압수수색과 감청에 안전한 통신 – 전화와 인터넷

지난 번 글에서 ‘압수수색과 감청에 안전한 메신저 사용법’을 소개했는데요, 이번 글에서는 감청으로부터 안전한 통신방법 두번째, 전화와 인터넷을 중심으로 설명하도록 하겠습니다. 메신저와 마찬가지로 감청으로부터 안전하기 위해서는 통신하는 과정에서 암호화가 되어야 합니다. 그래야 감청을 하더라도 메시지 내용을 알 수가 없겠죠. 이것을 ‘종단간(end-to-end) 암호화’라고 했습니다.

 

암호화 지원 (음성)통화 앱

일반 전화나 휴대전화 통화시에는 종단간 암호화가 되지 않습니다. 정보, 수사기관은 현재 휴대전화 감청이 되지 않기 때문에 통신사에 감청설비를 의무화하는 법안을 제출한 상태입니다만, 과거에 국가정보원은 자체 장비를 통해 휴대전화 감청을 한 바가 있고, 또 언제든지 통신사를 통한 감청이 가능해질 수 있습니다. 그래서 감청으로부터 안전한 통화를 하기 위해서는 통신사 조차도 감청을 할 수 없도록 종단간 암호화를 지원하는 프로그램(앱)을 이용할 필요가 있습니다.

일반적인 휴대전화보다는 무선인터넷전화(mVoIP)를 사용하는 것이 좋습니다. 가장 많이 쓰이는 앱으로는 스카이프(Skype)나 구글 행아웃(Hangout)이 있죠. 이 앱들도 전송 과정에서 암호화를 제공하기 때문에 통신사를 통해서도 감청이 힘들 수 있습니다. 다만, 스카이프나 구글과 같은 서비스 제공자를 통한 감청으로부터 안전하지는 않겠죠.

스카이프나 행아웃이 불안하다면, 레드폰이나 시그널과 같은 종단간 암호화를 제공하는 인터넷 전화를 사용할 수 있습니다. 레드폰과 시그널은 서로 통화가능하고, 앱만 설치하면 연락처 목록에서 레드폰이나 시그널을 설치한 이용자를 확인할 수 있기 때문에 사용하기가 어렵지 않습니다. 레드폰이나 시그널을 사용하면 통화 품질이 약간 떨어질 수 있으나 사용할만 합니다. 그리고 항상 사용할 필요는 없고 보안이 필요할 경우에만 사용하면 되기 때문에 큰 불편은 없을 것입니다.

암호화 지원하는 문자메시지 앱

표준 문자 메시지(SMS)는 암호화를 제공하지 않습니다. 그래서 암호화된 문자를 보내고 싶다면, 종단간 암호화를 지원하는 앱을 사용해야 합니다. 대표적인 앱은 안드로이드용 앱인 텍스트시큐어(TextSecure)입니다. 상대편이 텍스트시큐어를 사용하고 있다면 암호화된 문자를 보낼 수 있고, 그렇지 않다면 일반적인 문자 메시지도 보낼 수 있습니다. 텍스트시큐어는 전송 중 암호화 뿐만 아니라, 암호화된 형태로 저장할 수도 있습니다. (설정 → 개인정보보호 → 암호사용 On → 암호설정) 화면 캡쳐도 할 수 없도록 하고 있습니다.

설치하는 방법 : 구글 플레이스토어에서 다운로드 → TextSecure에 전화번호 등록 → SMS 인증 → 기존 문자 메시지 가져오기(선택) → 기본 문자 메시지로 사용 (선택)

암호화된 웹 이용

PC나 휴대전화로 인터넷을 이용할 때에도 ‘패킷감청’을 통해 내가 보고있는 콘텐츠가 감청될 수 있습니다. 암호화된 웹 접근을 위해서는 HTTPS 라는 프로토콜을 사용해야 합니다. 보통 홈페이지 주소가 HTTP로 시작되는 것을 알고 계실 것입니다. HTTP의 암호화된 통신이 HTTPS입니다. 이를 SSL이라고도 하며, 웹서버와 웹브라우저 사이에서 암호화된 통신을 제공합니다. 이렇게 하지 않으면 우리가 인터넷을 사용할 때, 통신사나 무료 와이파이 제공자, 혹은 수사기관이 웹사이트 글, 웹메일 내용 등을 중간에 가로챌 수 있는거죠. 우리가 보통 온라인 뱅킹을 할 때 이러한 프로토콜을 사용합니다만, 일상적인 경우에도 보안을 위해 사용하는 것이 좋습니다. 물론 우리가 접근하고자 하는 홈페이지가 HTTPS를 지원해야 합니다. 특정한 웹사이트가 SSL 혹은 HTTPS가 적용되었는지 확인하기 위한 방법은 https:// 로 시작하는 웹주소를 주소창에 입력해보면 됩니다. SSL로 연결이 되면, 웹주소 옆에 자물쇠 표시를 볼 수 있습니다.

특히, 웹메일을 이용할 때 HTTPS를 이용하는 것이 좋겠죠. 지메일, 야후 등의 웹메일이 HTTPS를 지원합니다. 진보넷 웹메일도 HTTPS를 지원합니다. 네이버 메일은 HTTPS를 지원하지만, 다음(Daum) 메일은 지원하지 않는 듯 합니다. 최근 다음 메일의 보안 수준이 0%라는 기사도 나왔었네요.

이메일 제공자가 HTTPS 를 지원하지만, 기본설정이 아닐 경우, URL 주소의 HTTP를 HTTPS로 바꾸고 페이지를 다시 읽어들여야 합니다. 당신이 사이트에서 항상 HTTPS를 사용하고 싶다면, 파이어폭스나 크롬 확장 프로그램(add-on)인 HTTPS Everywhere를 다운로드 해서 설치하면 됩니다.

 

종단간 암호화가 할 수 없는 것

어떠한 보안 조치가 무엇을 할 수 있고, 무엇을 할 수 없는지를 이해할 필요가 있습니다. 위에서 설명한 종단간 암호화는 전송 중간에 가로채는 행위로부터 보호하기 위한 것입니다. PC나 스마트폰에 저장된 자료들은 보호할 수 없겠죠. (그래서 이를 위해서는 스마트폰의 기기암호화나 PC 데이터의 암호화를 해야하는 것입니다.) HTTPS를 지원하는 웹메일이라고 할지라도 메일 서버 안에서는 암호화되지 않은 상태로 저장이 되겠죠. 그럼 웹메일 서비스 제공자나 수사기관이 저장된 메일에는 접근할 수 있을 것입니다.

또한, 통신 기록은 남을 수 있습니다. 당신이 언제, 누구와 통화했는지, 웹사이트에 접근했는지와 같은 로그기록 말입니다. (한국의 통신비밀보호법은 이를 ‘통신사실확인자료’라고 부릅니다.) 이 역시 매우 민감한 정보라고 할 수 있습니다. 예를 들어, 어떤 기자나 정치인의 통화 기록을 조회하면 통화 내용 자체는 모르더라도 누가 기밀 정보를 제공했는지 정보원에 대한 추적이 가능해질 수 있는 것이죠.

그럼에도, 위에서 설명한 종단간 암호화는 ‘감청’을 막기 위해 중요합니다. 이번 달에는 위에서 설명한 앱들을 설치해보고, 종단간 암호화 통신을 해보시기 바랍니다.