카카오톡 검열, 감청 논란은 기자들에게도 많은 시사점을 던져줬다. 자신들이 은밀하게 주고 받는 대화가 정부와 수사기관에 의해 언제든 노출될 수 있다는 가능성을 들춰냈다. 기밀에 가까운 제보를 주고받을 때 더 이상 메신저가 안전하지 않다는 사실도 확인할 수 있었다. 데이터 암호화의 중요성을 상기시킨 사건이라고 할 만하다.

하지만 여전히 기자들은 보안에 무지한 편이다. 철저한 보안이 요구되는 문서를 암호화 되지 않은 이메일로 전송하는가 하면 핵심 제보조차도 암호화되지 않은 사내 메일로 받곤 한다. 이 경우 그 누구보다 위험에 처할 수밖에 없는 행위자는 기자가 아닌 제보자다. 기자가 특종에 취해있는 사이, 수사기관은 감청한 내용을 바탕으로 제보자를 색출한다.

암호화에 무관심한 국내 기자들이 참고할 만한 사례가 있다. 2013년 스노든의 제보 과정이다. 이를 위해 잠시 2013년 허핑턴포스트의 기사를 들여다보자.

“문제가 있었다. 스노든은 오로지 PGP 암호 기술을 이용한 보안 상태에서 커뮤니케이션하길 바랐다. 그린왈드는 그 당시만 하더라도 PGP 암호화된 소프트웨어를 사용해본 적이 없었다. 허핑턴포스트와의 인터뷰에서 그린왈드는 그런 기술을 사용할 수 있는 전문가가 아니라는 사실을 알려줬고 스노든에게 이메일로 하나하나 설명해달라고 부탁했다.”(허핑턴포스트 보도)

스노든 제보 위해 PGP 암호화 요청

스노든이 NSA의 PRISM 프로젝트를 가디언 기자 그린왈드에게 제보할 당시 활용된 기술이 있다. PGP 암호화 기술이다. 제보자인 스노든은 그린왈드에게 PGP 기술을 사용해 커뮤니케이션 하자고 제안했다. 그러지 않으면 감청, 감시 당할 수 있다는 우려 때문이었다. 하지만 그린왈드는 이 기술에 대해 잘 알지 못했다. 미국 정부에 의한 감시가 얼마나 고도화됐는지를 확인할 수 있는 상징적 사건이었다.

PGP는 Pretty Good Privacy의 약자다. 우리 말로 풀면 ‘꽤 좋은 프라이버시’다. 종단간 암호화(End to End Encryption) 기술의 하나인 PGP 는 인터넷 전자우편을 암호화하고 복호화하는데 사용되는 인기 프로그램이다. 지금은 이메일 보안의 표준 기술로 통한다. 2010년 시만텍이 PGP 기술을 인수하면서 특정 기업의 차지가 됐지만 지금도 PGP의 암호화 강도는 신뢰를 잃지 않고 있다.

필립 짐머만(출처 : 위키피디아)

필립 짐머만(출처 : 위키피디아)

PGP 암호 프로토콜을 처음 개발한 이는 필립 짐머만(Philip Zimmermann)이다. 짐머만이 PGP를 개발한 1991년으로 거슬러 가보자. 1991년은 정치적으로 중요한 해였다. 걸프 전쟁이 종료된 때다. 사담 후세인이 쿠웨이트를 침공하자 미국 등 다국적군이 쿠웨이트를 보호하기 위해 전쟁에 가담하면서 걸프 전쟁이 발발했다. 1990년에 시작된 이 전쟁이 1991년 2월 28일 마침내 종료된다. 아버지 조지 부시가 대통령으로 재임할 당시다.

당시 미국 상원에는 266호 법안이 제출됐다. 범죄 방지 법안이었다. 여기에 무시무시한 내용이 숨어있었다. 구속력이 없는 이 법안이 실제 입법화될 경우 휴대전화 제조사 등은 제품에 ‘Trap Doors’라는 일종의 백도어를 반드시 삽입해야 했다. 미국 정부는 이 백도어를 통해 암호화된 메시지를 풀어 통화 내용 등을 해독할 수 있게 되는 것이다. 이메일과 통화 등을 감청함으로써 범죄 세력을 발견하고 소통하겠다는 은밀한 전략이 녹아있는 법안이었다.

PGP 기술 개발의 발단 ‘상원 266법안’

이 법안에 따르면 개별 전자적 커뮤니케이션 서비스 업체들은 개인 간의 커뮤니케이션 데이터(음성, 데이터, 기타 커뮤니케이션 방식)를 정부가 요청하면 제공하도록 적시돼있었다. 짐머만은 이에 분노해 PGP 코드를 짜기 시작했다.(Philip Zimmermann, 1999)

PGP는 이처럼 개인 간의 이메일 교환, 전자적 음성 교환 과정에서 발생할 수 있는 정부 감시 를 벗어나기 위해 설계된 기술이다. 짐머만은 폭넓게 이 기술을 활용하도록 하기 위해 1993년 오픈소스로 풀어버렸다.

