영상통화 사용을 막는다.

거기에서도 DPI가 정보 흐름의 관리와 감시를 가능하게 해주고, 몇몇 서비스(그들이 편집하는 것 등)보다 우선하는 ‘통행이 잦은 선’을 승인하게 해준다. 이것은 사용자가 요구하는 모든 데이터를 차별 없이 중개해야 한다는 FAI의 ‘망 중립성’ 개념과 모순된다.

웹사이트 탐색에 이용된 DPI는 우리가 행한 모든 흔적을 기록·보관할 수 있게 한다. 마케팅 전문가들은 이 데이터를 이용할 꿈에 부풀어 있다. 최근 오랑주는 가입자의 동의를 전제로, 그들이 방문한 웹사이트를 분석하기로 결정하고, 곧이어 가입자에게 상업적으로 계산된 맞춤형 제안을 하기 위해 DPI에 기초한 ‘오랑주 특혜’란 상품을 출시했다. FAI에는 페이스북과 구글만큼 수익을 내는 데 꼭 필요한 것이다. 이런 ‘감시-단골 만들기’ 프로그램이 가입자들을 사로잡는다면, 이를 상업화할 수 있는 완전한 상품으로 만드는 데 필요한 것은 데이터가 익명화됐다는 주장 하나로 충분할 것이다.

호기심 많은 독자는 코스모스의 주주이자 세계적인 시장조사 전문업체인 GfK(Growth from Knowledge) 사이트의 ‘사생활 정보’(Data Privacy) 페이지를 열람할 것이다. GfK는 태연하게 인터넷 검색 프로그램들의 ‘쿠키’(일종의 정보 기록 파일)를 언급하면서, 인터넷 사이트 방문자들의 흔적을 좇기 위해 그들만 아는 처리 방법으로 이른바 ‘익명화된’ DPI 기술을 사용한다는 설명을 생략한다. GfK는 주요한 민주국가들뿐 아니라, 150개국 이상에서 활동하고 있다.

헐거운 법망, 기민한 망 사업자

또한 DPI는 P2P 방식 네트워크에서의 불법적 파일 교환(Bittorent·무료 파일 공유 프로그램)이나 메가업로드 형태로 직접 다운로드하는 사이트에 맞서 싸우길 원하는 저작권 단체들을 유혹한다. 인터넷 사용자가 영화나 음악 파일을 다운로드하려고 시도하는 것을 정확히 간파해 접속을 막는 일은 모든 정보 교환 지점, 즉 FAI에 분산된 ‘심층적인’ 감시 장치로만 가능하다.

합법적 감시도 DPI의 또 다른 시장이 자연스럽게 형성되는 데 기여한다. 경찰은 판사의 지시 아래, 법원 명령 범위 안에서 어떤 사람의 행동을 감청할 때가 있다. 프랑스에선 ‘보안감청 감시위원회’의 통제 아래 감청이 이뤄진다. 그러나 이것은 극소수 사람들에게만 해당되는 일이어서, 관련 업체들에는 틈새시장에 불과하다. 대테러리즘 예산이 혁신적이고 전격적으로 늘지 않는 한, 이 부문의 기업에는 다른 상업적 판로를 찾는 게 현명할 것이다.

바로 여기에 모든 국민을 엿듣길 원하는 경찰국가의 정부들이 개입된다. 이 나라들 덕분에 감시 소프트웨어가 전면적으로 실험됐다. 이렇게 해서 벤 알리의 튀니지는 오류가 남아 있던 시스템에 대해 할인 혜택을 받았다. 리비아는 아메시스에 자신의 소프트웨어 이글(Eagle)이 할 수 있는 (또는 할 수 없는) 것을 알아볼 수 있는 본격적인 실험장이었다.(8) 알카텔(Alcatel)은 버마에서 이런 실험을 했다.(9) DPI로 수집된 정보들은 반체제 인사가 느끼지 못할 만큼 조금씩 활용된다. 나머지는 고문이 담당한다. 성과가 입증된 못된 옛 기술을 되풀이하는 고문 기술자들에 의해.

이런 유형의 시장에 유럽 기업들이 다수 포진하는 것에 당황한 유럽의회는 전화 통화와 SNS 감시 시스템, 또는 인터넷 감시 기능을 제공하는 제품이 민주주의 원리를 위반하고 인권과 표현의 자유를 침해하는 데 이용될 경우 외국 판매를 금지하는 결의안을 통과시켰다.(10) 그리하여 2011년 12월 1일 유럽연합 이사회는 시리아 체제에 대한 제재 조처를 강화하면서 ‘인터넷과 전화 통화 감시를 목적으로 한 소프트웨어와 장비 수출’을 금지했다.

그러나 포괄적인 감청 제품 수출에 대한 법망은 허술하다. 이 제품의 생산자들은 여전히 법망을 쉽게 빠져나간다. 법제들이 제각각이기 때문이다. 정부가 인가한 내용은 공개되지 않고 있고, 이런 종류의 소프트웨어들은 엄밀한 의미에서 무기로 간주되고 있지 않다.

글 / 앙투안 샹파뉴 Antoine Champagne  <르플레 앵포> 기자

번역 / 채미서 yarche@daum.net

(1) Paul Sonne & Margaret Coker, ‘Firm Aided Libyan Spies’, <The Wall Street Journal>, 뉴욕, 2011년 8월 30일.
(2) ‘프랑스 정보기관의 전문가들이 리비아인을 정탐하는 카다피를 도왔다’, <카나르 앙셰네>, 파리, 2011년 9월 7일. ‘카다피 지지에 대한 군사 기밀’, 2011년 10월 12일.
(3) Jonathan Zittrain, ‘The Web as random acts of kindness’, TED(Technology, Entertainment, Design) 강연회, 2009년 7월.
(4) ‘Syria Crackdown Gets Italy Firm’s Aid With U.S-Europe Spy Gear’, <Bloomberg>, 2011년 11월 3일.
(5) WikiLeaks, ‘The Spy Files’, 2011년 12월 1일.
(6) Jennifer Valentino-Devries, Julia Angwin과 Steve Stecklow, ‘Document Trove Exposes Surveillance Methods’, <The Wall Street Journal>, 2011년 11월 19일.
(7) Timothy Karr, ‘One U.S Corporation‘s Role in Egypt’s Brutal Crackdown’, <The Huffington Post>, 2011년 1월 28일.
(8) Reflets.info 사이트에서 Amesys 관계 자료를 참조할 것.
(9) Diane Lisarelli와 Géerraldine de Margerie, ‘어떻게 알카텔은 버마 군사정권과 결합되나’, <Les Inrockuptibles>, 파리, 2010년 3월 26일.
(10) ‘유럽 의회가 독재자들에게 감시 기술을 파는 것을 금지하다’, Fhimt.com, 2011년 10월 11일.