노트북 카메라, 가릴까 말까?

위기의 시대, 비영리에서 기회를 찾다 ②

[인터뷰] 최민오 인터랩 대표
시민과 활동가들의 안전한 디지털 활동 돕는 ‘인터랩’
공공과 민간이 불편해 하더라도 시민들의 디지털 인권 위해 목소리 낼 것

“(많은 분들이) 이상한 곳에 접속하지 않고, 의심스러운 파일을 다운받지 않으면 괜찮다고 생각하시는데요, 그렇지 않아요. ‘보안’을 목적으로 개발된 프로그램에서도 개인의 민감한 정보를 엿볼 수 있는 ‘취약지점’이 발견되곤 합니다.”

최민오 인터랩 대표는 노트북에 내장된 카메라를 스티커로 가린 기자에게 “잘 하고 있다”며 이같이 말했다. “너무 유난 떠는 것처럼 보일까봐 걱정”이라는 기자의 우려에 최 대표는 지난 달 인터랩이 연구·발표한 ‘국방모바일보안 어플리케이션 보안 및 프라이버시 취약점 분석보고서(이하 보고서)’를 꺼내 보였다.

“군사시설에 출입할 때 의무적으로 설치해야 하는 ‘국방모바일보안’이라는 어플리케이션(이하 앱)이 있어요. 모바일 기기에 내장된 카메라 기능을 통제, 사진을 찍지 못하게 해 군사기밀을 보호하려는 목적이었죠. 하지만 저희 분석에 따르면 이 앱은 (본래의 개발 목적 외에) 사용자의 위치정보 및 관련 시간 등 민감한 개인정보를 기록하고 수집할 수 있는 것으로 확인됐어요. 공격자가 마음만 먹으면 아무런 권한 요청 없이 개인정보를 추출할 수 있는 취약지점도 두 곳이나 있었고요.”

최민오 대표는 국방 분야만의 문제가 아니라고 덧붙였다. 최 대표는 “공공기관이나 금융기관 등에서도 보안을 목적으로 시민들에게 프로그램 설치를 강제하고 있다”며 “이런 앱들이 본래의 목적과 달리 시민들의 민감한 정보를 기록하고 수집할 수 있음을 경계해야 한다”고 지적했다.

하지만 비전문가인 일반 시민들이 일일이 모든 프로그램을 뜯어보고 분석하는 건 현실적으로 매우 어려운 일. 이에 최민오 대표는 “인터랩에 맡겨 달라”며 “디지털 공간에서 시민들과 활동가들이 자유롭고 안전하게 활동할 수 있도록 돕겠다”고 자신 있게 말했다.

호시탐탐 인권활동가 컴퓨터 노리는 권위주의 정권
인터랩은 시민들과 활동가들이 사이버 폭력 또는 공격으로부터 안전하게 활동할 수 있도록, 디지털 보안 및 안전 기술을 연구하고 대안을 모색하는 비영리단체다. 홍콩과 미얀마 등지의 인권활동가들에게 디지털 보안진단 및 컨설팅 업무를 해온 최민오 대표가 2021년 설립했다. 일상생활과 사회운동 모두 디지털 공간으로 이동하기 시작한 만큼 디지털 인권이 매우 중요해질 것으로 내다본 최민오 대표. 그는 “시민사회의 역동성을 지원하고 싶었다”며 인터랩 설립 배경을 밝혔다.

인터랩은 연구·출판·교육·컨설팅·캠페인 등 다양한 방식으로 활동을 전개하고 있다. 지난달 발간한 ‘국방모바일보안 어플리케이션 보안 및 프라이버시 취약점 분석보고서’처럼 컴퓨터 앞에 앉아 보안 취약점을 찾아내고 이를 정리해 시민들에게 공개하는가 하면 홈페이지에 대비책을 정리해 안내하기도 한다. 인터랩은 홈페이지에 가이드(Guide)섹션을 만들어 ▲이메일 암호화 ▲내 비밀번호 유출여부 확인하기 ▲피싱공격들의 유형 파악 및 위협 줄이기 ▲내 기기 해킹 및 감청여부 확인하기 등 13가지 행동을 제안했다.

