진보네트워크센터는 지난 2014년 7월 2일, 전 세계 7개 인터넷/통신 서비스제공자들과 함께 영국의 정보기관 GCHQ의 대량감시를 중단할 것을 요구하며, 영국 수사권재판소(Investigatory Powers Tribunal)에 소송을 제기한 바 있습니다. GCHQ의 감시 활동에 따라, 영국 뿐만이 아니라 전 세계의 네트워크와 이용자들이 잠재적인 공격대상이 될 수 있기 때문입니다. 이 소송은 프라이버시 인터내셔널(Privacy International)이 지원하였습니다.
이 소송을 포함하여 프라이버시 인터내셔널이 수행하고 있는 두 건의 법적 소송에 대한 영국 정부의 공개 답변이 제출되었습니다. 놀랍게도 영국 정부는 국가안보에 위협이 되거나 범죄 혐의가 없어도 전 세계 이용자와 기기를 해킹할 권한을 가지고 있다고 주장하고 있습니다.
이에 대해 2015년 3월 18일, 프라이버시 인터내셔널과 이 소송에 참여하고 있는 단체들이 함께 다음과 같은 보도자료를 발표했습니다. (보도자료 원문은 파일로 첨부합니다.)
[보도자료]
영국 정부, 광범하고 은밀하게 수행되는 컴퓨터와 전화에 대한 해킹 권한을 주장하다.
영국 정부가 정보기관이 개인 전화, 컴퓨터 및 통신 네트워크를 해킹할 수 있는 광범한 권한을 가지고 있음을 인정했으며, 심지어 그 대상이 국가 안보에 위협이 되거나 범죄 혐의가 없어도 전 세계 누구나, 어디에 있든 해킹할 수 있는 법적 정당성을 갖는다고 주장했다.
이와 같은 놀라운 시인은 오늘 프라이버시 인터내셔널이 공개한 정부의 재판 문서에서 나온 것이다. 이 문서는 에드워드 스노든에 의해 폭로된, 공격적인 정부 지원 해킹에 대한 문제제기로, 지난 해에 GCHQ(영국의 정보기관)를 상대로 제기된 두 건의 법적 소송에 대한 정부의 답변으로 제출된 것이다. 이 문서에서 정부는 우리가 매일 사용하는 개인 장비와 네트워크에 침입할 수 있는 광범한 권한을 서술하고 있다.
문서 깊은 곳 어딘가에서, 정부의 법적 대리인은 정보기관은 “정보 수집 대상”의 컴퓨터와 모바일 폰을 해킹할 수 있는 권한이 요구되며, GCHQ는 심지어 범죄와 관련되거나 국가 안보에 위협이 되지 않더라도 전 세계 어느 곳에 있는 컴퓨터든 침입할 수 있는 권한을 동등하게 부여받는다고 주장한다.
그러한 권한은 프라이버시에 대한 심각한 침해이다. 해킹은 누군가의 집에 들어가서, 서류함과 일기와 서신들을 수색하고, 미래에 계속 감시할 수 있는 장치를 심어놓는 것과 같다. 모바일 기기가 포함된다면, 정부는 지난 몇 년간 방문했던 매일의 위치를 포함한 역사적인 정보를 얻을 수 있으며, 계속적인 감시는 그 개인들이 어디를 가든 따라다닐 것이다.
또한, 정보기관은 은밀하게 통신 네트워크를 이용할 권리를 주장하는데, 이는 전체 인터넷의 보안을 심각하게 훼손하게 된다. GCHQ가 어떻게 Regin이라는 멜웨어를 이용해 벨가콤을 해킹했는지, 그리고 전 세계 국가들에서 이용되는, 세계 최대의 SIM 카드 제작 회사인 제말토를 목표로 했는지에 대한 최근의 뉴스를 보면, 그러한 권한이 활용되었음을 확인할 수 있다.
재판 문서는 “장비 침투(equipment interference)”에 대한 규칙 초안에 상당히 의존하고 있는데, 이 규칙 초안은 GCHQ가 이전에 미국 국가안보국(NSA)과의 불법적인 정보공유에 관여해 왔다는 수사권재판소(Investigatory Powers Tribunal)의 판결이 나온 같은 날에 슬그머니 대중에게 공개되었다.
