< IT 보안전문가인 김인성 교수의 카톡 ‘실시간 감시' 논쟁 관련 트워터 멘션(전 한양대 컴퓨터공학부 교수) >
'실시간 감시’
1. 검찰의 실시간 감시에 대한 논란이 증폭되게 있어 정확한 내용을 알려 드립니다. 실시간 감청 논란은 인터넷 네트워크 중간에 장비를 두고 실시간으로 주고 받는 카톡을 들여다보는 것이 아닙니다
2. 텔레그램, 카톡, 라인 등 어떤 메신저라도 스마트폰과 서버 사이에는 암호화되어서 전송이 되기 때문에 중간에 데이터를 탈취하더라도 암호키 없이는 내용을 알 수 없습니다. 암호키는 매우 복잡해 추측도 어렵습니다.
3. 암호문을 해독할 수 있게 하려면 암호키도 상대방에게 전달해야 합니다. 아무리 복잡한 암호문을 만들어도 이 암호키를 중간에 뺏기면 아무 소용이 없습니다. 결국 암호키 전송 부분이 결정적인 취약점이었습니다.
4. 역사적으로 모든 암호는 암호키 전송 과정에서 키를 탈취당해 해독되었습니다. 하지만 현대 암호학에서는 비밀키를 전달하지 않고 데이터를 암호화하고 풀 수 있는 방법을 개발했습니다. RSA 암호가 그것입니다.
5. 이것을 비대칭키 암호화 기법, 공개키-개인키 방법 등으로 부릅니다. RSA, PKI, SSL, https, 공인인증서 등은 본질적으로 모두 동일한 암호 기법입니다. 이 방법을 쓰면 해독키를 보내지 않아도 됩니다.
6. 이 방법은 양쪽을 해킹 하지 않고는 해독키를 얻을 방법이 없어 중간 탈취를 통한 도감청이 어려워집니다. 때문에 미국의 NSA갈은 기관은 민간 감시가 불가능해진다는 이유로 끝까지 사용을 막으려 했습니다.
7. 인터넷이 바로 이 비대칭키 기법, 개인키-공개키 기법을 사용합니다. 인터넷의 안전은 RSA 암호 기법이 지켜주고 있는 겁니다. 카톡도 마찬가지입니다. 즉 카톡도 도감청을 통한 실시간 감시는 불가능합니다.
8. 다시 말하지만 카톡에 대해 "중간 데이터 탈취를 통한" 실시간 감청은 불가능합니다. 암호 전송은 투명하게 진행되는 과정입니다. 전송은 인크립션_센드(데이터), 수신은 디크립트_리시브(데이터)이렇게 됩니다.
9. 스마트폰 사용자와 서버 프로그램은 평문을 보지만 전송은 암호 함수를 통해 진행 되므로 중간에서 도청하면 알 수 없는 데이터로만 보입니다. 한 대화방에 여러명이 있어도 각각 사용자에게 암호화되어 전송됩니다.
10. 텔레그램이 추가로 제공하는 보안 전송은 양 스마트폰만 아는 비밀키로 데이터를 암호화하기 때문에 텔레그램 서버도 그 내용을 알 수 없습니다. 이 데이터를 검찰이 털어간다고해도 암호문을 해독할 수 없습니다.
11. 네이버 라인도 타임챗 기능으로 서버도 알 수 없는 암호 전송을 지원합니다. 카톡이 지금 논란이 되고 있는 실시간 감시 우려를 불식시키려면 텔레그램과 같은 개인간 암호 전송 기능을 옵션으로 제공해야할 것입니다.
12. 지금과 같이 "(중간 탈취를 통한) 실시간 감시가 불가능하다.", "서버에 3일 이내로 저장하기 때문에 안전하다." 이런 주장만으로는 의혹을 해소할 수 없습니다. 실시간에 가까운 감시는 가능하고 해왔으니까요.
