크레믈린, 새로운 인터넷 감시망을 가동하다

크레믈린, 새로운 인터넷 감시망을 가동하다


The Kremlin’s New Internet Surveillance Plan Goes Live Today

By Andrei Soldatov and Irina Borogan November 1, 2012 | 6:30 am


Russian communications minister Nikolai Nikiforov meets with president Vladimir Putin. Photo: Kremlin.ru

표면상으로는 러시아 어린이들을 인터넷 소아성애자들로부터 보호하자는 말이 전부이다. 그러나 현실상 오늘 발효에 들어간 크렘린의 새로운, 금지 사이트의 “단일 등록”법은 모든 종류의 온라인 정치적 언론을 막을 수도 있다. 게다가 새로운 인터넷 감시 기술의 확산덕분에 이 법은 수 백만 명을 감찰하는 수단이 될 수도 있다.

7월28일 푸틴 대통령이 서명한 이 법은 웹사이트 금지와 관련된 법원 결정을 돕도록 등록을 관리하도록 하는 단일하고 악의 없게 들리는 인터넷-필터링 조치로 구성됐다. 문제는 법원이 아동 포르노 사이트 그 이상도 막도록 판결내려왔다는 점이다. 그동안 법원은 푸틴 정권의 반대자들과 정치적 극단주의자들에 대해서도 온라인 금지에 동의해 왔었다.

인터넷 검열 원칙이 러시아에서 새로운 개념은 아니다. 5년동안 러시아 지방 검찰은 인터넷 망 제공업체들에게 금지 사이트 접근을 막도록 법원 결정을 이용해 왔었다. 다만 지금까지 그런 노력은 구조적이지 않았다. 한 지역에서 금지된 사이트가 다른 지역에서는 접근 가능한 경우도 빈번했기 때문이다. 따라서 이번 법으로 생기는 등록소로 문제를 해결할 수 있게 됐다.

새 시스템은 극단주의자와 테러리스트의 은행 계정을 막는데 쓰이는 법을 기반으로 만들어졌다. 라스콤나자르(Роскомнадзор, 정보기술과 통신, 대중언론을 감찰하는 연방기구)는 웹사이트에게 조치를 내리기 위해 법원 결정을 모을 뿐 아니라, 내무부(МВД)와 연방 마약감찰청(ФСКН), 소비자 권리와 복지 관리청(Роспотребнадзор)의 세 가지 연방기관이 제출한 자료도 모아들인다. 라스콤나자르는 등록소를 세우고 업데이트하며 인터넷 주소를 제거하도록 제공업체들을 지도하기도 한다. 업체가 명령을 따르지 않는 경우 24시간 내에 사이트에 대한 접근을 막게 된다. 인터넷 망 제공업체들은 업체들에게만 열려 있는 등록소의 온라인 버전(특수 암호로 보호받고 있다)에 있는 불법 사이트와 주소 데이터베이스를 계속 확인해 봄으로써 현행법을 거스르지 않음을 보여야 한다.

하지만 제일 중요한 점은 다른 데에 있다. 라스콤나자르 시스템은 국가적으로 DPI(심층 패킷 검사, deep packet inspection)를 도입한다. 법에 DPI가 명시돼 있지는 않지만 통신부(Минкомсвязь)는 러시아 내 주요 인터넷 기업들과 함께 법을 실행할 유일한 방법이 DPI라 결론내렸다.

8월 말, 통신부장관인 니콜라이 니키파라프(Николай Анатольевич Никифоров)의 지휘 하에 구글과 SUP 미디어(라이브저널 소셜네트워크의 소유주) 그 외 주요 기업들로 이뤄진 작업반을 결성했다. 그들은 [필터링] 메커니즘을 어떻게 보장할지에 대해 논의했다. 가령 유튜브의 사례에서 유튜브 전체를 막지 않은 채 특정 영상을 어떻게 막을지 등이다. 해당 법의 열렬한 지지자이자 연방 하원의원인 일랴 파나마레프(Илья Владимирович Пономарёв)에 따르면 모두를 만족할 결론에 이르렀다고 한다. 그래서 우리는 그에게 DPI 기술에 대한 얘기냐 물었다.

