"부엌칼은 살인도구" 보도가 또 나왔네요.
http://www.eto.co.kr/?Code=20100201151211710&ts=34419
이메일 패킷감청 시 ‘발·수신’ 모두 확인 가능…메신저도 무방비
[경제투데이] “패킷감청으로 웹메일, 아웃룩, 메신저 등의 감청이 모두 가능하다. 특히 패킷감청의 특성상 감청대상자와 연결된 불특정 다수의 사생활을 침해할 수 있다는 점에서 우려스럽다”
틀린 말은 아니죠. 패킷 감청(sniffing)이 악의적인 용도에 사용되어 지면 사생활 침해의 소지로 충분히 활용될 수 있는 기술이죠. 하지만 과연 이런 얘기를 하는 사람들이 전문적으로, 직업상으로 스니퍼를 돌려서 여러가지 네트워크상의 문제점을 해결하는 모습을 한번이라도 본 적이 있을까요?
1일 국회 의원회관 소회의실에서 열린 ‘패킷감청의 문제점과 개선방안 토론회’에서는 행사에 앞서 패킷감청을 통해 국내 유명 포털의 웹메일과 아웃룩, 메신저 감청이 어떻게 이뤄지는 지 시연이 펼쳐졌다.
안봐도 비디오죠. wireshark, cain & abel, tcpdump 비슷한 툴을 이용해서 보여 주기.
인권운동사랑방의 유성 활동가는 “인터넷에서 쉽게 구할 수 있는 해킹프로그램으로 감청대상자의 웹메일 감청을 시도하면 메일 확인 내용뿐만 아니라 메일 작성 내용까지도 볼 수 있다”며 네이버와 다음의 웹메일을 대상으로 직접 시연에 나섰다.
스니퍼가 해킹프로그램으로 오도되는 보도를 접하는 것이 한두번이 아니라서 이제는 화도 나지를 않는군요.
그는 “국내 모든 포털의 웹메일 패킷감청이 가능하고 POP3를 사용하는 아웃룩의 경우 아이디와 비밀번호까지도 노출된다”며 “메신저에서 이뤄지는 감청대상자와 제3자가 나누는 대화내용도 감청 프로그램을 통해 엿볼 수 있다”며 이를 직접 시연했다.
'칼로 사람을 찌르면 죽는다'라는 얘기. 칼이 사용되어 지는 긍정적인 부분에 대해서는 얼마나 잘 알고 있을까요?
이어, “이메일을 대상으로 한 패킷감청의 경우 감청대상자가 이메일을 사용하지 않으면 감청이 이뤄지지 않는다”고 설명했지만 “불특정 다수를 대상으로 한 패킷감청의 속성상 개인의 사생활 침해가 심각하게 우려된다”고 강조했다.
"이메일을 사용하지 않으면 감청이 이뤄지지 않는다" 이건 뭐, 유머도 아니고.
이날 토론회에 참석한 패널들도 이 같은 이유로 패킷감청이 허용돼서 안 된다는 데 의견을 모았다.
의견을 모았다구요? 스니퍼가 정확히 무엇을 하는데 사용되어 지는리를 아는 사람은 아무도 없다는 얘기인가요? 과연 패널들이 어떠한 사람들일까요? 아래를 봅시다.
아주대 법학전문대학원 오동석 교수는 “패킷감청은 개인은 물론이고 관련된 불특정 다수가 사생활, 비밀의 자유가 침해될 수 있는 광범위한 기본권 침해”라며 “패킷감청은 헌법적으로 허용될 수 없는 절대금지 영역”이라고 강조했다.
민주사회를 위한 변호사 모임의 권정호 변호사는 “패킷감청은 무차별적으로 감청할 수 있다는 것에서 수사목적과 특정되는 영장주의와도 맞지 않다”며 “일례로 인터넷 공유기를 사용하는 소규모 직장이나 가정에 감청대상자가 있으면 이들을 통째로 감청할 수 있고 피의자별로 감청을 허용하는 통신비밀보호법의 취지와도 정면 배치된다”고 말했다.
