2월 12일 방송통신위원회가 해외 불법사이트 895곳의 접속을 차단하며 보안접속(https)나 우회접속도 원천봉쇄하기 위해 SNI 기술을 이용했다고 밝혔습니다. 이를 두고 한쪽에서는 "표현의 자유 침해"라고, 다른 한쪽에서는 "불가피한 선택"이었다고 말합니다. <오마이뉴스>는 이번 문제에 대한 다양한 의견을 기다립니다.[편집자말]

큰사진보기
▲  청와대 국민청원 게시판에서 진행 중인 "https 차단 정책에 대한 반대 의견"에는 18일 오후 2시 50분 현재 24만 명에 가까운 누리꾼들이 동참했다.
ⓒ 청와대 갈무리	관련사진보기

 
방송통신위원회(방통위)의 https 차단 정책에 대한 청와대 국민청원이 20만 명을 넘어섰다고 한다. 그러나 이 이슈를 음란물 접근에 대한 찬반 논란 정도로 좁게 바라봐서는 안된다.

이번 기회에 정부의 인터넷 내용 규제의 절차와 수단은 적절한 것인지에 대해 사회적으로 논의하고 개선점을 모색할 필요가 있다. 아래에서 몇 가지 쟁점에 대해 살펴보고자 한다.

이건 '감청'이다

방통위는 "통신비밀보호법상 '감청'이란 '암호화'되어 송수신되는 전기통신 내용을 '열람 가능한 상태로 전환'하여 내용을 파악하는 것"이므로 "암호화되지 않고 그대로 노출되어 있는 SNI 필드 영역은 통신비밀보호법에서 보호하고자 하는 통신비밀에 해당하지 않"는다고 하고 있으나, 이는 사실과 다르다. 방통위의 설명대로라면 암호화되지 않은 통신 내용은 자유롭게 들여다 봐도 된다는 얘기가 아닌가.

통신비밀보호법은 감청을 "전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 음향·문언·부호·영상을 청취·공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송·수신을 방해하는 것"이라고 규정하고 있다. 즉, 당사자 동의 없이 통신의 내용을 가로채 지득하거나 방해하는 것이라면 감청이라고 할 수 있으며, 암호화되지 않은 SNI 필드인가 암호화된 필드인가는 중요하지 않다. 혹은 단지 도메인 부분을 포함하고 있기 때문에 감청이 아닌 것은 아니다.

인터넷 통신에서는 통상적인 의미의 콘텐츠뿐만 아니라 접속하고자 하는 도메인 정보를 비롯한 많은 메타데이터가 함께 전송되게 되는데, 이 역시 개인의 통신 내용의 일부를 이루는 민감한 정보라는 점을 인식할 필요가 있다. 지난해 8월 헌법재판소도 '비내용적 정보'인 메타데이터(통신사실확인자료) 역시 통신 내용에 버금가는 보호가 필요하다고 지적한 바 있다.

다만 수사기관이 법원의 허가를 받아 감청하는 것 같은 합법적인 감청이 있을 수 있다. 그런데 통신비밀보호법은 정보·수사기관에 의한 통신제한조치 등을 규정하고 있을 뿐, 통신사업자에 의한 트래픽 관리(망 혼잡관리를 위해 자체적으로 할 수도 있고, 지금처럼 정부나 법원의 명령으로 수행할 수도 있다)를 어떻게 볼 것인지에 대한 명확한 규정이 없어 논란이 있을 수 있다.

물론 필자도 현재 방통위가 이용자의 통신 내용을 일일이 들여다보고 있다고 생각하지는 않는다. 그리고 기존의 http 차단 방식이나 DNS 차단 방식 역시 이용자가 주고받는 패킷을 들여다봐야 한다는 점에서, 이번 https 차단을 새롭게 볼 것은 아니다. 그러나 기업과 정부에 의한 트래픽 감시를 어디까지 허용할 수 있을 것인지는 보다 엄밀하게 규정될 필요가 있다.

'선한 정부'를 믿으면 끝인가

필자가 가장 큰 문제로 보고 있는 것은 보안 통신의 허점을 악용한 조치라는 점이다. https는 통신보안을 위한 프로토콜(통신규약)이다. 암호화되지 않은 일반 http 통신은 외부의 공격자가 쉽게 가로채거나 변조할 수 있다.

