인터넷 기록은 범죄 추적에 필수적이지만 개인에게는 프라이버시 침해하는 단초


요즘 범죄가 발생하면 늘 따라다니는 이야기가 있다. 다름 아닌 컴퓨터나 스마트폰 등과 같은 다양한 컴퓨터 장치에 대한 압수 수색이다. 여기에다가 통신사, 카드사, 사회관계망서비스(SNS) 회사 등에 보관되어 있는 각종 컴퓨터 기록을 확보한다는 이야기 등이 덧붙여진다. 범죄가 아니더라도 기업 등의 내부 감사에서도 유사한 일들이 있다. 보안이 요구되는 정부의 중요 기관도 자체 보안을 위해 사건이 발생할 때마다 이런 종류의 일이 있게 된다. 이들을 한마디로 요약하면 컴퓨터 기록의 확보이다. 컴퓨터 기록을 확보하는 이유는 증거의 확보와 어떤 사건의 진행을 추적을 위함이다. 이렇게 확보된 증거는 범죄를 입증하는데 활용되기도 하고 특정 사건이 발생한 경로를 추적하는데 이용된다. 코로나19와 같은 감염병 확진자의 동선을 파악하는 데도 활용된다. 통신사가 보유한 통신 기지국 위치, 신용카드사용 내역, 교통카드 사용 내역 등을 통해 이동 경로를 빠르고 정확하게 알 수 있게 해준다.

이러한 기록의 활용은 비단 범죄나 사건에만 국한되지 않는다. 보호자가 어린 자녀들이 이동하는 장소나 컴퓨터 사용 내역을 파악하는데 이용되기도 한다. 또한 운동 기록이나, 연인들 간에 상호 위치를 교환하는 등과 같은 일상생활에서도 자연스럽게 이용된다. 그런데 이와 관련하여 항상 생겨나는 논란거리가 있다. 추적 가능성과 프라이버시 침해 문제이다. 예를 들어 해커를 추적한다든지, 특정 사이버 범죄에 가담한 범죄자들을 추적하는데 추적할 수 있느냐 없느냐의 문제이다. 그리고 그 과정에서 발생하는 과도한 정보의 노출로 인한 프라이버시 침해의 문제이다. 이 두 가지 문제는 갈수록 그 강도가 강해지는 논란거리이다. 이 문제를 제대로 이해하기 위해서는 컴퓨터 기록이 어떻게 발생하고 어떤 방식으로 남겨지는지에 대한 이해가 먼저 필요하다. 모든 컴퓨터 장치는 저장과 전송이라는 두 가지 단순한 행위로 구성된다. 셀 수 없는 많은 저장과 전송이 반복되는 행위가 이뤄지는 것이 우리가 사용하는 인터넷이라고 보면 된다. 인터넷은 컴퓨터와 컴퓨터들을 서로 연결한 결과물이다. 인터넷에 연결된 2개의 특정 컴퓨터가 통신을 하기 위해서는 중간에 다른 컴퓨터를 경유해야 한다. 그리고 컴퓨터 간에 통신을 위해서는 우선 컴퓨터에 전송하려는 데이터를 저장하고 그 저장된 데이터를 다른 컴퓨터에 보내게 된다. 즉 통신 그 자체는 저장과 전송을 의미한다고 보면 된다. 저장과 전송, 저장과 전송이 순차적이고 반복적으로 이뤄지는 것이 인터넷을 통한 정보의 전송이라고 보면 된다. 예를 들어 한국에 있는 갑돌이가 미국에 있는 을순이에게 이메일을 보내는 경우를 살펴보자. 갑돌이가 을순이에게 보내는 이메일을 작성하면 갑돌이의 컴퓨터에 작성된 이메일 내용이 저장된다. 이를 을순이에게 보내고 을순이가 이메일을 받게 되면 을순이의 컴퓨터에 이메일 내용이 저장된다. 단순한 이메일 전송으로 동일한 내용이 갑돌이와 을순이의 컴퓨터에 이메일 내용이 저장된 것이다. 그런데 이 이메일 내용이 갑돌이와 을순이의 컴퓨터에만 기록이 되는 것이 아니다. 한국에서 미국에까지 이메일을 보내려면 인터넷에 연결된 다른 통신장치들이 존재하는데 여기에도 이메일 내용이 저장된다. 동일한 이메일 내용이 최소 두 군데 이상 저장된다는 점이다.

