전자정보 수집과 ‘암호화 정보’ - 역외 전자정보 압수ᆞ수색에 관한 연구 - S-Space

표 3-5]

2. 전자정보 수집과 ‘암호화 정보’

더 나아가 저장매체 자체 또는 개별 파일에 대하여 개인정보ᆞ영업비밀 등의 보호를 위해 암호화 방법을 사용할 수 있다. ‘암호화’(encryption)는 정보를 제

3자

가 알아볼 수 없도록 평문(plain text)을 재구성하여 암호문(cipher text)을 만드는 것이고, 이때 정보의 재구성방법을 암호화 알고리즘(encryption algorithm)이라 한 다.³⁾ 암호시스템의 안전성은 암호화 키(encryption key)의 비밀성에 의존한다는 케르크호프스 원리(Kerckhoff’s principle)에 따라 암호화 알고리즘은 일반적으로 공개되며, 암호에 의해 보호되는 정보의 보안은 키에 대한 보호에 의존하게 된 다. 현대 암호 실무에서는 통상

128비트 또는 256비트 길이의 키를 사용한다.

그런데 일반적인 사용자는 이러한 길이의 암호화 키에 대한 정보를 기억하기 어렵기 때문에, 짧고 기억이 쉬운 패스워드(password)를 설정하는 방법으로 키에 대한 보안을 유지하게 된다. 보다 구체적으로 살펴보면

‘암호해제’(복호화,

decryption)는 다음과 같은 2단계 과정을 거치게 된다.

먼저 패스워드를 이용하여

키에 대한 암호화를 해제하고(1단계), 암호화 해제된 키를 이용하여 복호화 알고 리즘(decryption algorithm)을 시동하게 된다(2단계

).

결론적으로 대부분 사용자에 게 패스워드는 실질적으로 키와 같은 기능을 하게 된다. 따라서 이하에서 암호 화ᆞ복호화 알고리즘을 구동하는

‘암호화 키’,

그러한 키를 복호화하는

‘패스워

드’를 통칭하여

‘암호화 정보’라는 용어를 사용하기로 한다.

서버에 대한

‘접근권한정보’와 암호화된 정보에 접근할 수 있도록 하는 ‘암호

화 정보’는 ① 특정 정보에 대한 접근권한을 부여하는 기능을 하고, ② 사용자 의 정보결정권을 강화한다는 점에서 기술적ᆞ규범적으로 유사한 역할을 한다.

따라서 본 문헌에서는 위 두 개념을 모두 포괄하는 넓은 개념으로

‘접근권한정

3) 정진욱ᆞ김현철ᆞ조강홍, 컴퓨터네트워크 (2003), 518면.

보 등’이라는 용어를 사용하며, 특히 구분할 필요가 있는 경우에 이를 명시하도 록 할 것이다.⁴⁾

II.

암호와 프라이버시

1.

암호 관련 규제의 역사

미연방 정부는

1990년대에 암호화 수단에 대한 규제를 시도한 바 있다. ‘암호

전쟁’(crypto wars)이라 불리는 치열한 논쟁을 거쳐 클린턴 행정부는

1999년에 정

책을 전환하여 암호화에 대한 규제를 포기하기에 이르렀다. 이후 암호문제는 주 요한 정책적 주제로 다루어지지 아니하였으나 최근 중국, 인도 등의 국가에서 유사한 논쟁이 진행 중인바, 본 항목에서는 위와 같은 경위와 관련된 법적 쟁점 에 대하여 간략히 살피기로 한다.

가. 키 위탁 방식과 클리퍼 칩

1990년 이전에는 국가안전국(National Security Agency, NSA)이 암호 관련 정책

에서 주된 역할을 하였다. 국방부(department of defense) 소속기관으로서 국가안 전국은 상호보완하는 두 가지 기능을 하였다. 즉, ① 감시 대상이 설정한 암호 를 해제하고, ② 정부, 기업 등에서 사용하는 암호화 수단을 효과적으로 보호함 이 바로 그것이다. 그러나 기술발전에 따라 공개키 방식의 암호화 방법이 개발 됨에 따라, 암호화 관련 주도권은 민간으로 넘어가고 국가안전국의 역할은 자연 스럽게 줄어들게 된 것이다.⁵⁾

4) 따라서 본 문헌에서 사용하는 개념들의 관계는 다음과 같이 정리할 수 있다. ‘접근권한정 보 등’ = ‘접근권한정보’ + ‘암호화 정보’

5) 암호화 관련 정책의 역사에 대하여는 다음의 문헌을 참고할 수 있다. Electronic Privacy Information Center, Cryptography Policy, available at: http://epic.org/crypto; Peter Swire &

Kenesa Ahmad, Encryption and Globalization, 13 Colum. Sci. & Tech. L. Rev. 416, 433–441 (2012).