필요한 경우 직접 현장으로 출동해 사고대응에 나설 때도 있다. 일명 헬프라인이다. 이 경우 주로 시민단체와 활동가들에게 초점이 맞춰진다. 인권운동을 하는 시민단체와 활동가들은 여전히 감청과 해킹의 위협에 시달린다고 한다. 제보메일 등 다양한 위장술로 활동가에게 접근해 활동가들의 컴퓨터를 들여다본다고. 최민오 대표는 “단순히 ‘컴퓨터가 털렸네’하고 끝날 문제가 아니”라며 “심각한 경우 활동 자체에 심각한 위협이 될 수 있다”고 경고한다.

“홍콩 보안법이 한창이던 때, 홍콩 활동가 한명이 ‘본인 컴퓨터가 이미 감염된 것 같다’며 도움을 요청해왔어요. 피싱메일을 클릭했더니 구체적인 시위장소와 시간 등이 모두 노출된 거 였어요. 미얀마도 상황이 좋지 않아요. 미얀마의 인권침해 사례를 기록하는 활동가들은 정권의 주요 타켓이에요. 난민 구출계획이나 위치 정보 등이 노출되는 날에는 활동가들이나 난민들이 구금되거나 체포당할 수 있어요.”

적어도 시민들 세금으로 개발·운영되는 앱은 소스 코드 공개해야..오픈 소스 운동 전개할 것
최민오 대표는 권위주의 정권의 수준까지는 아니지만, 국내에서도 설치를 강제하는 프로그램은 주의 깊게 관찰해야 한다고 강조했다. ‘국방모바일보안 어플리케이션 보안 및 프라이버시 취약점 분석보고서’에서도 나왔듯이 공격자가 마음만 먹으면 사용자의 개인정보를 들여다 볼 수 있는 취약지점이 발견됐기 때문이다.

인터랩이 할 일이 많겠다고 질문하자 최 대표는 “맞다. 하지만 우리가 다 할 수는 없는 노릇”이라며 “그래서 오픈 소스 운동을 제안한다”고 밝혔다.

“소스 코드 공개는 두 가지 목적이 있어요. 하나는 이것이 정말 안전한지에 대해 검증해보겠다는 거죠. 공개가 돼야 시민들이 접근해 안전성을 들여다 볼 수 있으니까요. 두 번째는 안전성 강화 측면이에요. 소스를 공개해 많은 사람들이 들여다보고 취약점을 지적하면 당장에는 문제가 드러나지만 문제를 해결하면 보안 성능이 향상되는 거니까요.”

“기업들이 영업기밀을 이유로 공개하려 하지 않을 것 같다”고 묻자 최민오 대표는 “적어도 공공이 개발·운영하는 앱은 공개해야한다”고 응수했다. 최 대표는 “(공공 앱은) 개발부터 유지·보수에 시민들의 세금이 사용되는 것은 물론이고 다른 대체재가 없기 때문”이라고 지적했다.

활동의 독립성과 순수성 위해 비영리 조직 선택
공공과 민간을 가리지 않고 문제점을 지적하는 인터랩. 최민오 대표에게 “돈 벌기 쉽지 않겠다”고 하자 그는 “우리가 비영리를 선택한 이유”라며 웃어보였다. 최 대표는 “활동의 독립성과 순수성을 지켜나가는 것이 인터랩에겐 매우 중요했다”고 강조했다.

“(인터랩 활동과 유사한) 정보보안 회사에서 활동하는 전문가분들이 뱅킹 소프트웨어 등 정부 주도로 개발된 소프트웨어의 취약점들을 모르지는 않을 거라 생각합니다. 문제는 이 회사들이 국방부·검찰·경찰 등의 정부기관 등의 예산편성에 영향을 받을 수밖에 없다는 점이죠. 저희 인터랩은 독립성을 유지하기 위해 비영리 조직을 선택했습니다. 이번 국방모바일 앱의 취약점 분석 보고서 뿐 만 아니라, 뱅킹, 인증소프트웨어 등 많은 시민에게 강제된 다양한 정부주도 앱들을 분석해가며 결과들을 사회에 공유할 계획입니다.”