외부의 공격자는 단지 악의적인 해커나 범죄자뿐만 아니라, 상업·정치적인 목적으로 이용자의 트래픽을 노리는 기업이나 정부가 될 수도 있다. 그래서 이용자의 통신 보안과 프라이버시를 위해 https에 대한 통신보안 기술이 개발되고 확산되고 있다(예를 들어, naver.com 이라고 치면 자동으로 https://naver.com 으로 변환됨을 알 수 있다).

이러한 보안 통신은 비단 비밀스러운 대화를 위해서만 존재하는 것이 아니다. 안정적인 전자상거래를 위해서 뿐만 아니라 인터넷을 통한 모든 통신에 보안 표준이 적용될 것인데, 통신보안이 없다면 인터넷의 신뢰 기반 자체가 무너지게 되기 때문이다.

그런데 SNI 필드는 https 프로토콜의 보안 허점 중 하나라고 할 수있다. https를 통한 암호화 통신 이전에 암호화되지 않고 평문으로 전송되는 영역이기 때문이다. 이 때문에 아직 정식 표준으로 채택되지는 않았지만 이를 보완한(SNI 필드도 암호화하는) TLS 1.3 표준도 개발되어 있는 상황이다.

아마도 조만간 새로운 보안 표준이 일반화될 것이고, 그렇게 되면 이번 https 차단 조치도 실효성을 잃게 될 것이다. 한국 정부는 새로운 보안 표준 확산의 일등공신으로 기억될 수도 있다.

중요한 것은 한국 정부가 특정 정책 목적을 위해 통신 보안을 언제든지 우회(무력화)할 수 있음을 보여준 것이다. SNI 차단 자체는 언젠가 실효성을 잃게 되겠지만, 다른 어떤 통신 보안이든, 그리고 그 명분이 무엇이든(음란물 차단이든, 사이버 테러 방지든) 정부의 필요에 따라 우회할 수 있다는 것이다.

한국 정부만 그런 것은 아니다. 90년대 암호 전쟁에서부터 암호 기술에 대한 애플과 FBI의 대립과 같이 미국 정부 역시 암호 기술을 우회할 수 있는 통로(백도어)를 요구해 왔다. 그러나 백도어를 두고 안전한 암호 기술은 없으며, 이것이 기술 전문가와 인권 단체들이 정부의 암호 기술 우회 요구에 반대해온 이유이다.

그들이 자초한 검열 논란
 

큰사진보기
▲  물론 이번 https 차단 조치로 규제 대상 자체가 새롭게 확대된 것은 아니지만, 정부 검열이 확대될 것이라는 우려는 방통위와 방심위가 자초한 것이다.
ⓒ unsplash	관련사진보기

 
방통위는 "불법정보의 유통은 표현의 자유를 벗어난 영역"이며 "독립기구인 방송통신심의위원회가 불법정보로 심의·의결한 내용에 대해 삭제 또는 접속차단 등의 조치를 취하는 것으로 표현의 자유 침해라고 볼 수 없"다고 말한다.

방통위 논리대로라면 세상에 표현의 자유를 침해하는 국가는 없다. 게시물의 불법성과 국가안보, 미풍양속을 명분으로 삼지 않는 검열이 있었던가. 물론 이번 https 차단 조치로 규제 대상 자체가 새롭게 확대된 것은 아니지만, 정부 검열이 확대될 것이라는 우려는 방통위와 방심위가 자초한 것이다.

문제는 첫째, 방통위와 방심위가 "아동청소년음란물, 불법촬영물, 불법도박 등 불법내용의 정보"만을 대상으로 하고 있지 않다는 것이다. 정보통신망법 제44의7은 국가보안법 위반 정보, 그밖에 범죄를 목적으로 하거나 교사 또는 방조하는 내용의 정보 등 심의 대상 정보를 규정하고 있다.

또한 불법정보에 국한되는 것도 아니다. 방송통신위원회의 설치 및 운영에 관한 법률 제21조 및 시행령 8조는 '불법정보 및 청소년에게 유해한 정보 등 심의가 필요하다고 인정되는 정보'로 규정하고 있고, 실제로 방심위는 '정보통신에 관한 심의규정'에 따라 불법정보가 아닌 정보까지 폭넓게 심의해 왔다. 즉, 명백한 불법물이 아닌 정보도 심의할 권한이 있으며, 실제로 그러한 권한을 남용해온 역사가 있다.

