컴퓨터 보안관련 일반사람들이 오해하는 몇 가지 사실

1. 암호화폐는 거래 익명성이 보장된다 - X

모네로 등 일부 코인을 제외하면 익명성이 조금도 보장되지 않으며, 오히려 블록체인 특성상 거래의 영구기록, 분산기록으로 인해 추적이 더 쉽습니다. 

블록체인은 한 블록의 거래가 승인된 뒤 이 기록이 다른 블록에 계속해서 연결되는 체인 구조인 한편, 여러 명의 참가자의 기록이 동기화되는 분산원장 형태인데요. 이런 기술적 특성으로 인해 한번 형성된 거래체인은 네트워크 전체를 해킹하지 않는 한 일관성 유지를 위해 영구적으로 기록이 유지되고, 이런 영구 기록이 참여자들의 분산 원장에 전부 기록되어 있습니다. 

오히려 누구나 다 조회할 수 있고 삭제가 불가능하다는 점으로 인해, 거래이동을 파악할 수 있는 적당한 기술력만 있으면 누구나 손쉽게 거래내역 확인과 추적이 가능하다고 볼 수 있죠.

그러면 익명성은 어디서 나온 이야기일까요?
비트코인의 익명성 이야기는, 암호화폐 등장 초창기에 비트코인 계좌의 구성을 살펴봤을 때 일종의 해쉬값 나열일 뿐 그 자체만으로는 거래자의 개인정보를 가지고 있지 않다는 점에서 착안해 나온 말이라고 볼 수 있습니다. 그러나 현재 전 세계의 주요 암호화폐 거래소는 탈세방지를 위해 인증과 자금추적 기능을 가지고 있고, 그렇지 않다고 하더라도 여러 보완적인 수사와 추적을 통해 어떤 방법으로건 계좌와 개인/단체를 매칭하는 순간 전부 추적이 가능해집니다. 차라리 어디 시골 외딴곳에서 만나 현금다발을 건네주는게 비트코인보다 추적을 피하기 쉬울수 있다고 볼 수 있죠.

2. 클라우드 스토리지는 개인의 프라이버시를 위한 공간이다 - X

정답 : 클라우드 스토리지는 클라우드 회사와 정부기관의 돈벌이와 사상탄압, 개인정보 수집/분석/연구/검열을 위한 곳입니다.

일반인들에게 잘 알려지지 않은 사실이나, 클라우드 스토리지는 최소 2가지의 비공개 검열 시스템을 가지고 있습니다.
Photo DNA로 대표되는 불투명한 비공개 기준으로 운영되는 아동포르노 검열 시스템과, 마찬가지로 사용자는 알 수 없는 클라우드 관리자의 관리 모니터링 시스템이 거의 모든 메이저 클라우드 스토리지에서 운영되고 있다고 볼 수 있습니다. 

클라우드 스토리지란 기본적으로 알려진 백도어 2개가 깔려있고, 그 외에도 맞춤형 광고, 개인의 사생활 조사 등을 위해 여러 백도어가 있다고 보면 되는 거죠.

먼저 클라우드의 1차적 검열 시스템인 아동포르노 검열 시스템은, 이미지를 일방향 해쉬함수에 넣어 특정한 데이터 난수 값으로 압축한 뒤, 해당 난수값을 바탕으로 아동 포르노 데이터베이스와 매칭시켜 값이 일치하면 사법기관으로 보고되는 시스템으로 알려져 있습니다. 여기서 문제는 바로 그 어느 클라우드 회사나 공공기관도 해당 기준을 공개하고 있지 않다는 점이며, 실제로는 아동 포르노를 빌미로 NSA 등등이 테러검열, 사상검열 등을 하고 있다고 볼 개연성이 높죠.

정말로 아동 포르노 검열만 한다고 하더라도 모든 시민의 모든 업로드 자료를 일괄 검열한다는 점에서 큰 프라이버시 침해라고 볼 수 있지만, 실제로는 그 기준이 공개되어 있지 않아 어떤 방식으로 운영되고 있는지 전혀 알수가 없다는 점에서 더더욱 큰 문제라고 볼 수 있습니다.

최근에 애플사가 IOS 15 관련해서 초대형사고를 쳤는데요. 다름아닌 '뉴럴매치'라는 백도어 검열 시스템을 차기 업데이트에 강제 탑재시켜 개인의 프라이버시를 사실상 없는 것으로 만들겠다는 발표를 진행했습니다. 애플사가 과거에는 개인의 프라이버시를 중시했었다면, 이제는 다른 클라우드 회사들보다 한술 더 떠서 개인 소유의 로컬 기기에서도 아동포르노 검열을 이유로 초기버전 로컬 빅 브라더 시스템을 탑재했다는 것이죠. 

