커버스토리 제 68호 (1997년 03월 25일)

미, '마스터 키' 보관한채 수출

기사입력 2006.09.04 오전 11:59

『해커의 침입으로부터 안전합니다』라고 광고하는 미국산 암호화제품을 어디까지 믿어야 하는지 난감할 때가 많다. 암호기술은 미국에서 가장 발달한 것이 사실이지만 미국이외의 지역으로 수출할수 있는 상품은 저급한 제품들이기 때문이다.암호를 해독하거나 암호화하기 위해선 사용자가 만들어낸 고유의키가 필요하다. 자물쇠의 비밀번호를 사용자 마음대로 바꿀수 있는것처럼 암호를 해독하는 키 역시 사용자가 임의로 만들어 낼수 있다. 암호를 생성하는 키의 길이가 길면 길수록 암호를 풀기 어렵다.현재 미국의 기업이 아무런 제약없이 수출할수 있는 암호화제품의키 길이는 대칭형의 경우 56비트 이하이다. 56비트를 초과하는 제품의 경우 암호를 풀수 있는 「마스터키」를 법률이 정한 기관에위임(Escrow)해야 수출할수 있다. 자물쇠를 팔면서 제3의 열쇠를따로 갖고 있는 셈이다. 이는 상품판매자 혹은 판매자의 국가기관은 언제든지 고객의 거래내역을 훤히 들여다 볼수 있다는 의미다.경쟁국가의 기업정보를 얻기 위해 국가기관까지 동원할 정도로 치열한 경쟁이 전개되고 있는 시대에 키가 수출국에 위임된 제품을수입하는 것은 상거래 내역과 통신내용을 그대로 드러내 보일 수있는 가능성이 있다. 이때문에 OECD를 중심으로 국가간 이해를 침해하지 않는 조건에서 조정기준안을 마련중이다.

◆ 위임된 키, 안전한 보관 어렵다

보안컨설팅업체인 ISK의 박태완 이사는 『키 위임은 국가간 합의가먼저 이뤄져야 한다』며 『국내에도 키 위임기관이 있어 미국회사의 제품이라도 한국에서 사용하는 제품이면 한국의 키 위임기관이관리해야 한다』고 지적했다.그러나 정보통신기술의 발달속도는 너무 빨라 미처 제도가 논의되고 시행되기도 전에 일상생활과 상거래에 영향을 미친다. 키위임제도도 마찬가지다. 국내에서는 학계와 정부기관에서 키 위임제도에대한 연구보고서를 작성, 발표하는 단계에 머물러 있지만 시중에는이미 키위임된 제품이 공급되고 있다.키 위임제도를 적극적으로 추진하는 나라는 미국이다. 자국뿐 아니라 유럽 캐나다 등과 연계하여 추진하고자 하는 노력도 진행되고있다. 각국 정부는 키 위임제도의 도입에 긍정적인 것으로 알려졌다.키 위임제도와 관련, 가장 심한 반발에 시달리고 있는 나라는 미국이다. 의회가 열릴 때마다 키 위임제도의 폐지를 내용으로 하는 법안들이 3~4건씩 상정되고 시민단체들 역시 키위임제도의 폐지를 위해 다양한 시민운동을 펼치고 있다.시민단체들은 반대의 이유로 사생활 침해를 든다. 정부기관에서 부주의 혹은 고의로 키를 노출할 가능성 때문이다. 위임된 키는 절대적으로 안전하게 보관되어야 하는데 기술적으로 어렵다는 것이전문가들의 지적이다. 인터넷의 타임지라 불리는와이어드(http://www.wired.com)가 지난 미국 대통령선거때 노골적으로 비난하는 기사를 게재했을 정도로 클린턴행정부는 네티즌들사이에서 비난의 표적이 되고 있다.

소프트웨어업체들 역시 기업의 경쟁력을 들어 키 위임에 의한 암호기술의 수출통제에 적극 반대하고 있다. 전자상거래의 규모는 지난해말 북미지역에서 10억달러에 불과했지만 2000년까지 1천3백40억달러로 급성장할 전망이다. 전자상거래의 확산과 함께 급성장할 시장이 보안장비시장이다. 미국 소프트웨어업계는 정부의 규제 때문에 경쟁국가에 시장을 뺏길 것을 우려하고 있는 것이다. 128비트제품의 경우 미국기업이 수출규제로 묶여 세계시장에 팔수 없는 틈을타 독일과 같은 선진국뿐 아니라 핀란드의「데이터펠로우(http://www.datafellows.com)」 자이르의 「컴퓨소스(http://www.compusource.co.za)」와 같은 업체들이 급속히 시장을 넓혀가고 있다. 특히 인터넷에서의 제품개발주기가 6개월에 불과할 정도로 새로운 기술의 전파속도가 빠르기 때문에 미국업체들은 전자상거래시장형성 초반에 세계시장을 장악해야 경쟁우위를 유지할수 있다고 보고 있다.미국정부가 지난해 11월 「키의 길이가 56비트를 초과하는 대칭형암호화제품은 키를 정부기관에 위임해야 한다」는 방침을 발표했을때 미국의 언론이 『소프트웨어관계자들을 격분시켰다』고 표현할정도로 미국내에서 키 위임에 대한 여론은 좋지 않다.데이콤종합연구소의 권도균연구원은 『자국의 소프트웨어산업의 발전을 저해하고 유권자들이 등을 돌리는 데도 이 정책을 고수하는미국정부의 숨은 의도를 생각해야 한다』며 『암호기술을 바탕으로세계시장을 지배하려 하는 의도로밖에 해석할수 없다』고 지적했다.