“그럼요, 정확합니다.”

디지털 감찰 툴 대부분은 데이터 패킷의 “헤더”만을 본다. 어디로 가는지, 어디에서 왔는지의 정보만 본다는 의미다. DPI가 있으면 네트워크 제공업체들은 디지털 패킷 안의 메시지나 전송 내용을 들여다 볼 수 있다. DPI를 다루는 한 엔지니어의 말이다. “봉투를 열면 편지의 주소만 읽을 수 있는 것이 아니죠.” 즉, 인터넷 망 제공업체들이 트래픽을 감시할 뿐만 아니라 특정 서비스나 콘텐트를 차단하도록 필터도 거치게 할 수 있다는 얘기다. DPI라는 이처럼 거슬리는 기술을 정부가 어떻게 사용할지, 당연히 주요 프라이버시 그룹들의 우려가 터져 나왔다. 프라이버시 인터내셔날의 연구 책임자인 에릭 킹(Eric King)의 말이다.

“서구 민주주의 국가에서는 저인망식 블랙박스 DPI 감찰 시스템을 구현한 바가 없습니다. 표현의 자유와 프라이버시에 심각한 효과를 미치기 때문입니다. DPI가 있으면 국가가 모두의 인터넷 트래픽을 읽고 복제하며 심지어 이메일과 웹페이지를 수정할 수도 있습니다. 혁명 이전의 튀니지에서 이미 그런 기술을 사용했음이 알려져 있습니다. DPI가 나오면, 그에 대응하여 이란과 중국과 같은 국가의 시민들이 인터넷 통제를 피할 수 있도록 사용하는 우회 툴도 등장시킬 수 있죠.”

IBM의 동유럽 사업개발부 책임자인 보리스 파두브니(Борис Поддубный)은 러시아 정부의 감찰이 인터넷 트래픽만이 아니라 유선 전화도 포함한다고 지적했다. “DPI는 기본적으로 두 가지 기능을 갖고 있습니다. 트래픽을 복제하여 DPI가 분석을 할 수 있죠. 그러면 상세한 로그가 나옵니다. 인터넷에서 뭘 찾는지, 누가 무엇을 다운로드했는지가 다 들어있죠.”


The Moscow headquarters of Russia’s Federal Security Service, the successor to the KGB. Photo: Andrei Soldatov

Off-Guard

2012년 9월, “무슬림의 순진함” 비디오를 러시아의 여러 지역에서 막았다. 검사들의 요구에 따른 것이었다. 9월 27일, 러시아에서 제일 큰 세 곳의 통신/인터넷망 제공업체인 엠테에스(МТС)와 빔펠콤(Вымпел-Комм), 메가폰(МегаФон)이 무슬림의 순진함 비디오의 접근을 제한했다. 특히 빔펠콤은 영상을 담은 웹사이트에 대한 접근을 막아버려서, 체첸과 다게스탄, 카바디노-발카리아, 인구셰티아, 카라차이-체르케시아, 북 오세티아, 스타프로폴 지역에서는 아예 유튜브 접속이 안 됐다. 단 엠테에스와 메가폰은 DPI 덕분에 해당 영상에 대해서만 접근을 막을 수 있었다.

러시아 정부는 제일 진보적인 인터넷-검열 기술을 적용하기 위한 테스트를 그동안 해 온 것으로 보이며, 지난 2년간 크레믈린은 이 기술에 대해 집념을 가졌던 듯 하다.