13. 카톡 메시지가 서버에 보관이 되므로 실시간 감청 가능성은 중간 탈취가 아닌 검찰에 의한 카톡 서버 데이터 획득 주기가 얼마나 짧은지 여부로 판단해야 한다고 봅니다. 사실 3일도 충분히 길다고 할 수 있습니다.
14. 데이터를 3일까지만 보관한다면 2일마다 데이터를 요구하면 됩니다. 만일 1분간만 저장한다고 해도 30초마다 데이터를 요청하면 실질적으로 실시간 감청에 해당됩니다. http://pic.twitter.com/qqgHPb7ukw
15. 국가정보원은 도감청을 일상적으로 해왔습니다. 이미지에 보듯이 요주의인물에 대해 유선전화, 인터넷 사용 내용 그리고 카톡까지 실시간 감청을 했습니다. 영장 내용은 과거가 아닌 미래에 대한 도감청 신청입니다.
16. 2012.8.16일에 신청한 영장은 이틀 후인 8.18일부터 한달간입니다. 이후 전화는 실시간으로 감청되었고 카톡은 주기적으로 카톡 메시지를 국정원에 메일로 전송했습니다. 메일 주기가 얼마인지 답해야 합니다.
17. 국정원이 사용자 모르게 진행한 실시간(에 가까운) 감청에 의해서 확보된 한 달 간의 카톡 대화 내용이 실제로 법정에 증거로 제출되었습니다. 대화 상대도 적시되었습니다. http://pic.twitter.com/8I5fkL2vkB
18. 이렇게 명백한 증거 앞에서 "실시간 감시 불가능, 3일 보관해서 안전함." 이런 식의 말장난으로 넘어갈 수는 없습니다. 검경과 국정원 등 정부 기관은 IT 업체를 망치는 행위들을 즉각 중단해야 합니다.
19. 적어도 정부가 국가 경쟁력 말살의 주범이 되지는 말아야 합니다. 검찰의 실시간 모니터링 행위는 표현의 자유와 프라이버시 보호 차원에서도 해서는 안될 일이었지만 국가경쟁력차원에서도 있을 수 없는 일이었습니다.
20. 이번 행위로 한국 IT 기업의 대외 신뢰도는 치명적인 손상을 입었습니다. 카톡은 법이 그래서 어쩔 수 없었다는 변명보다는 개별암호화 전송 등 기술적 방법으로 사용자 데이터 보호에 적극적으로 대응하기 바랍니다.
21. 텔레그램과 같이 보안을 위해 개발자가 망명을 떠나는 수준은 아니더라도 감청 여부를 사용자에게 알리는 등 청책적, 기술적 방법으로 사용자 신뢰를 얻을 수 있는 노력을 해야 경쟁력을 회복할 수 있으니까요. 끝.
출처 : H2O의 블로그
글쓴이 : H2O 원글보기
메모 :
(관련증거자료가 궁금하면 http://omn.kr/ahp8 기사를 참고하시라.주인장 白)
'지혜와 정보, 세상 소식 > [스크랩]'수꼴'들은 감추고싶은얘기' 카테고리의 다른 글
| 눈먼 자들의 국가/박민규 (사건과 사고의 구별, 가장 잘 정리된 세월호 이야기) (0) | 2014.10.08 |
|---|---|
| 개표조작 증거 발각 현장 영상보기(kamyda님의 글) (0) | 2014.10.08 |
| 무지개 공작 관련 기사 검색 중 발견한 기사 (미디어 라이솔의 통일뉴스 2013.11.30) (0) | 2014.09.28 |
| 그들은 도대체 왜 이런 악마적인 사고를 기획해야 했을까? (0) | 2014.09.20 |
| 美해군 장성, “‘천안함’ 진공유도 폭발 아니다” 밝혀 해군 정보책임자, 한국 정부 ‘버블젯 폭발’ 주장 동의 안해 (0) | 2014.09.20 |