이젠 사이버 범죄가 주는 위협은 익숙한 일상이 되어버렸다. 한순간 방심하면 보이스피싱 피해를 당하는 세상이다. 하지만 악성코드나 스파이웨어를 사들여 개인 정보를 대놓고 가져간다는 범죄 조직은 없다.
그런데 미 법무부는 FBI의 스파이웨어 사용을 촉진하기 위한 법안 정비를 진행 중이라고 한다. 자세한 내용은 밝혀지지 않아 수수께끼에 휩싸여 있다. FBI는 이미 CIPAV(Computer and IP Address Verifier)라고 불리는 악성코드를 자체 개발한 바 있다. CIPAV를 타깃 PC에 설치하면 해당 정보를 가져오는 게 가능하다.
물론 어디까지나 FBI는 수사 목적으로 CIPAV를 사용한다고 밝혔다. 무단 권력 행사가 아니라 범죄 용의자를 특정해 해당 PC에 설치를 시도한다는 것이다. 이를 통해 용의자가 PC를 사용할 때마다 IP주소와 MAC 주소, 운영체제 정보와 사용 소프트웨어 종류, 브라우저 기록 등 용의자 추적에 필요한 정보를 수시로 전송받는 구조라는 것. 그 뿐 아니라 FBI의 감시용 소프트웨어는 파일이나 사진, 저장된 이메일을 내려 받거나 컴퓨터에 연결된 카메라를 활성화, 실시간으로 이미지를 수집할 수도 있다고 한다.
하지만 CIPAV에 대해 공개된 정보는 너무 제한적이다. 강력 범죄자 추적을 위해 악성코드를 활용하는 걸 합법화한다고 말하지만 대상이 조금 수상한 정도거나 일반 시민이 포함될 가능성도 있다. FBI가 마음만 먹는다면 PC나 인터넷 이용을 감시하는 게 법률로 허용되어도 될까.
FBI가 활용하는 악성코드의 명령이나 프로세스, 성능과 사양 같은 세부 정보는 사법기관이 비밀리에 진행하는 수사 기술로 분류된다. 따라서 악성코드의 실체가 밝혀진다면 진행 중인 수사에 지장을 초래할 뿐 아니라 활용 효과도 줄어들 수밖에 없다. FBI는 CIPAV 정보 공개를 요구하는 목소리에 대해 이 같이 설명한다. CIPAV의 실체를 공개하면 범죄자 추적에 실패할 위험이 있다는 이유에서다.
하지만 크게 양보해서 CIPAV 사용 자체가 법적으로 문제가 없다고 해도 남는 문제는 CIPAV를 어떻게 설치하느냐다. 어차피 정직하게 범죄 대상자에게 부탁을 할 수는 없다. 결국 어떤 방식으로든 속여서 설치를 시도하는 등 다양한 언더그라운드 수법을 쓸 수밖에 없다. 범죄 혐의가 있다는 것만으로 합법적으로 개인 정보에 대한 침해를 허용해야 할까. 법률적으로 가능한 범위가 된다고 해도 누구나 감시 대상이 될 가능성이 있다. 더 충분한 논의가 필요한 문제가 될 수 있다.
전자신문인터넷 테크홀릭팀
이석원기자 techholic@etnews.com