민주주의 법학 연구회의 오길영 박사는 “통비법이 아날로그 시대의 기술을 상정한 법체계로써 새로운 디지털 기술특성을 반영할 수 없는 한계를 지니고 있다”며 “패킷감청의 기술 위험성은 맹독성 재료로 허용되서는 안되고 상업화 역시 전면 금지돼야 한다”고 주장했다.
법학전문대학원 교수, 민주사회를 위한 변호사 모임의 변호사, 민주주의 법학 연구회의 박사, 역시나... "패킷 감청은 헌법적으로 허용될 수 없다"라네요. 뭐, 이건 네트워크 관련 회사에 입사를 해서 관련 기술을 습득하는 것조차도 이제는 대한민국에서 헌법으로 막으려 하겠다는 얘기로 들리는군요. 패킷 분석 없이 어떻게 네트워크 기술이 발달할 수 있습니까? 기술 자체를 무조건 범법 행위로 간주하려 하니, 아무리 한국 사람들리 머리가 좋고 부지런하다고 해도, 이런 편협한 시각들때문에 기술이 제대로 발전할 수 없는 것입니다.
지난주에 급한 프로젝트 하나가 들어 왔습니다. 인천 공항의 주차 관제 시스템에 문제가 생겨서 문제점을 파악해 달라고 하는 프로젝트입니다. 중앙에서 운영자가 명령을 내리면 네트워크상으로 실시산으로 명령이 전달되어 주차장 단말기에서 차단기가 올라 가고 내려 가고 하도록 하는 시스템인데, 네트워크 & 프로그램의 문제로 인해서 가끔 먹통이 된다고 합니다. 먹통이 되는 경우에는 차단기가 작동을 하지 않기 때문에 차들이 나가지도 들어 오지도 못하는 경우가 발생을 하죠. 이 문제점 때문에 아는 사람으로부터 급하게 의뢰가 들어와 전체 시스템을 검토해 보았고, 현재 스니퍼를 통한 정확한 원인을 파악하도록 하고 있습니다. 현재 문제점을 파악할 수 있는 프로그램을 제작중이구요, 물론 스니핑 기술을 기반으로 하고 있습니다. 이처럼 스니퍼라는 것은 이러한 네트워크 장애을 파악하고 원인 분석을 해서 문제점을 해결할 수 있도록 하는 데 사용되어 지는 것입니다.
"첫번째, 인천공항 주차 관제 시스템의 문제점을 스니핑으로 해결했다" 라는 것과 "두번째, 스니핑 기술을 이용해서 POP3 ID/Password를 알아 냈다"라는 2가지 사실을 가지고 아무 언론의 기자에게 연락을 합니다. 그러면 기자는 어떻게 나올까요? 첫번째는 당연히 기사거리가 되지 않습니다. 두번째는 언론의 좋은 소재(source)입니다. 네트워크 관련 분야야 전공이 아닌 이상 스니핑 기술을 아무리 설명을 해도 이해의 전달이 쉽지가 않습니다. 평소 스니핑에 대한 기술이 무엇인지를 접해 보지 못한 사람이 이렇게 부정적인 부분(사생활 정보 누출)에 사용되어 질 수 있다는 단적인 현상을 보고서, 일반인들에게 이러한 취약점의 위험성을 널리 알려야 한다는 대의 명분을 가지고 무분별하게 보도를 하는 경우를 너무나 많이 봐 왔습니다. 덕분(?)에 오픈 소스로 계속해서 공개를 하고자 했었던 저의 프로그램도 한바탕 홍역을 치루게 되었고, 이제 더이상은 오픈 소스 개발을 하지 않고 있죠. 오픈 소스 개발 & 운영을 열심히 해 봤자 "범법"행위를 하는 사람으로 간주되는 결과만 야기될 뿐이이까요. SnoopSpy version 3는 절대 절대로 한글로 번역해서 공개하지는 않을 것입니다. "절대로!!!"