모든 컴퓨터 장치는 저장과 전송이라는 2가지 단순한 행위로 구성

이러한 방식은 우리가 편지를 보내는 것과 사뭇 다르다. 갑돌이가 편지를 작성하여 우편으로 보내는 경우에 그 편지는 갑돌이뿐만 아니라 중간에 편지를 전달하는 한국이나 미국의 우체국에도 남지 않는 것과 상당이 다르다. 오직 그 편지를 받은 을순이에게만 있는 것이다. 이렇듯 여러 곳에 저장되는 이메일은 예기치 못한 문제를 발생시킨다. 이메일을 보내는 중간에 있는 컴퓨터에 저장된 내용이 을순이가 아닌 제3자가 보게 된다는 점이다. 이른바 정보의 노출이다. 누군가가 갑돌이나 을순이, 중간 컴퓨터에 저장된 이메일 내용을 해킹을 통해 가져갈 수도 있다. 개인 간에 보내진 서신 내용이 이같이 노출된다면 누구도 사용하지 않을 것이다. 이 같은 정보의 노출을 막기 위해 가장 단순하게 고안된 방식이 이메일 내용을 암호화하는 것이다. 보내고 받는 이들 간에만 열어 볼 수 있도록 암호화를 하게 되면 중간에 저장되더라도 그 내용을 쉽게 알 수 없기 때문이다. 또한 해킹으로 이메일을 가져간다고 하더라도 암호화된 내용을 해독할 수 있는 정보가 없다면 이메일 내용의 노출을 막을 수 있기 때문이다. 그리고 인터넷을 이용한 전송에는 또 다른 비밀이 숨겨져 있다. 모든 컴퓨터가 하나의 주소를 갖고 있다는 점이다. 이 주소를 통해 정보의 전송을 한다는 점이다. 갑돌이로부터 을순이에게 이메일을 전달하는 과정에 놓여 있는 모든 컴퓨터의 주소가 꼬리에 꼬리를 물고 이어진다. 이 주소들을 연결하면 이메일이 전송된 경로를 파악할 수 있게 되는 것이다. 갑돌이가 편지를 보내는 경우와 같다. 발송한 우체국에서부터 미국에 도착하여 배달되는 경로를 알 수 있는 것과 같다. 편지를 보내는 경우 이 경로는 대체적으로 항상 고정적이다. 그런데 인터넷의 경우는 항상 고정적이지 않고 지속적으로 변한다. 중간에 연결된 컴퓨터 주소를 모르더라도 이메일을 보내고 받은 주소는 항상 알 수 있다. 최소한 이메일을 보낸 컴퓨터 주소는 알 수 있는 것이다.

이러한 정보를 이용해서 인터넷을 통해 정보를 주고받은 양 당사자들을 알아 낼 수 있는 것이다. 양 당사자를 알아내는 것이 인터넷 즉 컴퓨터에서 추적에 해당된다. 컴퓨터 범죄자들은 이러한 추적을 피하기 위해 자신의 컴퓨터 주소를 다른 주소로 바꾸거나 중간에 연결된 다른 컴퓨터를 이용하여 주소의 추적을 피하는 행위를 하게 된다. 범죄에 가담한 한쪽 당사자를 찾았다 하더라도 다른 한 쪽의 당사자를 찾기 어렵게 되는 것이다. 이런 추적을 어렵게 하는 서비스를 제공하는 곳도 생겨난다. 어둠의 웹(Dark Web)으로 불리기도 한다. 이들은 양 당사자의 중간에 위치하여 정보를 보내는 곳과 받는 곳을 숨겨주는 역할을 한다. 중간에 저장되는 정보를 외부에 노출시키지 않기 위해 끊임없이 저장되는 정보를 삭제한다. 어둠의 웹을 통해 정보를 보내는 측은 상대방이 누구인지 어디에 있는지 알 수가 없다. 반대의 경우도 마찬가지이다. 누가 정보를 보냈는지 알 수 없는 것이다. 중간에 서비스를 제공하는 곳만이 알 수 있다. 범죄자들은 중간 서비스 제공자에게 또 다른 범죄를 당하게 되기도 한다. 인터넷 범죄에서 추적이 어려운 이유이다. 그렇다고 해서 이 같은 경우에 있어서 추적이 불가능한 것만은 아니다. 이런 불법적인 서비스조차도 그 외부는 정상적인 서비스로 둘러싸여 있다. 이곳으로 들어가는 정보와 나가는 정보를 지속적으로 관리하면 그 종적을 충분히 찾아낼 수 있기 때문이다. 문제는 불법 서비스를 하는 곳도 이러한 추적을 피하기 위해 끊임없이 변화를 가져간다는 점이다. 추적을 하는 쪽에서도 어려움이 있다. 중간에 놓여 있는 컴퓨터들이 정보를 일시적으로만 보관을 한다는 점이다. 그래서 때로는 아예 어둠의 웹으로 들어가는 경로는 차단하기도 한다. 범죄자들이 이용을 하지 못하도록 막는 것이다. 범죄의 추적을 단정적으로 쉽다 어렵다로 표현하기가 쉽지 않은 일이다. 다양한 경우를 살펴보아야 하고 단순히 기술적인 관점을 넘어 컴퓨터와 사람의 관계를 어떻게 연결시켜 파악해 낼 것인가와도 연관되어 있기 때문이다.

