"포스트 코로나 시대…사생활 보호 추적 기술 도입 고려해야"

김승주 고려대 정보대학원 교수 컨퍼런스 발표

(스타트업얼라이언스 제공)

신종 코로나바이러스 감염증(코로나19) 확산 이후 지금보다 더 높은 수준의 사생활 보호 정책이 필요하다는 의견이 나왔다. 현재 휴대전화 GPS 위치추적이 정확할 수 있지만, 개인의 이동경로가 고스란히 드러난다는 측면에서 다른 방식을 강구해야 한다는 지적이다.

김승주<사진> 고려대학교 정보보호대학원 교수는 15일 여의도 국회의원회관에서 열린 '포스트 코로나 시대의 스타트업 디지털 뉴딜과 보안 패러다임' 컨퍼런스에서 "글로벌 IT기업들은 블루투스를 이용해 사용자가 언제든 서비스를 중단해 위치 추적을 중단할 수 있고, 비식별화된 아이디를 사용해 개인을 특정할 수 없는 방식을 도입하고 있다"고 말했다.

블루투스를 이용한 위치 추적 시스템은 사용자가 14주 동안 블루투스를 통해 연결된 다른 사용자와의 기록을 통해 이동 경로와 접촉자를 확인하는 방식이다.

김 교수는 애플과 구글 등이 이런 방식을 연구하고 있다고 했다.

예컨대 블루투스를 키면 사용자 기기의 신호를 주변에 발산한다. 무작위로 생성된 익명의 아이디를 기록하고, 증상이 발현되면 그동안 주변 접촉 블루투스 아이디를 찾는 방식이다. 블루투스 아이디가 시간대별로 어떻게 부여됐는지는 사후 필요할 때만 검색한다.

김 교수는 "애플은 아이폰과 같은 기기에 프라이버시를 침해하지 않는 수준에서 추적이 가능하게 했다"며 "장단점이 있지만, 고려해야할 방법"이라고 강조했다.

현재 우리나라는 개정된 감염예방법을 토대로 GPS 및 입출국 기록과 신용카드 사용내역 등으로 동선을 추적하고 있다.

중국이 우리나라와 비슷한 방식을 취하고 있고, 독일과 프랑스, 영국 정부는 블루투스를 이용해 동선을 추적하는 방식을 도입했다.

정확도 면에서 우리나라의 방식이 선호되고 있지만, 사생활 침해에 민감한 국가에선 고려되고 있지 않은 방식이다.

이날 김 교수는 코로나19 이후 △비대면 확산과 사물인터넷 증가 △ID 및 액세스 관리(IAM)의 중요성 △데이터 중요도 중심의 망분리 정책 △프라이버시의 가치 인식 △클라우드 보안 등의 중요성을 강조했다.

그는 비대면이 확산하는 상황에서 사용 편리성과 보안 내제화가 중요하다고 봤다. 사용하기 쉽게 만들어진 화상회의 서비스 '줌'의 인기를 예로 들었다.

김 교수는 "줌은 보안 사고 이후 서비스를 중단하지 않았고, 아직도 건재하다"며 "이유는 사용하기 쉽기 때문에 사람들이 계속해서 쓰려고 하고 있기 때문"이라고 말했다.

그러면서 "쓰기 편리하면서 보안도 어느정도 되는 서비스를 개발하려면 보안 내재화가 필수적이다"고 덧붙였다.

보안 내제화는 소프트웨어 개발 프로세스 중 요구사항 분석 및 설계 단계에서부터 보안을 고려하는 것이다.

분산신원인증(DID)의 본질적인 특성을 지킬 수 있어야 한다는 게 김 교수의 생각이다. 그는 "최근 DID 기술을 연구하고 도입하려는 움직임이 많지만, 국내 기업들은 대부분 소수의 기업이 운영하는 프라이빗 블록체인을 사용한다"고 꼬집었다.

그러면서 "미국 마이크로소프트 등 해외에서는 퍼블릭 블록체인을 토대로 개발하는 게 기본 철학"이라며 "블록체인 신원인증이라는 키워드에만 현혹돼서 DID를 쓸 것이 아니라 본질적으로 DID의 기본 특성을 지킬 수 있도록 개발해야 한다"고 말했다.

유연한 망분리 정책의 변화도 예상했다. 망분리는 기업이 사내 망과 외부 접속망을 분리해 핵심 기술 등의 데이터 유출을 방지하는 것을 말한다. 국내 대부분의 기업은 사내망과 외부 인터넷접속 망을 분리시켜 운영 중이다.

김 교수는 "단순히 사내망과 외부 연결망을 분리하는 방식이 아니라 데이터의 중요도에 따라 사용망을 분리하는 방식이 세계적인 추세"라며 "중요하지 않은 데이터는 적극적으로 개방해 데이터 활용을 촉진해야만 4차 산업혁명 시대를 대비할 수 있다"고 강조했다.

데이터 유출이 언제든 발생할 수 있다는 인식에서 새로운 대응책도 제시됐다. 류재철 충남대 컴퓨터공학과 교수는 "데이터 유출이나 침해 사고가 발생하더라도 실질적으로 사용할 수 없는 식의 패러다임 변화도 필요해 보인다"고 강조했다.