둘째, 불법물에 대한 판단 역시 자의적이다. 불법에 대한 판단은 법원이 아니라 방심위가 한다. 방통위는 방심위가 독립적인 민간기구라고 주장하지만, 방심위는 독립적이지도 않고 민간기구도 아니다.

2010년 국가인권위원회는 방송통신심의위원회의 인터넷심의를 독립적인 민간자율기구에 이양할 것을 권고하였으며, 2011년 유엔 의사표현의자유 특별보고관도 한국보고서에서 마찬가지 내용을 권고하였다. 2012년 법원은 방심위가 행정기관이고 그 처분은 행정처분이라 인정한 바 있다.

방심위의 자의적인 인터넷 검열 사례는 차고 넘친다. 지난 2011년 방통위와 방심위는 한총련 홈페이지의 존재 자체가 국가보안법을 위반하는 '불법'이라며 통째로 폐쇄했다. 같은 해 방심위는 '과도한 욕설'이라는 이유로 @2mb18noma 트위터 계정의 국내 접속을 차단했다. 불법성이 없어도 차단한 것이다.

기업 비판의 경우도 마찬가지다. 2008년에는 조중동 광고지면 불매운동 게시물을 '범죄를 목적으로 하거나 교사 또는 방조하는' 2차 보이콧이라는 이유로 대량으로 삭제했다.

방통위는 '불법사이트 접속차단에 대한 해외 현황'에서 MPA Canada에서 캐나다의 통신규제기관인 CRTC에 제출한 보고서('18.3월)를 인용하여 마치 국내 규제가 해외와 다를 바 없는 것처럼 소개하고 있다. 그러나 MPA Canada는 캐나다의 영화협회로 이 보고서는 저작권 침해 사이트에 대한 차단을 다룬 것이지 콘텐츠 일반에 대한 차단을 다룬 것이 아닐 뿐더러, 법원의 명령에 의한 차단과 행정부의 자의적 판단에 의한 차단은 근본적으로 다르다.

'디지털 성범죄 규제'가 문제가 아니다

요약하자면, 이번 조치는 이용자의 통신보안을 침해하는 방식이라는 점에서 문제가 있고, 단지 디지털 성범죄물 뿐만 아니라 정부가 폭넓은 내용 규제 권한을 갖고 있으며, 그동안 이를 남용해 왔다는 점에서 불신을 키웠다.

디지털 성범죄물에 대한 규제나 피해자에 대한 구제가 필요하다는 것에 대해 이견이 있는 사람은 없을 것이다. 동시에 정부의 자의적인 검열에 찬성하는 사람도 없을 것이다. 이 두 가지 정책 목적이 상충하는 것이 아니며, 정부의 보다 섬세한 정책 추진이 필요하다.

디지털 성범죄 피해에 대한 조속한 조치는 필요하다. 다만 디지털 성범죄에 대한 대응이 국가가 인터넷 보안을 위협하는 정책을 추진하거나 정부가 인터넷을 자의적으로 감시하고 검열하는 권한을 확대하는 것을 정당화하는 구실이 되어서는 안된다. 디지털 성범죄 처벌을 강화하고 국제 공조를 통해 불법 성폭력물의 유통자에 대한 수사를 확대하는 등 근본적인 대책에 노력할 필요가 있다.

디지털 성범죄물에 대한 내용 규제가 지지받기 위해서라도 현행 내용 규제 체제에 대한 개선이 필요하다. 즉, 내용 규제의 대상을 엄격하게 제한하고, 행정기관에 의한 규제보다는 자율규제와 사법적 규제로 전환할 필요가 있다. 예를 들어 디지털 성범죄는 피해 당사자에게 명확하고 급박한 구제가 필요하다. 반면 일반적 성표현물(포르노)이나 국가보안법 위반 게시물의 경우에는 그러한 급박성이 없으며 불법성 여부에 대한 논란도 크다.

문재인 대통령 역시 그동안 정치 심의를 최소화하고 자율규제를 확대하겠다고 공약했지만 아무런 진척도 이루어지지 않았다. 방통위는 이를 위해 어떠한 노력을 했는가.

[방통위 https 차단 논란]

① 도박·음란물 사이트 막으려다 인터넷 검열 사회 온다?
② [주장] 나쁘니까 막는다? 지금이 조선시대인가
③ [주장] 억압 행사하는 건 정부 아니라 '불법 동영상' 소비자들