아랍의 봄 이후 크레믈린은 러시아 인터넷 상의 “적대적 행위”를 방지하기 위한 수단 개발을 심각하게 고려했다. 그래서 2011년 여름 이래 적대행위 방지 수단은 러시아에서 여러 모로 뜨거운 감자였다. 러시아와 벨라루스, 아르메니아, 카자흐스탄, 키르지스탄, 타지키스탄으로 구성된 집단안보조약기구(Организация Договора о Коллективной Безопасности)의 회원국 정상과 검찰총장, 보안 관계자들 모두 이 문제를 논의했다. 각 회원국 내에서 성장하고 있는 정치적 참여주의와 소셜네트워킹 사이트의 역할 증대가 편집증을 일으킨 것이다.

러시아의 보안 당국은 블로그와 소셜네트워크 사이트를 위한 전략을 수립하기 시작했지만 2011년 12월, 푸틴 대통령의 선거운동 때 이전까지는 별다른 조치를 세우지 않고 있었다. 러시아의 보안 당국은 보다 전통적인 성격의 위협을 다루는데 익숙해 있기 때문에 중심이 따로 없는 저항 조직에 대해 당혹스러워 했다. 그래서 보안 당국은 소셜네트워킹 사이트를 알아보기 시작했다.

우리의 소식통에 따르면 페이스북과 트위터같은, 특히 해외에 기반을 둔 소셜 네트워크 사이트에 대해 기술적인 수준에서 보안 당국은 무력하다. (가령 친-체첸 인사가 페이스북 페이지를 열면 무슨 일을 할 수 있는가가 그들의 가장 급한 의제였다.)

그래서 러시아 연방보안국(ФСБ)의 상트-뻬쩨르부르크 당국자가 할 수 있는 일은 12월 10일, 발라뜨나야(Болотная) 광장에서 열릴 대규모 시위에 대해, 상트-뻬쩨르부르크에 기반을 둔 소셜네트워크인 베까(ВКонтакте)의 창업자인 빠벨 두라프(Павел Дуров)에게 데모대 그룹을 폐쇄시키라고 팩스를 보낸 것도 놀랄 일이 아니다. 두라프는 거절했고, 다음 날 상트-뻬쩨르부르크 검찰청에서 그를 소환했다. 두라프는 소환도 거절했기 때문에 이 이야기가 바깥으로 흘러 나왔고, 해당 건은 그것으로 끝이었다.

2012년 3월 27일, 연방보안국의 세르게이 스미르노프(Сергей Михайлович Смирнов) 제1 심의관이 간접적으로 이 건에 대해 들었다. 그는 2011년, 중국과 러시아, 그 외 중앙 아시아 국가들이 결성한 상해협력기구의 지역 반-테러리스트 구조 회의에서 다음과 같이 발언했다. “서구 비밀 기관들이 사용하는 신기술이 있습니다. 이 기술로 그들은 정권교체까지 염두에 두고 지속적으로 사회 갈등을 야기하고 있습니다… 우리의 선거, 특히 대통령 선거와 이전 상황을 보면 블로그 쪽의 잠재성을 알 수 있습니다.” 스미르노프는 적절한 반응 수단을 개발해야 한다면서, 그런 수단이 “아직은 안 일어났다”며 공개적으로 천명했다.

해결책은 올 여름에 등장했다. 연방 하원이 수정안을 가결하여 인터넷 필터링 시스템을 국가적으로 확대시킨 것이다. 모두 DPI 기술 덕분이다.

그동안 정부 관료들은 러시아가 중국과 중앙 아시아식 인터넷 검열을 채택할 수 없으리라 주장했었지만, 국가적으로 검열이 확대되자 언론과 전문가, 야당 모두가 놀라워했다.

사실 검열 준비는 2000년대 중반, 순수한 상거래적 이유때문에 DPI 기술을 처음 도입한 이래 수 년동안 준비가 이뤄지고 있었다.


(R to L): Duma member Ilya Ponomarev, IBM’s Boris Poddubny, RGRCom CEO Roman Ferster, and Inline Telecom Solutions’ Alexander Shkalikov are all intimately involved in expanding Russia’s deep packet inspection efforts.

