미국 정부가 주요 IT기업에 대한 무분별한 정보감시 등으로 논란을 빚었던 국가안보국(NSA) 등을 어떻게 관리해야할 지에 대한 가이드라인을 담은 보고서를 내놨다.제로데이 취약점을 활용해 감시대상에게 백도어를 설치하거나 무분별하게 메타데이터를 수집하는 미국 정보기관들의 행위가 줄 수 있을지 주목된다.
18일(현지시간) 미국 지디넷에 따르면 미국 정보감시 및 커뮤니케이션 기술 관련 대통령 자문 그룹이 이 같은 내용을 담은 '변화하는 세계에서 자유와 보안(Liberty and Security in a Changing World)'라는 제목의 보고서를 공개했다.
보고서는 제한된 영역에서만 메타데이터를 수집하고, 백도어를 설치해서는 안 되며, 그동안 고의적으로 업데이트를 하지 않은 채 감시활동을 위해 제로데이 취약점을 악용하지 말라는 등 감시활동에 대한 보다 엄격한 규정을 담고 있다.
보고서에 따르면 첫번째로 암호화 기능을 약화시켜서는 안 된다. 상업용 소프트웨어(SW)는 직간접적으로 NSA에 의해 약화돼서는 안 된다.
아직 보안업데이트가 이뤄지지 않은 제로데이 취약점을 악용한 공격은 미국 정부가 발견하는 즉시 빠르게 차단하고 패치를 마련해야 한다. 그동안 일각에서는 NSA 등이 일부 제로데이 취약점을 이용해 감시활동을 수행해왔다고 지적한 바 있다. 보고서는 정부가 앞으로 이러한 활동을 하지 못하도록 해야 한다는 내용을 담고 있다.보고서는 또한 법적으로 NSA 국장과 미국 사이버 사령관을 동일 인물로 정해서는 안 된다고 명시했다. 현재는 키스 알렉산더 장군이 두 분야를 총괄하고 있으나 권한을 분산하기 위해 두 명의 책임자를 배치할 필요가 있다는 것이다.
이와 함께 미국 정부가 정기적으로 국가안보에 관한 일반적인 데이터를 국민들에게 공개해야 한다고 밝혔다. 다만 정부가 국가 안보에 중대한 위협을 가할 수 있는 일에 대해서 강한 설득력을 가질 경우는 예외로 한다.
테러리스트 등 해외 범죄자 등을 감시하기 위한 내용이 명시된 해외정보감시법(FISA)은 감시 최소화 등의 규정을 따라야 한다.
보고서는 정부가 대량 휴대폰 관련 메타데이터를 저장해서는 안 된다고 지적했다. 이와 함께 기술 및 법률 전문가들을 통해 메타데이터와 다른 정보 유형 사이 차이를 파악할 수 있도록 해야 한다고 밝혔다.
미국 시민에 대해 수집한 데이터가 해외 정보, 다른 사람들에게 피해를 입힐 수도 있는 정보가 아니라면 조사 뒤에는 삭제해야 한다.
보고서에는 NSA와 기타 정보기관들은 대량 데이터 수집을 통해 목표로 한 정보수집활동을 수행할 수 있는지를 확인해야 한다고 내용도 담고 있다.
NSA 등은 G20 정상회담 등에서 다른 나라 고위관료를 도청했다는 의혹을 받기도 했다. NSA는 2007년부터 우리나라 외교정책, 군사기술 등에 대한 정보는 물론 반기문 유엔 사무 총장까지 도감청했다는 의혹을 받고 있어 논란을 빚었다.
이와 관련 국제관계 상 문제를 없애기 위해 보고서는 외국 지도자들에 대한 감시에 보다 신중해야 한다고 명시했다. 미국과 가치나 이익을 공유하고 있는 나라인지를 염두에 둬야 한다는 것이다.
이를 위해 보고서는 자국 정보기관이 은밀하게 감시프로그램을 돌리기 보다는 국제사법공조(MLA)를 통해 다른 나라들과 협력해야 한다고 조언했다.
국가기밀정보를 유출시킨 NSA 감시 활동 폭로자 에드워드 스노든에 대해 정부는 비영리 기관 등을 활용해 신변의 안전을 확보하는 선에서 정보유출 배경에 대해 조사해야 한다고 밝혔다.
이와 함께 기밀유출에 대한 조사는 기간을 정하기 보다는 지속적으로 이뤄져야 하며, 내부 위협 정보, 기타 다른 정보, 신용카드 거래나 체포 등도 법적 테두리 내에서 조사돼야 한다고 밝혔다.
관련기사
- 휴대전화 암호 무력화…NSA, 기술 확보2013.12.19
- IBM, 주주로부터 집단소송…"NSA 협조 탓"2013.12.19
- 美NSA, WOW 등 온라인 게임도 감시대상?2013.12.19
- NSA 감청 맞서 MS-애플-구글-페북 뭉쳤다2013.12.19
스노든은 160만건에 달하는 기밀정보들을 시스템관리자 계정으로 접근해 빼냈다. 이에 따라 앞으로 기밀 유출을 막기 위해 훨씬 높은 수준의 내부 정보보호가 필요하다.
모든 기밀 네트워크는 높은 수준의 품질을 자랑하는 하드웨어, 소프트웨어에 저장해야 한다. 이러한 네트워크는 또한 네트워크 지속 모니터링을 통해 네트워크 트래픽 중 비정상적인 활동이나 데이터 유출을 막아야 한다.