대부분의 컴퓨터와 관련된 기술들은 언론을 통해서 일반인들에게 알려 지지 않습니다. 그럴 필요가 없기 때문이죠. 그런데 유독 스니핑 기술은 아무것도 모르는 사람들에 의해서 ID/Password 정보가 누출되어 지는데 사용되어 지는 기술이라는 편협한 시각만을 가지고 위에서 열거한 개인정보 사생활 노출에 사용되어 지는 해킹 기술이라고 단정지어 버리게 되죠. 마치 부억칼이 요리를 하는데 사용되어 지는 것은 전혀 모르는 사람이 살인을 위해 사용되어 졌다는 정보만을 가지고 부엌칼은 없어 져야 한다는 생각을 가지듯이. 기술을 모르는 사람들이 그 기술의 일부 활용(악용) 부분만을 가지고, 전체로 호도하는 경우를 너무나 많이 봐 왔습니다.
스니핑 기술은 네트워크의 기초적인 학문입니다. 스니핑을 알아야 라우터 & 스위치를 이해할 수 있고, 고가의 네트워크 장비를 만들 수 있고, 관련된 산업들이 발달할 수 있습니다. 하지만, 이러한 기술을 모르는 사람들에 의해서, "스니핑 기술이 악"으로 단정지어져 버리고, 관련 기술들이 보급이 되어 지지가 않죠. 컴퓨터 관련 학과를 나온 대부분의 학생들 중에 스니퍼 한번 돌려 보지도 않고 졸업을 하는 사람들이 태반입니다. 왜 그럴까요? 바로 위와 같이 "스니핑은 범죄"라는 인식이 만연되어 있기 때문에 제대로 된 기술의 보급이 힘들기 때문입니다. 국내에서 네트워크와 관련된 제대로 된 오픈 소스 하나 없고, 세계적으로 내세울 만한 네트워크 관련 업체가 나오기 힘든 것도 바로 이러한 연유에서입니다. 알려고 하는 시도 자체마저도 그릇된 시각으로 바라 보려 하는 인식.
거의 불가능에 가까운 바램이지만, 이제 더 이상은 패킷 캡쳐를 범죄 행위로 단정 지어 버리려 하는 무지한 발언들은 더이상 없었으면 하는 바램입니다.
어쩌다 우연히 보게 되었습니다만, 오래된 글이지만 오해를 풀고자 댓글 남깁니다.
패킷캡쳐 != 패킷"감청"
감청이란 제3자의 통신을 감시하여 엿듣는 행위를 말합니다. 보통은 국가기관이나 통신사, 고용주가 주체이고, 시민,서비스가입자,고용인이 감청대상이죠. 말씀하신 주차관제 시스템 문제 해결처럼 감청대상자의 프라이버시와는 무관하게 사용된 패킷캡쳐/스니핑을 패킷감청이라고 부르지는 않습니다.
저 토론회 역시 국정원과 통신사의 패킷감청에 대한 문제의식으로 마련된 자리였습니다. 저는 현업기술자로서, 업무상 종종 유용하게 쓰는 wireshark를 써서 시연을 했구요. 시연의 목적은 기술자가 아닌 사람들에게 패킷감청이란 어떤 것이며, 어느 정도까지 가능한지를 감을 잡게 해주는데 있었습니다. 음성 감청과는 달리 패킷 감청은 수집대상물이 훨씬 추상적이라, 저런 식으로 보여주지 않으면 보통 사람들은 그게 자신의 프라이버시와 얼마나 어떻게 관련되는지 이해하기 어렵고 막연한 상상 밖에 할 수 없기 때문입니다.
오해가 풀렸으면 좋겠습니다.
국내 해킹 관련 언론 보도에는 변하지 않는 떡밥 2개가 있습니다. 그중 하나는 스니퍼를 이용해서 정보 탈취하기이고, 나머지 하나는 key logger 깔아 놓고 뱅킹 해킹하기입니다. 이 2가지는 일단 일반인들에게 자극적으로 쉽게 보여 줄 수 있기 때문에 예전이나 지금이나 언론이 좋아 하는 주제이죠.
지금까지 이러한 시연은 수십번은 봐 온 것 같은데, 결론적으로 이러한 행위(시연 및 언론 보도)는 해킹&보안 문화의 발전에 별 도움이 되지가 않습니다.
1. 기술을 모르는 사람들 앞에서 기술적인 얘기를 논한다는 것은 거의 불가능.