지난 수십 년 동안 GCHQ는 이 규칙을 공개하지 않고, 정부 지원 해킹, 혹은 “컴퓨터 네트워크의 (부당한) 이용”에 관여해왔다. 이러한 불투명성은 정보 기관이 법에 따라 활동해야 한다는 조건을 위반한 것이다. 규칙 초안은 아직 의회에서 승인되지 않았으며, 2015년 3월 20일까지 공개적인 여론 수렴을 받을 예정이다.
지난 주 의회 정보보안위원회(ISC) 보고서는 처음으로 GCHQ가 “컴퓨터 네트워크 이용” 작전(CNE operation)을 위해 제로-데이(zero-day) 취약점을 포함한, 보안 취약점에 의존하고 있음을 인정했지만, 드러난 취약점들의 정확한 숫자는 편집했다.
프라이버시 인터내셔널은 GCHQ의 광범한 해킹에 문제를 제기하는 두 개의 소송을 수사권재판소에 제기하는 것을 지원했다. 프라이버시 인터내셔널이 청구인으로 있는 첫번째 소송은 GCHQ와 NSA의 알려진 권한에 대한 것인데, 그 권한은 전 세계 수백만 대의 컴퓨터와 모바일 기기를 악성 소프트웨어에 감염시켜 많은 양의 콘텐츠를 쓸어 담거나 이용자의 마이크와 카메라를 켜거나, 그들의 전화통화를 듣고 위치를 추적할 수 있도록 한다. 이는 정보기관에 의한 해킹 도구 사용에 대한 영국에서의 첫번째 법적 문제제기다.
두번째 소송은 전 세계 7개 인터넷 서비스 및 통신 서비스 제공자에 의해 제기된 것이다. 이들은 수백만 이용자들의 사적 통신에 불법적으로 접근하기 위해 GCHQ가 네트워크 인프라를 부당하게 이용하는 것을 중단하라고 요구한다. Riseup(미국), GreenNet (영국), Greenhost (네덜란드), Mango (짐바브웨), 진보넷(한국), May First/People Link (미국), the Chaos Computer Club (독일)에 의해 제기된 두번째 소송은 GCHQ가 네트워크 통신 인프라를 목표로 하고, 공격하며, 부당하게 이용하는 것에 대항하여 인터넷/통신 서비스 제공자들이 집단소송을 제기한 첫번째 사례이다.
프라이버시 인터내셔널의 부사무총장인 에릭 킹은 다음과 같이 말했다.
“정부는 거의 10년 동안 해킹 사업에 빠져있었지만, 자신들의 행위에 대해 한번도 책임을 진 적이 없다. 그들은 자신들에게 우리들에게 매우 소중한 기기들, 우리 삶에 핵심적인 전화와 컴퓨터에 침입할 수 있는 권한을 믿기 힘들 정도로 부여해왔다. 더욱 나쁜 것은 어떤 합당한 법적 정당성도 없이 그들은 자신들이 원하는 누구나, 범죄 혐의가 있든 없든, 목표로 할 수 있는 권한이 있다고 생각한다는 것이다. 이와 같은 은밀한 해킹은 중단되어야 하며, 우리 정보기관의 활동은 법에 근거해야 한다.”
그린넷(GreenNet)의 세드릭 나이트는 다음과 같이 말했다.
“우리의 공동행동은 이미 정보 기관이 자신들이 영국 법을 어떻게 해석하는지 공개하도록 하는 결과를 만들어냈다. 불행하게도 드러난 결과는 좋지 않다. GCHQ의 답변에서 그들이 우리 상근자나 장비를 목표로 하지 않는다고 확신시킬 만한 것은 아무것도 없다. 보안 기관 중에서 GCHQ가 가장 침해적인 능력을 가지고 있으며, 그들의 컴퓨터 네트워크의 부당 이용이 얼마나 광범위한지, 그리고 네트워크 보안과 전 세계 인터넷 이용자의 프라이버시, 자유, 안전을 얼마나 위협하는 지에 대하여, 에드워드 스노든이 옳았다고 우리는 여전히 생각하고 있다.”
독일, 카오스컴퓨터클럽 대변인 젠 길리치는 다음과 같이 말했다.