1990년대 초반에 이르러서는 민간에서 발전한 암호화 기법에 여하히 대처할

것인지가 중요한 정책 과제로 대두되었다. 특히

‘암호화 키 위탁’(encryption key

escrow)과 ‘클리퍼 칩 ’(Clipper chip)이 암호 관련 정책에서 핵심 쟁점이 되었다.

⁶⁾

암호화 수단에 대한 규제를 완화하여 민간에서 충분히 강력한 암호화 수단을 쓸 수 있게 하면서도, 키를 위탁하도록 하여 수사기관 등이 필요에 따라 접근할 수 있도록 한다는 것이 기본적 정책 구상이었다. 정부의 계획은 상호 독립적으 로 운영되는

2개의 보관기구를 설치하고 각 기구가 키의 일부분씩을 보관하도

록 하는 것이었다. 2개의 독립된 보관기구를 설치한 이유는 수사기관 등이 위탁 된 키를 자의적으로 사용하는 것을 막기 위함이었고, 수사기관은 법원의 심사를 거쳐 필요성이 인정될 경우

2개의 보관기구로부터 키를 받아 대상 정보에 대한

암호화 해제를 할 수 있었다.

‘클리퍼 칩’은 키 위탁 방식을 실현하려는 초기의 시도였다.

⁷⁾ 그러나 클리퍼

칩에 대한 계획은 암호 관련 규제를 상징하는 것으로 받아들여졌고, 기술적 측 면, 법리적 측면에서 광범위한 비판을 받게 되었다. 이후 클리퍼 칩 자체의 기 술적 결함이 발견되고, 암호 관련 규제에 대한 격렬한 반대도 더하여져, 결국

‘클리퍼 칩 ’은 성공적으로 보급되지 못하였다 .

미연방 정부는 클리퍼 칩이 실패

한 후에도 키 위탁 방식을 계속 진행하려 하였으나, 정보화 전문가들은

1997년

에 키 위탁 방식에 대한 상세한 보고서를 발간하여 이를 비판하기도 하였다.⁸⁾ 위 보고서에서 언급하는 키 위탁 방식에 대한 비판의 요지는 다음과 같다. 먼저

① 키 위탁은 인위적으로 암호시스템의 보안취약점(security vulnerability)을 만드

6) 키 위탁 정책과 클리퍼 칩의 헌법적 문제점을 분석한 것을 다음의 논문이 대표적이다. A.

Michael Froomkin, The Metaphor is the Key: Cryptography, the Clipper Chip and the Constitution, 143 U. Pa. L. Rev. 709, 810 (1995);

7) 미연방 정부는 클리퍼를 암호기술의 표준으로 하여 암호화 기술의 활용을 통제하려고 시 도하였다. 클리퍼 논쟁에 대하여는 앞서 언급한 프룸킨(Froomkin)의 방대한 논문 외에 다 음의 문헌을 참고할 수 있다. Howard S. Dakoff, The Clipper Chip Proposal: Deciphering the Unfounded Fears That Are Wrongfully Derailing Its Implementation, 29 J. Marshall L.

Rev. 475 (1996); A. Michael Froomkin, It Came from Planet Clipper: The Battle Over Cryptographic Key “Escrow”, 1996 U. Chi. Legal F. 15 (1996).

8) Hal Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matt Blaze, Whiteld Die, John Gilmore, Peter G. Neumann, Ronald L. Rivest, Jerey I. Schiller & Bruce Schneier, The Risks of Key Recovery, Key Escrow, and Trusted Third-Party Encryption (1997).

는 결과가 된다. 키를 보관하는 기관은 해커나 범죄자들에게 주요 공격대상이 될 것이며, 보관기구의 내부자들이 권한을 남용하여 보관된 키를 불법적 목적으 로 사용할 가능성도 배제하기 어렵다. 다음으로 ② 집중화된 보관기구에서 요청 하는 수사기관이 적법한 권한을 가지는 것인지를 검증ᆞ확인하고, 대상 정보를 정확히 추출하여 복호화 과정을 거친 후, 그 정보를 요청 기관에 전송하는 일련 의 과정이 오류 없이 작동하도록 하는 것은 쉬운 일이 아니다. 이러한 복잡한 과정에서 작은 오류가 발생하는 것만으로도 보안에 심각한 위험이 발생할 수 있다. 또한 ③ 위와 같은 복잡한 일련의 과정을 유지하고 작동하도록 하는 것은 경제적 측면에서도 높은 비용이 요구된다는 것이다.