Suppression

러시아에서 Allot DPI 기술을 주로 배포한 РГРКОМ의 CEO, 로만 폐르시쩨르(Роман Ферштер)의 말이다. “2004년에 생긴 첫 고객은 쯔란스쪨레꼼(ТрансТелеКом)이었 는데, 회사 내부 네트워크 망을 위한 주문이었어요. 사내 보안과에서 주문했으니까요.”

작지만 다부지고 힘이 넘치되 약간의 이스라엘 악센트를 가진 폐르시쩨르는 2003년, 이스라엘 기업들이 만든 통신 장비를 러시아에서 팔기 위해 РГРКОМ을 세웠다. DPI 솔루션 제조만 집중하는 Allot은 자신의 사업에 완벽하게 걸맞았다. 스무 명이 조금 넘는 그의 소규모 팀은 러시아에서 Allot 독점 파트너였고, 극동 지방의 타타르스탄 지역, 그리고 모스크바에 있는 빔펠콤 통신망, 우랄 지역의 전화국 통신망에 기기를 설치했다.

폐르시쩨르는 또한 유튜브 전체를 막지 않고, 단일 영상만을 막기 위한 기술적 문제를 해결하는 기술도 러시아에게 제공했다.

Allot은 초기에 기업 네트워크망과 소규모 지역 망 제공업자를 목표로 삼았지, 장거리 통신사와 무선통신망을 고려하지는 않았다. 실제로 2000년대 말까지 러시아에 DPI가 깔리지는 않았지만, 현재는 캐나다의 Sandvine, 이스라엘의 Allot, 미국의 Cisco와 Procera, 중국의 Huawei 등 주요 DPI 기술 업체들이 러시아에 모습을 드러내고 있다. 2012년 여름, 러시아 최대 무선통신사 세 곳이 이미 DPI를 설치해 놓았다. Procera가 빔펠콤에, Huawei가 메가폰, 그리고 CISCO가 엠테에스가 DPI를 설치했다.

폐르시쩨르의 수석 엔지니어인 바샤 나우멘코(Вася Науменко)의 말이다. “러시아에서 첫 번째 대상은 토렌트였어요. 토렌트가 광대역 전부를 차지했으니까요. 시작할 때 어떻게 해결할 지를 생각했습니다만 DPI 외에는 다른 해결책이 없었어요. 스위치나 라우터, Cisco조차도 이 문제를 해결할 수는 없었죠. 토렌트는 애플리케이션 수준이기에 어느 경우에서건 패킷을 열어서 뭐가 있는지를 들여다 볼 필요가 있습니다.”

IBM의 파두브니도 나우멘코의 말을 확인해줬다. “무선통신사들도 모바일 인터넷에서 부딪히던 문제죠. USB 모뎀을 소개하자마자 문제가 되기 시작했거든요.”

파두브니는 모스크바에서 제일가는 번화가, 모스크바 강둑, 캐피탈 시티(Город Столиц)에 있는 스타벅스에서 인터뷰를 가졌었다. 옆에는 IBM 러시아 본사가 있으며, 맞은편에는 РГРКОМ 사무실들이 있다. 모스크바 외곽 비지니스 센터의 7층에 방이 몇 군데 있다. 파두브니의 말이다. “2~3년 전에 고객들이 DPI에 관심을 갖기 시작했어요. 딱 한 가지 이유, P2P 프로토콜 때문이었죠. 거대한 용량으로 음악과 영상 파일을 다운로드받는 사람들이 굉장히 많습니다. 트래픽의 80%를 차지한다는 연구 결과도 있어요.”

무선 통신사들로서 유일한 해결책은 트래픽 셰이핑(shaping)이었다. DPI 기술 덕분에 무선 통신사들은 특정 서비스를 억제시킬 수 있는 툴을 입수했다(대부분의 경우 토렌트와 P2P 프로토콜, 그리고 스카이프). 스카이프의 경우 통신사 스스로가 만드는 VoIP 솔루션에 위협을 끼쳤었다.