이로 인해 그는 3년간 조사를 받게 된다. 미국 무기수출제한법안에 따른 것이다. 미국 정부는 비교적 오래 전부터 암호화 기술의 해외 수출을 막아왔습니다. 짐머만의 소스 코드 공개로 전 세계 누구나가 이 기술을 쓸 수 있게 되면서 그는 졸지에 범죄자 취급을 받게 됐다. 1996년 초 정부는 그를 기소하지 않고 사건을 마무리한다.(이후 그는 PGP Inc.를 설립해 버전을 업데이트 한다.) PGP는 미국 내 정부 도감청에 대한 시민적 저항의 결과물이었던 것이다.

PGP 암호화 기술의 작동 방식

PGP 기술에 대해 조금 더 자세히 알아보자.

“PGP는 공개키 시스템(public key system)의 변종을 사용한다. 공개키 시스템에서, 각 사용자는 공개적으로 알려진 암호키와, 오직 그 사용자에게만 알려진 개인키를 가진다. 사용자는 자신이 보내려는 메시지를 수신자의 공개키를 사용하여 암호화한다. 수신자가 그것을 받으면, 그들은 그들 자신의 개인키로 암호를 해독한다.

전체 메시지를 암호화하는 것은 시간이 걸릴 수 있기 때문에, PGP는 메시지를 암호화하기 위해 더 빠른 암호화 알고리즘을 사용하며, 그 다음에 전체 메시지를 암호화하는데 사용되었던 짧은 키를 암호화하기 위해 공개키를 사용한다. 암호화된 메시지와 짧은 키는 모두 수신자에게 보내어지는데, 그 수신자는 짧은 키를 해독하기 위해 먼저 자신의 개인키를 사용한 다음, 전체 메시지를 해독하기 위해 짧은 키를 사용한다.”

예를 들어 A가 메일을 작성한 뒤 B에게 보낸다고 가정하자. PGP 암호화 프로토콜은 먼저 메일의 내용에 자물쇠를 채운 두 개의 열쇠를 생성한다. 한 가지는 개인 열쇠고 다른 하나는 공개된 열쇠다. 자물쇠는 이 두 개의 열쇠가 확인돼야만 열 수 있다. 메일에 자물쇠를 채우고 B에게 전달되는 사이 이를 탈취하려는 시도가 발생하기도 한다. 하지만 중간에 공개 열쇠를 탈취하더라도 각가의 개인 열쇠를 확보하지 않는 한 비밀의 데이터는 열어볼 수가 없다. 이것이 일반적인 종단간 암호화(End to End Encyption)의 프로세스다.

PGP 기술은 지금도 널리 활용되고 있는 이메일 암호화 소프트웨어다. 최근에는 GPG(GNU Privacy Guard)로도 개발돼 널리 보급되고 있다.

PGP와 기자들의 이메일 습관

기자들에게 이메일은 필수적인 커뮤니케이션 수단이다. 그런 만큼 보안에 예민해야 하는 것이 정석이다. 하지만 정작 기자들은 내부의 문제에 눈을 뜨지 않는다. 자사 이메일이 어느 정도의 보안성을 갖추고 있는지 어떤 수준의 암호화가 작동하고 있는지 의외로 관심이 덜하다. 카카오톡의 수사기관의 도감청 실태가 드러났음에도 이메일에 대해서만큼은 조용하다.

gmail이나 야후 메일은 서버와 클라이언트 사이의 암호화뿐 아니라 종단간 암호화까지 최근 적용하거나 적용할 예정이다. 이 기능이 적용되면 발신부터 수신까지 평문으로 저장되는 지점이 존재하지 않게 된다. 국내 이메일도 스노든 사건 뒤 암호화를 강화하고 있지만 아직 PGP와 같은 종단간 암호화를 도입했다는 소식은 들리지 않는다. 하물며 내부 기자 이메일은 언급해서 무엇하랴.

공익제보자와 기자 사이, 신뢰의 거리가 멀어질수록 저널리즘의 품질은 저하될 수밖에 없다. 과연 한국에 스노든이 존재했다면 기자들에게 어떻게 그 방대한 자료를 전달할 수 있었을까. 워싱턴포스트와 가디언의 행보를 따라할 수 있었을까. 국내에서 필립 짐머만과 같은 저항적 개발자를 기대하기 어렵다면 이 질문을 기자 스스로에게 던져보아야 한다.

참고자료

walnut About walnut
"우리나라에서는 고려 시대 때 들어왔으며 최초로 생산된 곳은 천안이라고 한다. 지금도 천안은 호두의 주요 산지로 꼽히며, 천안에서는 한해에 대략 6만kg 정도 산출된다는듯 하다. 물론 그 6만kg 가지고도 국내의 수요량에는 턱없이 모자란다는게 함정("(출처 : 엔하위키)