“GCHQ가 자신이 무한대의 권력을 갖고 있다고 생각하며, 자신의 법적 테두리 안에서 일하는 것에 신경쓰지 않는다는 것은 명확하다. 국가 안보를 이유로 네트워크 인프라와 사람들의 전화 및 기기를 해킹하는 것은 구조적 수준에서 IT 보안을 실제로 훼손하고 있다. 그것은 우리의 인프라를 취약하게 하며, 사람들의 개인 정보를 초법적인 비밀 기관의 손에 넘겨주어, 자신들이 원하는 대로 모든 사람들 위에 강력한 권력을 행사하도록 한다. 이러한 행위들을 할 수 있는 규칙을 공개함으로써, 전 세계 컴퓨터에 자의적으로 침투하고 해킹하는 것을 합법적이라 선언한다고 그것이 옳은 일이 되는 것은 아니다. 대량 감시와 해킹은 여전히 잘못된 것이고 중단되어야만 한다.”
메이 플라워/피플 링크는 다음과 같이 말했다.
“인터넷은 우리에게 인류의 다른 사람들의 생각과 경험에 접근할 수 있도록 함으로써 국경이라는 파괴적인 장벽을 타개했지만, 일부 정부는 이와 같이 국경없는 상태를 권리를 침해하고 경험에 접근한다는 개념을 효과적으로 왜곡하는데 사용하고 있다. 메이 플라워는 우리의 동지들과 함께 이러한 왜곡에 맞서 싸우는데 함께 하고 있다.”
진보넷은 다음과 같이 말했다.
“영국 정부가 아무런 혐의가 없어도 전 세계 누구나 합법적으로 해킹할 수 있다고 주장한다니 매우 놀랍다. GCHQ와 한국의 국정원을 포함하여 각 국의 정보기관들은 자신들이 누구를 위해서, 무엇을 위해서 복무해야 하는지 잊어버린 것 같다. 국가 안보가 법과 인권에 기반하지 않는다면, 그것은 단지 권력자의 이익에 복무할 뿐이다.”
추가적인 배경설명 :
정부의 공개 답변 및 의회 정보보안위원회(ISC) 보고서가 길고 복잡하기 때문에, 정부의 해킹 능력과 관련된, 문서의 가장 흥미로운 부분들에 대한 간략한 안내를 아래와 같이 포함하였다.
정부의 공개 답변 (전문은 첨부파일 참조)
20-23절 : 정부의 컴퓨터 네트워크 (부당) 이용 활동에 대해 설명
65-66절 : 장비 침투 규칙 초안이 공개 답변이 제출된 같은 날 공개되었다. 이것은 그 전까지 비밀 정책이었다.
77절 : 정보 기관은 “정보 수집 목표가 아닌 개인들을 해킹할 수 있는 권한을 자신들의 권리”로 주장하고 있다.
83절 : 영국 내에서 해킹을 허용하는 영장은 단지 해킹에 의해 영향을 받는 사람을 “알 경우” 식별할 것을 요구하고 있으며, 알려지지 않은 사람을 대상으로 하는 것은 허용하고 있다. 목표대상이 범죄 혐의가 있는지, 혹은 범죄를 저질렀는지는 “적절할 경우”에만 드러날 필요가 있으며, 77절에서 드러난 바와 같이 혐의없는 사람이 해킹의 대상이 될 수 있음을 강조하고 있다.
89절 : 해킹에 의해 취득한 정보는 “기관 외부에” 공개될 수 있다.
91-99절 : 영국 외부의 해킹은 훨씬 낮은 수준의 승인만으로 할 수 있는데, 단지 “넓은 작전 등급”이 국무장관의 허가를 받으면 된다. 이 작전의 특정한 대상이 식별될 것을 요구하지 않으며, 국가 안보에의 위협이나 심각한 범죄와의 연관성이 그다지 명확하지 않아도 된다.의회 정보보안위원회(ISC) 보고서 ☞ 전문 보기 http://isc.independent.gov.uk/news-archive/12march2015
14페이지, 각주 13 : 이 보고서에서 해킹이라는 용어는 “IT 작전”을 말한다. 이는 또한 장비 침투 규칙 초안을 가리킨다.
63-69페이지: 많이 편집된 채로, 정보 기관의 해킹 및 암호침투활동을 설명하고 있다.
87-89페이지 : 정보기관법 7장에 따라 발급되는 “등급 허가”에 대해 설명하고 있다. 이러한 광범위한 허가는 정보기관이 영국 외부의 누구라도 해킹할 수 있도록 허용하고 있다. 2014년 10월, GCHQ는 이것들 중에서 “특정한 종류의 정부 수집행위 및 컴퓨터, 모바일폰 및 다른 전자기기에의 침투와 관련된 것을 포함하여 어떤 활동들에 대해서는 영국 법 하의 책임을 면제하는” 5개만을 가지고 있다. (234절)