2. 따라서, 해법을 논하지 못하기 때문에 그냥 자극적인 시연 위주로 발표가 이루어 짐.
3. 기술적인 이해가 되지 않은 상황에서 법적으로만 억제하려는 모습도 보임.
4. 언론은 문제에 대한 해법의 강구과 대책이 없이 무조건 까기만 함.
[ps]
패킷 분석, 감청, 도청의 구분은 귀에 못이 박힐 정도로 많이 들어 왔습니다.
이런 시연하게 되면 욕먹을 수 밖에 없습니다. 저 또한 잘 이해합니다.
그러기 때문에 그러한 자리(지위 높으신 분들 행사의 꼭두각시 노릇)는 피하는게 상책입니다.
"패킷 감청은 헌법적으로 허용될 수 없다"라는 주장을 '패킷 분석 없이 어떻게 네트워크 기술이 발달할 수 있습니까?'라는 식으로 반문하시니, 그것은 오해라는 것입니다. 저 토론회 뿐만 아니라 그 이전이나 이후에도 '패킷 분석 일반'을 금지해야한다는 주장은 본 적이 없습니다. 적어도 정보인권단체 같은 시민사회나 법학자, 국회 차원에서는요. '패킷 캡쳐를 범죄 행위로 단정 지어 버리려 하는 무지한 발언' 역시 저기선 나온 적 없고요. 지금 문제가 되는 건 헌법상 기본권인 통신비밀의 자유, 프라이버시와 관련된 패킷 분석을 말하는 것 아니겠습니까?
기술자가 아닌 사람들은 물론 기술 자체에 대해서는 이해도가 떨어지지만, 그렇다 해서 기술의 효과와 그것의 사회적 맥락까지 이해
못하는 건 아닙니다. 기술적 디테일을 몰라도 그 핵심만 파악한다면, 법률이나 제도는 얼마든지 합리적으로 만들어질 수 있습니다. 그건 국회의원들이나 법학자들을 공부시키면 되는 일입니다.
오히려 정말로 어려운 것은 대립되는 법익/이해관계의 조정이겠지요. 국정원/통신사의 이해관계와 국민들의 프라이버시는 서로 조화와 균형을 이루어야할 문제이지, 어느 한쪽이 다른 한쪽을 일방적으로 기각해버리는 문제는 아닐 겁니다, 위상은 다를 수 있겠습니다만. 저 토론회는 바로 그런 조정을 해야하는 국회의원들을 상대로 이 쟁점에 대한 이해를 높이기 위해 정보인권단체와 국정원/통신사측 토론자들이 토론하는 자리였습니다. "(기술적) 해법을 논하지 못하기 때문에 그냥 자극적인 시연 위주로 발표가 이루어" 지거나, 말씀하시는 것 같은 황당한 소리들이 나오는 자리는 아니었죠. 그리고 사실 이런 쟁점에서 기술적 해법은 그리 큰 역할을 하지 못합니다.
이해관계가 대립되는 쟁점에선 무슨 일을 하든 욕은 먹게 마련이고, 그것이 합리적 근거를 갖고 있느냐만 중요할 뿐 욕먹는 것 자체는 그리 개의치 않습니다. 다만 꼭두각시 역할을 한 건 아니었습니다. :) 저야말로 국정원이나 통신사를 견제하기 위해선 반드시 발전하고 있는 기술에 대한 이해를 적극적으로 법제도 내에 침투/반영시켜야 한다고 생각하니까요. 인용하신 오길영 교수의 말씀과 비슷한 맥락에서요.
국내 인터넷 환경에서 유해 사이트에 들어 가려고 하면 www.warning.or.kr 로 redirect되는 것을 보신 적이 있는지요. ISP단에 네트워크 패킷 분석 장비를 도입해 놓고 특정 사이트에 들어 가려고 하면 302 redirect로 응답을 주도록 하는 거죠. 그런데, 이 기능에 많은 이슈가 있어 왔었습니다. 음란/마약/도박/폭력과 관련된 사이트를 차단하는 것은 일반적인 국민적 공감대 형성이 되어서 반감이 크지 않는 반면에(그래도 야한 사이트 막힌다고 불평을 하는 사람도 있음), 정치적인 이슈를 담은 사이트들에 대한 차단은 항상 논란이 되어 왔죠. 인터넷에서 "2MB18nomA"로 검색을 해 봐도 관련 보도가 많이 나옵니다.