나. 암호화 수단의 수출규제

한편 클리퍼 칩의 실패 이후, 암호 관련 규제의 초점은 ① 암호화 기구에 대 한 수출규제와 ② 국내에서 암호화 수단 사용의 제약으로 옮겨졌다. 암호화 소 프트웨어는 전통적으로 군수품(munition)으로 분류되었고, 전투기와 같은 고도의 기술에 적용되는 수출규제가 그대로 적용되었다. 1990년대에 국방부의 규제 대 상에서 상무부(department of commerce)의 수출규제 대상으로 바뀌기는 하였으나, 여전히 강한 규제의 대상으로 취급된 것이다.⁹⁾ 나아가

1997년에는 하원 정보위

원회(Intelligence Committee)가 수사기관 등이 사용할 수 있는 백도어(back door) 를 설치하지 않은 암호화 제품의 제조ᆞ판매를 금지하고, 이에 위반할 경우 형 사처벌까지 할 수 있는 법안을 논의하기도 하였다. 다만 암호 규제 정책에 대한 논쟁이 가열되면서 결국 위 법안은 의회를 통과하지 못하였다.

다. 암호 관련 규제의 전환

암호 관련 정책논쟁에서 수정헌법 제4조와 프라이버시, 수정헌법 제1조와 표 현의 자유는 중요한 이론적 도구 역할을 하였다. 암호 관련 규제를 반대하는 견

9) Encryption Items Transferred From the U.S. Munitions List to the Commerce Control List, 61 Fed. Reg. 68572 (Dec. 30, 1996).

해는 암호 관련 각종 규제, 특히 키를 위탁하도록 하는 것은 영장 없이 행하여

지는

‘수색ᆞ압수’와 다르지 않고,

나아가 법적 요건을 준수하지 않은

‘감청’과

유사하다는 견해를 피력하였다.¹⁰⁾ 또한, 표현의 자유에 기초한 암호 규제 반대 논리는 일부 법원에서 판결의 논거로 채용되기도 하였다.¹¹⁾ 이러한 법률적ᆞ정 책적 반대 논리에 더하여, 공개키 암호화 알고리즘 방식이 광범위하게 보급되자 기술적인 의미에서도 암호화를 규제하려는 노력은 큰 의미가 없게 되었다.¹²⁾

이러한 변화를 반영하여

1999년 9월 미연방 정부는 암호 관련 정책의 방향을

크게 전향하면서 대부분의 수출규제를 폐지하기에 이르렀다.¹³⁾ 정책전환의 배경 에 대하여 다양한 견해가 있지만, 대체로

1990년대 후반 인터넷과 암호화 기술

의 발전을 배경으로 날로 증가하는 프라이버시에 대한 규범적 인식의 전환이 이루어진 것으로 평가되고 있다. 따라서 현재 미국의 암호 관련 법과 정책은 정 부도 민간에 대한 암호화 관련 규제를 하지 않지만, 다른 한편으로 기존에 정립 된 형사 절차 관련 규제에 어긋나지 않는 한 수사기관의 암호해제 시도 그 자 체를 따로 제한할 법적 근거도 없는 것이라 할 수 있다.

2.

암호 관련 규제의 문제점

암호 관련 정책논쟁이 완전히 종결된 것이라 말하기는 어렵다. 앞서 본 정책 10) Froomkin, 앞의 논문(주 6), 828면; Joel C. Mandelman, Lest We Walk Into the Well:

Guarding the Keys-Encrypting the Constitution: To Speak, Search, & Seize in Cyberspace, 8 Alb. L. J. Sci. & Tech. 227, 268 (1998); Kirsten Scheurer, The Clipper Chip: Cryptography Technology and the Constitution – The Government’s Answer to Encryption “Chips” away at Constitutional Rights, 21 Rutgers Computer & Tech. L.J. 263 (1995).

11) Bernstein v. U.S. Department of Justice, 945 F. Supp. 1279 (N.D. Cal. 1996) (암호화 알고 리즘에 관한 책을 출판하려는 저자에게 출판 전에 수출규제 관련 허가를 취득하도록 한 것에 대하여, 법원은 표현의 자유에 의하여 금지되는 사전검열에 해당한다는 이유로 수 정헌법 제1조에 위반된다고 판시하였다.)

12) 공개키 암호화 방식은 1970년 중반에 컴퓨터과학자들에 의해 개발되었다. 대표적인 공개 키 암호화 알고리즘으로 ‘PGP’(Pretty Good Privacy)를 들 수 있다. Whitfield Diffie &

Martin E. Hellman, New Directions in Cryptography, 22 IEEE Transactions on Information Theory 644 (1976).

13) Statement by Commerce Secretary William Daley Re: Administration encryption policy (Sept.

16, 1999).

문서에서 역외 전자정보 압수ᆞ수색에 관한 연구 - S-Space - 서울대학교 (페이지 153-174)