네트워크망 제공업체들은 DPI 기술 채택을 좀 더 주저했다. 우리가 인터뷰해 본 엔지니어들(러시아에서 DPI를 다루는 엔지니어들이다) 모두 업체들 대다수는 이 기술을 왜 설치해야 하는지 이해하질 못 한다고 말해줬다. 2007년 러시아에서 Sandvine을 팔기 위해 세운 회사인 인라인 쩰례꼼 솔루션(Инлайн Телеком Солюшнс)의 알렉산드르 슈칼리코프(Александр Шкаликов)는 과금 시스템 때문에 접근에 차이가 생겼다고 말한다. 인라인 쩰례꼼은 극동지역의 국립 통신사인 라스쩰례꼼(Ростелеком)용으로 DPI를 설치했다.

“무선 통신사들은 매우 많은 요금을 받습니다만, 단순한 인터넷 망 제공업체들의 위치는 대단히 묘합니다. 자신을 파이프라인으로 바꿔버렸기 때문에 돈을 어떻게 벌어야 할지 확실치 않거든요. 글서 캄차카에서 아쿠트 지방까지 Sandvine DPI를 설치하게 됐습니다.”

DPI를 설치하도록 요구하는 법이 생겼다고 하여 인터넷 망 제공업체들의 태도가 바뀌지는 않았다. 슈칼리코프의 말이다. “당장 ISP는 트래픽 컨트롤의 문제를 다른 누구에게 넘기고 싶어해요. DPI를 자기 돈으로 사고 싶어하지 않습니다. `0만 달러가 넘으니 영세업체들은 감당할 수 없죠.”

하지만 소규모 망 업체들은 저렴한 솔루션을 이미 찾아다 놓았다. 슈칼리코프의 설명이다. “중고 CISCO DPI 솔루션용 시장이 큽니다. 거기에서 정말 웃음 밖에 안 나올 가격으로 살 수 있죠. 2천 달러 정도 될까요(미국에서의 값이며 러시아에서 실제 중고 값은 7천 달러 정도이다. 신규 기기 값이 10만 달러가 넘는다는 사실을 염두에 두기 바란다). 게다가 소프트웨어는 훔칠 수가 있죠. CISCO는 Sandvine보다 기능이 적습니다만 적어도 관료들은 만족시킬 수 있죠.”

의심이 가는 인권 기록과 민주주의 정치를 하고 있는 나라의 정부들은 DPI의 상용 이익을 어떻게 하면 온라인 활동을 억누르는 수단으로 사용할 수 있는지 아주 잘 알고 있다. 가령 우즈베키스탄의 비밀 서비스는 지역 인터넷 망 업체들이 소셜 네투워크의 토론장 주소를 DPI로 바꿔버리도록 강요했다.

슈칼리코프에 따르면 기술적으로는 문제가 없다. DPI는 막혀 있다 하더라도 사이트나 웹페이지에 접근하려 노력하는 사람이 누구인지 밝혀낼 수 있다. “IP만이 아니라 로그인 정보도 알 수 있습니다. 망 제공업체로서는 더 쉽겠죠. 고객들에게 로그인으로 DPI를 설정하도록 조언합니다. 그러면 누가 누구인지 통계치를 가질 수 있죠. 가령 자기 망에서 누가 스팸을 뿌리는지 알아내는 데에 관심을 가진 망 업체들이 있습니다.”

2012년 9월, DPI의 식별 기능이 러시아 전국적인 법적 가로채기 시스템과 잘 어울릴 수 있다는 점이 확실해졌다. 소련 시절에 많이 했던 일의 기반이 생긴 셈이다.