질문 1. sex.com 차단하는 것은 합법이고 2MB18nomA 차단하는 것은 불법일까요?
일부 기업서는 웹메일 쓰기를 100% 금지하거나 특정 단어("기획서"와 같은)가 포함된 메일 쓰기를 금지하는 기업들이 많이 있습니다. "네이버 웹메일 쓰기"를 전국민적으로 차단하지는 못하지만, 기밀 유출을 방지하기 위해서는 일부 회사에서 이러한 기능을 사용하기도 합니다. 기밀이 중요한 기관에서는 거의 의무적으로 사용을 하고 있습니다(이는 국내나 해외나 마찬가지임).
질문 2. 웹메일 쓰기를 금지하는 행위는 합법일까요, 불법일까요?
또 다른 예. P2P를 사용하다 보면 네트워크 트래픽에 과부하를 준다고 해서 P2P를 막는 곳이 많습니다. 학교, 관공서에서는 기본적으로 100% 차단하는 것이 일반적이고, 국제 ISP간 트래픽은 outbound traffic으로 서로간에 돈 계산을 하기 때문에 P2P outbound traffic을 어느 정도까지 제한하기도 합니다.
질문 3. P2P 트래픽을 차단(혹은 일부 차단)하는 것은 합법일까요, 불법일까요?
위에서 열거한 내용만 가지고 봤을 때, 이들을 합법과 불법을 단정지을 수는 없습니다. promiscuous mode이냐 아니냐, proxy(ARP spoofing, GRE tunneling, Web 혹은 TCP proxy) 환경에서 보느냐 아니냐, L3 header까지만 보느냐 아니면 L7레벨까지 전부를 보느냐(언론에서 얘기하는 DPI), 등등... 합법과 불법을 구분지으려 할 때, 기술적인 요소를 가지고 구분해서는 안됩니다.
또한 유성님이 말씀하신 "3자의 통신을 보는 행위"를 판단 근거로 해서 합법과 불법을 구분하는 것도 좋은 방법이 아닙니다. wireshrark을 가지고 자신 host의 패킷을 보면 분석(합법)이고, 스위치/라우터/백본/탭 기반의 mirroring 환경에서 다른 host의 패킷을 보는 것은 감청(불법)이라고 할 수는 없겠죠. 로컬 패킷(자기 자신의 패킷)을 처리해서 해킹에 사용되기도 하고, 반대로 남의 패킷을 처리해서 네트워크 운영에 도움을 줄 수도 있으니까요. "L3까지 보는 것은 괜찮고, L7 레벨까지 보는 건 안된다" 혹은 "내거 보는 것은 괜찮고 다른 사람거 보는 것은 안된다"라는 것은 좋은 기준이 될 수 없습니다. 결국 패킷 분석 행위를 가지고 합법과 불법을 구분하는데 있어서 기술적 요소는 그리 중요하지 않으며, 시대와 상황에 따라 그때그때 다를 수 밖에 없다는 결론을 내게 됩니다.
"저 토론회 뿐만 아니라 그 이전이나 이후에도 '패킷 분석 일반'을 금지해야한다는 주장은 본 적이 없습니다. 적어도 정보인권단체 같은 시민사회나 법학자, 국회 차원에서는요." 라고 말씀하셨는데요, warning.or.kr redirect 모듈을 담당했던 사람이 바로 저였었습니다. 유성님은 그러한 주장을 들어 본 적이 없다고 하시지만, 저는 그러한 클레임을 수도 없이 들어 온 경험이 있는 사람입니다. "2MB18nomA"를 차단해 달라는 의뢰가 왔을 때, 갑을 관계에서 정치적인 소신을 배제할 수 밖에 없는 경험을 겪어 보신다면, 그런 말씀은 하지 못하실 겁니다.