정보의 노출은 그대로 프라이버시 침해로 이어져

다음으로 프라이버시 문제를 살펴보자. 정보의 노출을 그대로 프라이버시 침해로 이어진다고 해도 과언이 아니다. 컴퓨터에 남겨져 있는 특정인의 각종 기록을 모을 경우 그 사람의 일상을 상당 부분 드러낼 수 있게 되는 것이다. 정당한 법 집행에 의해 이뤄지든 불법적인 상태로 모아지든 인터넷을 사용하는 대다수는 이러한 위험성에 늘 노출되어 있는 것이다. 인터넷에 연결된 컴퓨터를 사용하면 그 사용기록이나 그 내용이 컴퓨터에 저장된다. 저장과 전송이라는 기본적인 개념이 달라지지 않는다. 이런 사용기록이나 내용은 자신의 컴퓨터에만 기록되는 것이 아니라 해당 서비스 제공자의 컴퓨터에도 동일하게 남아 있다는 것이다. 특정 서비스를 이용한 이용자를 찾아내는 가장 쉬운 방법이 서비스 제공자의 컴퓨터 기록을 살펴보는 것이다. 불법적인 서비스 제공자가 이용자들을 상대로 또 다른 범죄를 저지르게 되고 이에 당하는 이용자들도 늘 발생한다. 모두 컴퓨터에 저장되는 기록을 악용하는 경우이다. 일반적인 서비스의 경우에는 이러한 기록들을 비즈니스에 필요한 내용에 한하여 저장을 하게 된다. 일정 시간이 지나면 그 기록을 삭제하게 된다. 그럼에도 불구하고 이러한 정보들은 항상 프라이버시 침해의 근원이 되는 것이다.

저장과 전송은 인터넷을 활용한 범죄의 추적에 필수적이면서 개인에게는 프라이버시 침해를 제공하는 단초가 된다. 프라이버시 침해를 예방하기 위해서는 저장되는 정보를 암호화해야 하고 추적을 피하기 위한 방안을 강구해야 한다. 실제로 이러한 방식으로 인터넷 서비스는 진화하고 있다. 반면에 이런 기술적인 특성을 이용하여 범죄에 활용하려는 시도도 꾸준히 늘고 있는 것이다. 하나의 기술을 어떻게 활용하느냐에 따라 그 결과는 다른 것이다. 프라이버시 침해를 방지하기 위한 다양한 기술들이 그대로 범죄에서 추적을 피하는 기술로 활용되는 것이다. 이러한 양면성을 우리는 이해하고 인정을 해야 한다. 새로운 기술적 해결책은 새로운 범죄나 또 다른 부작용을 초래하게 된다. 기술 자체가 프라이버시 보호를 위해 만들어진 기술이라면 그 기술이 비록 범죄에 활용된다고 해서 사용이 제한되어서는 안 된다. 편법적인 방법을 활용하려는 시도가 종종 나타나는 것도 경계를 해야 한다. 예를 들어 제3자에게 암호키를 나누어 보관하자는 시도이다. 이러한 방식은 제3자가 또 다른 범죄를 저지를 가능성을 열어 주는 행위에 불과한 방식이다. 저장과 전송이라는 단순한 개념을 잊어서는 안 된다. 누구도 모를 것이라는 안일한 생각으로 나쁜 서비스를 이용하게 되면 그 기록이 그대로 칼이 되어 나에게 돌아올 수 있다는 점을 분명하게 알아야 한다. 누구도 알 수 없으니 안심하라는 인터넷 악마의 속삭임에 빠져들지 말아야 할 것이다. 프라이버시 침해는 스스로 만들어 내는 경우도 많다는 점을 알아 둘 필요가 있다.

● 한호현 (테크칼럼니스트·공학박사)

- 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.



주간한국