◆ 전자상거래시장 장악해야 경쟁우위 확보

미국 상무부가 배포한 암호제품의 수출규제안을 담은 문서에는 키위임에 의해 암호기술을 통제하는 이유로 『마약상이나 테러단체를수사, 이들의 통신내용을 감청해야 하는 필요성』뿐 아니라 『고급암호기술이 미국이외의 지역에서 사용되면 외교정책과 국가안보를위협하기 때문』이라고 명시하고 있다.그러나 박태완 이사는 『보안프로그램을 판매한 회사가 지속적으로영업을 하기 위해선 제품에 대한 신뢰가 절대적인데 어떻게 스스로영업을 파괴할 짓을 하겠냐』며 『키 위임제도에 대해 지나치게 민감할 필요는 없다』고 말한다.『미국 정부는 자국내 서버를 경유하는 모든 전자우편내용을 데이터베이스에 집적하고 있다』는 소문이 인터넷을 통해 퍼지고 있다.물론 확인할수는 없지만 정보전쟁에 착실하게 대비하고 있는 나라가 미국이라는 점을 고려한다면 그럴듯하게 들린다.핵무기에 의해 평화를 유지하던 시대에는 핵우산아래서 안주할수있었다. 그러나 정보와 정보시스템이 중요한 「무기」가 된 시대에「핵우산」 대신 「정보우산」에 기댈수는 없는 노릇이다.

★ 용어 / 정보보호란

정보보호는 시스템과 데이터를 보호하는 것을 말한다. 시스템 보호의 가장 대표적인 방법은 방화벽설치다. 사내 네트웍 입구에 방화벽을 설치, 정상적인 사용자만 접속할수 있도록 한다. 데이터의보호를 위해 사용하는 방법은 암호화다. 누군가 데이터를 가로채거나 변조할지도 모르는 인터넷과 같은 공개된 네트워크를 이용할때 필요하다.이와함께 중요한 자료의 경우 암호화해 PC에 저장할때도 암호를 사용한다. 아래한글에서 「문서정보」에 암호를 입력하는 것이 한예다. 또는 암호 소프트웨어를 이용해 명령어를 입력함으로써 보안장치를 만들수도 있다.

★ 미 오픈마켓사의 거짓말

최근 전자상거래용 소프트웨어로 급성장하고 있는 미국의 벤처기업오픈마켓사가 1백28비트의 강력한 암호화기능을 갖춘 소프트웨어「OM트랜잭트」의 수출승인을 받았다고 발표했다. 미국은 정책적으로 56비트이상의 암호화 제품을 수출할때 암호를 풀수 있는 키를정부기관에 위임하도록 하고 있어 이 제품의 「키 위임(KeyEscrow)」여부에 관심이 몰려 있다.오픈마켓사의 홍보책임자는 『OM트랜잭트가 개인의 사생활보호와전자상거래의 안정성을 보호하기 위한 용도로만 사용될 것이라는조건부로 「키 위임」없이 1백28비트암호화 제품을 수출할수 있게됐다』고 밝혔다. 그러나 정말로 이 회사의 1백28비트 제품을 키위임없이 수출할수 있게 됐는지는 확실하지 않다. 키위임정책은 수년간 미국내에서 주요 논쟁거리였음에도 불구하고 이 회사가 배포한 보도자료에는 키 위임에 대한 내용이 빠져 있기 때문이다. 더구나 미 상무부대변인은 특정회사가 수출면허를 받았는지 확인하지않는다는 내부방침을 들어 오픈마켓사의 발표의 진위여부를 확인도부인도 하지 않고 있다.키 위임 면제대상은 56비트이하의 대칭형 암호화제품에만 국한되어있다. 따라서 1백28비트제품이 키 위임을 면제받았다면 그 규정이있어야 한다. 그러나 오픈마켓측은 1백28비트제품을 수출할수 있는법적근거를 제시해보라는 문의에 답변이 없는 상태다.최근까지도 미국 의회의원들과 시민단체들이 키 위임제도의 폐지를위한 법안을 통과시키기 위해 운동하고 있다. 이런 사실들을 종합하면 오픈마켓사는 키 위임에 관한 부분을 의도적으로 싣지 않았다는 것으로 추론할 수 있다.



당사의 허락 없이 본 글과 사진의 무단 전재 및 재배포를 금합니다.

입력일시 : 2006-09-04 11:59