말씀하신 건 표현의 자유와 통신 검열의 문제네요. 프라이버시와 겹치는 부분이 있지만 독립된 영역이면서, 역시 논쟁의 여지가 많은 부분이구요. 그러나 이 부분 역시 검열(을 위한 패킷 분석)에 대한 반대가 핵심이지, 패킷 분석 일반에 대한 반대가 핵심이 아니겠죠. 만약 누군가 잘 모르고 그런 말들을 한다면, 차근 차근 설명할 문제 아닐까 싶습니다.
말씀을 들어보니 인터넷 차단과 관련된 업무를 수행하시면서, 정치적 소신과 반대되는 업무까지 해야하는 갈등 상황이나, 현장에서 제대로 검증/정제되지 않은 이런 저런 말들에 치이셨으리라는 점은 충분히 납득이 되고 이해가 갑니다. 그러나 그런 편향이 그 반대의 편향을 정당화해주지는 않는 것 같습니다. "정보인권단체 같은 시민사회나 법학자"들이, 위의 토론회에 대해 이 글에서 묘사하신 것처럼, '패킷 분석 일반'을 금지해야한다는 식의 황당한 주장을 하고 있지는 않습니다. 국회의원들도 바보가 아니구요. 제가 알고 있는 바와 달라 선뜻 믿기지 않는데, 혹시 레퍼런스를 제시해주실 수 있으면 감사히 읽어보겠습니다.
"패킷 분석 행위를 가지고 합법과 불법을 구분하는데 있어서 기술적 요소는 그리 중요하지 않"다는데 동감합니다. 그 기술을 누가 무엇을 위해 어떻게 사용하고 있느냐가 중요한 것이고, 또한 위에서 전문적으로 잘 말씀해주신 것처럼 기술적 수준에서는 "감청대상자의 프라이버시와는 무관하게 사용"되었는지 아닌지 여부와 같은 법적/윤리적 수준의 판단을 연역해내기 어려우니까요. 그러나 사람은 판단할 수 있습니다. 바로 그 얘기들을 하고 있는 것이죠. 칼을 반대하는 게 아니라, 사람 다치게 하는데 칼을 쓰고 있으니 그러지 말라는 겁니다.
(늦은 감이 있습니다만 관련 내용들 링크합니다)
http://act.jinbo.net/drupal/node/3957 당시 토론회 자료
http://act.jinbo.net/drupal/taxonomy/term/1582 패킷감청 관련 진보넷 입장들
여기에서 저랑 논의해 봤자 서로에게 도움이 되는 긍정적인 결론은 내리기 힘듭니다.
더 좋은 칼을 만드는 것이 주 업무인 사람과, 칼로 사람 다치게 하는 것을 우려하는 사람과는 의견의 수렴이 어려울 것 같습니다.
더 이상의 코멘트는 하지 않습니다.
넵 그동안 말씀 고맙습니다. 의견 수렴이 어려울 것 같다고 하셨지만, 사실 해주신 말씀으로도 충분히 그렇게 판단하시게 된 그 너머의 지점들을 헤아릴 수 있었고, gilgil님께서 갖는 입장 또한 존중합니다. 세상이 그리 단순하지 않으니까요 :) 주신 말씀들을 바탕으로 좀 더 성실하게 고민하겠습니다.
다만 진보넷과 같은 정보인권단체에서 저런 토론회를 하면 비전문가들이 아무것도 모르면서 선정성에 기대어 지르는 건 아니라는 점을 이해해주셨으면 합니다. 기술 발전의 흐름을 따라가느라 늘 전문적 견해에 목말라하며 이런 저런 경로로 쟁점과 주장들을 검증하고 있지만, 공개적으로는 선뜻 나서려는 분들이 그리 많지 않아서 어려움이 많답니다. 그래도 기사에 보도된 내용이 아니라 구체적인 내용들을 들여다보시면, 보도에 비친 이미지와는 달리 검증된 내용 이상으로 무리한 주장을 하고 있진 않다는 걸 아실 수 있으리라 생각합니다. 저 기사는 주장 인용에서 '단서'를 삭제하는 등 문제가 많은 것 같습니다.
길어졌습니다. 늘 건강하십시오.
그냥 웃고 말지요 : )