Moscow’s Central Telegraph Building, which houses the Ministry of Communications. Photo: Wikimedia

Crossed Lines

1980년대 중반, KGB의 한 연구소는 나중에 소름(СОРМ)이라 알려진 기술기반을 개발한다. 전국적으로 모든 종류의 통신을 법적으로 자동/원격 가로채기를 할 수 있는 기술이었다.

이 프로젝트의 완전한 구현은 1992년, 통신부가 처음으로 소름-기반 공문을 서명하면서 일어났다. 보안 당국이 요구하는 경우 편지와 전화 대화 내역을 통신사가 제공하도록 하는 강행규정이었다. 일반인들은 1998년, 연방안보국과 통신부, 감사 기관이 서버에 인터셉트 기기를 설치시키는 규정을 만들면서 알게 됐다. 2000년대 첫 10년간 모든 ISP와 통신사들은 유선이건 무선이건 소름 장비를 설치했다.

소름과 오늘날의 DPI 간에는 차이가 있다. 소름 기기는 비밀 기구의 요원이 손수 작동하지만 DPI 기술은 통신사와 망 업체들이 배치한다. 하지만 그 차이는 곧 사라질 것이다. 통신부와 통신사들 모두 참여하게 될 터이기 때문이다.

9월 27일, 러시아 최대의 정보 보안 컨퍼런스가 개최됐다. 주제는 “컨버전스 환경에서의 소름”이었다. 전문가를 위한 컨퍼런스였지만 모스크바 북쪽의 크라쿠스 엑스포(Крокус Экспо) 전시장 안에는 모스크바 시 전화국과 무선 통신사의 소름 부서의 책임자들은 물론 감찰 장비 제조업체 대표들로 가득 차 있었다. 제일 환영받은 손님은 통신부의 국가정책실에서 나온 엘락산드르 페르쇼프(Александр Першов)였다.

DPI는 빠르게 논의의 제일 뜨거운 이슈로 떠올랐다. 방 안에 있던 다수는 클라우드 컴퓨팅과 통신이라는 새로운 시대에서 합법적인 가로채기를 하려면 DPI 기술만이 유일하다는 점을 확신하는 분위기였다. 러시아의 Huawei 대표도 기꺼이 좋아 할 결론이었다.

소름을 DPI와 결합시키자는 아이디어 또한 그 누구도 반대하지 않았다. 통신부에 오래 재직해 온 페르쇼프는 통신부 생각을 간단히 설명했다. “네트워크 구축 요구 조건으로 연방안보국과 협력할 수 있도록, 소름 규정 하에서 모든 것을 적절히 할 수 있도록 하는 겁니다.”

기술적으로야 문제가 되지 않는다. DPI를 다루는 엔지니어들이 해 준 말이다.

폐르시쩨르의 말이다. “Allot은 소름과 완벽하게 호환됩니다. 우리도 알고 있죠. 매우 간단한 솔루션입니다. 우리가 해냈죠. DPI로 트래픽 방향의 재조정이 아니라 트래픽을 볼 수 있을 뿐입니다. DPI가 모든 트래픽이 아니라 특정 프로토콜만, 혹은 특정 고객의 트래픽만 복제할 수 있기 때문에 매우 편리하죠. 가령 제일 유명한 푸틴 반대파 리더인 알렉세이 나발니(Алексей Анатольевич Навальный)가 알려져 있는 통신사의 고객이라면, DPI를 통해 나발니의 모든 트래픽을 복제하여 외부 시스템으로 보낼 수 있습니다. 실질적이에요. 그가 어느 사이트에 있었는지도 보여주죠.”

나발니를 추적할 수 있는 감찰 기술이라면 러시아인 수 백 만 명에게도 가능하다는 얘기다. 그리고 오늘 그 스위치가 켜졌다.

A joint investigation by Agentura.Ru, CitizenLab and Privacy International.

The Kremlin's New Internet Surveillance Plan Goes Live Today | Danger Room | Wired.com

위민복님이 번역한 글입니다.

Leave a Comment

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.