혹시 아이폰을 사실 생각이 있으시다면, 프라이버시가 걱정된다면 다시 한번 고민해보시는 것이 좋습니다.

[관련 참고 자료]

Photo DNA(해당 자료에는 '대략적인' 검열 방식에 대한 설명이 나와 있습니다) : https://www.microsoft.com/en-us/photodna

Apple Neuralhash를 역공학으로 뜯어내서 분석한 github 코드

: https://github.com/AsuharietYgvar/AppleNeuralHash2ONNX

위의 깃헙소스와 분석, QnA글을 통해 대략적인 클라우드 해쉬검열 알고리즘의 작동방식을 파악할 수 있었는데요. 재미있는 점은 Apple의 Neuralhash 자체는 로컬 신경망 연산 방식이라 성능 제한으로 인해 부동소수점 연산에 기기마다 약간씩 오차가 난다는 점이더군요. 해쉬함수의 확산 특성상 약간의 오차는 실제로는 매우 큰 편차로 나타날수도 있어서 생사람 잡기에 딱 좋을듯....

그 외에도 2차 검열수단인 관리자 백도어... 이거는 구글의 기업용 무제한 드라이브를 공동구매해보신 분이라면 다 아는 사실이죠. 저도 개인적으로 교육용 Onedrive 대학계정 관리 콘솔을 사용해본 적이 있는데 사용자마다 파일저장내역, 클라우드 접속내역 등이 대부분 나옵니다. 

일개 기관 클라이언트의 관리 시스템도 이 정도 수준이니만큼, 구글이 자체적으로 사용하는 개인사용자 관리툴은 개개인의 모든 사용내역을 손쉽게 알 수 있을 가능성이 높습니다. 당연한 이야기겠죠.

3. 한국은 그래도 중국보다는 인터넷 검열이 덜하다 - X

한국과 중국의 검열에 대해 세부적으로 살펴보면, 형식상 민주주의 국가임에도 불구하고, 실질적인 인터넷 검열 수준은 중국과 거의 같은게 한국입니다. 한국에는 그래도 황금방패는 없지 않나 하는 분들을 위해 말씀드리자면, 그저 황금방패를 황금방패(혹은 자랑스런 K-방패)라고 부르지 않고, 중국 애들보다 한국애들이 법을 더 잘 조율해놓았기 때문에 황금방패라는 단어만 사용하지 않을 뿐이구요.

한국에는 중국같이 이 모든 인터넷 검열 시스템을 총괄해서 황금방패라는 이름으로 부르지 않을 뿐, https 검열, ISP와 국가기관에 의해 행해지는 MITM공격, 게임 셧다운 제도, DPI 트래픽 분석(패킷 드랍), 수사정보기관의 능동적 감시가 다 있어서 실질적으로는 중국과 크게 다르지 않습니다. 정치적으로도 북한 사이트나 논란이 될 만한 사이트는 모두 다 차단되어 있으니 정치적인 검열 면에서도 사실 비슷하죠. 다만 중국은 민주주의 국가들과 서방을 차단하며, 한국은 상대적으로 차단의 체감이 좀 덜한 사회주의 독재 국가의 인터넷 사이트들을 차단할 뿐인 거구요.

여기에 위에서 말한 '한국이 법을 더 잘 조율해놓았다'라는 부분은, 바로 모욕죄 관련 부분입니다. 실제로 고소 피해 커뮤니티 등을 들여다보면 대부분이 모욕죄 사례인데, 게임 플레이 도중 정말 사소한 비속어를 한두마디 정도 사용하거나, 심지어는 사회적으로 비판받을만한 일을 한 공인에게 사실을 적시했다는 이유만으로 명예훼손으로 고소당하는 경우도 있더군요. 이와 같은 처벌은 형식적으로는 '국가에 의한 검열'은 아니나, 중국조차 국가원수 모욕 등을 빼면 이 정도 수준으로 일상적인 인터넷 언어사용에 탄압을 가하지는 않기 때문에 실질 체감정도는 중국 못지않다고 볼 수 있는 거죠. 

오히려 국가가 직접 검열한다는 소리를 듣지 않고도 능동적인 민간 감시를 실현한 사례로, 중국보다 더 악질적인 검열방식이라고 볼 수 있습니다.