다행히 지금은 단체의 활동을 응원하는 국내외 민간기관들의 후원금으로 단체가 운영되고 있다. 하지만 지속가능한 구조는 아니다. 최민오 대표는 결국 시민들의 관심과 후원으로 단체가 운영돼야 한다고 말했다. 인터랩은 사단법인 전환 작업을 시작했다. 올해 말까지 법인 설립, 주무관청 승인 등을 거쳐 일반시민들을 회원으로 구성하는 사단법인을 만들 계획이다.

“시민들이 디지털 공간에서도 민주시민으로서 존재하길 바라요. 이 목표를 달성하기 위해서 인터랩만의 노력으로는 안 되겠더라고요. 시민들과 함께 가려고 합니다. 올해 말 단체 설립을 목표로 시민들과의 접촉면을 넓히고 단체의 활동과 비전을 전달해보려고 합니다. 우리 활동의 독립성과 지속가능성을 위해 시민 여러분들이 힘을 보태주셨으면 좋겠습니다.”

[미니인터뷰] “헤이그라운드에서 여려 조직들과 친구 맺는 중입니다”

Q.  브라이언임팩트 x 헤이그라운드 비영리 멤버십(이하 비영리멤버십)에 선정됐다. 어떤 지원을 받았나?
▲사무 공간 ▲인건비 ▲교육·컨설팅 등을 지원받는다. 먼저 사무공간은 헤이그라운드에 저렴하게 입주할 수 있도록 지원해준다. 지원기간은 2년이다. 인건비도 지원해준다. 덕분에 인턴직원 3명을 채용할 수 있었다. 교육·컨설팅은 단체를 운영하는 데 필요한 인사·노무·회계 등의 지식을 제공하고 조언해준다.

Q. 어떤 게 가장 큰 도움이 됐나?
두 가지를 말하고 싶다. 먼저 헤이그라운드 입주다. 작년 6월에 입주했는데 비영리조직들과의 접촉면이 넓어져서 좋다. 헤이그라운드에 입주하자마자 시작한 게 ‘커뮤니티 빌딩 프로그램’이었다. 헤이그라운드에 입주한 조직의 구성원분들과 인사 나누면서 소개하는 자리였다. 이 프로그램을 통해 많은 조직의 활동가들을 알게 됐다. 프로그램이 아니었더라면 이렇게 만나서 인사하고 연락처 교환하고 이야기하기가 어려웠을 거다.

Q. 다른 하나는?
교육·컨설팅도 꼭 이야기하고 싶다. 나는 보안컨설턴트로 일을 한 기술자다. 이렇게 단체를 직접 운영해본 적은 없다. 이번에 단체를 만들면서 회사 운영 일반에 관한 것들은 다 내가 직접 챙기는데 강사 분들이랑 루트임팩트 직원 분들 덕분에 도움을 많이 받고 있다.

Q. 비영리멤버십이 창출하는 소셜임팩트는 무엇일까?
안전하고 지속가능한 (소셜임팩트) 생태계 조성이라고 생각한다. 사실 나는 아이디어만 가지고 시작했다. 아이디어가 프로젝트가 되고 프로젝트가 모여 조직이 되기까지 많은 사람들의 도움과 자원이 연계됐다. 보안 컨설턴트였던 내가 무슨 수로 이 모든 사람들을 만나고 자원을 동원했겠는가. 비영리 멤버십이 그 역할을 해줬다. 아마 지금 이 순간에도 나처럼 아이디어가 넘치는 사람들에게 물을 주며 성장을 지원해주고 있을 거다. 그런 사람들이 늘어나면서 생태계가 다양해지고 풍성해지는 게 아닐까 싶다.

• 인터뷰 : 소셜임팩트뉴스 정재훈 기자

기사 원문 보러가기