미국 정보기관들은 전화 통화, 전자우편, 트위터 등 거의 모든 데이터를 수집한다. 미국 국가안보국(NSA)이 독일 뮌헨에 뒀던 감청 기지 전경. REUTERS

광통신망 접속해 방대한 통신정보 싹쓸이… 컴퓨터로 1차 걸러낸 뒤 전문가가 분석

미국과 영국의 정보기관이 세상 모든 디지털 데이터를 실시간으로 감시하고 있지는 않다. 하지만 주요 통신망을 지나는 엄청난 양의 데이터를 거의 다 쓸어담는다. 웬만한 주요 인물들의 자료는 다 수집된다. 누가 누구랑 얼마나 통화했고 누구에게 얼마나 자주 전자우편을 보내는지 같은 '메타데이터'다. 관건은 여기서 중요한 정보와 그렇지 않은 정보를 걸러내는 것이다. 1차로 컴퓨터 필터링을 거친 뒤 사람이 본격적인 분석에 나선다.

요헨 비트너 Jochen Bittner, 얏신 무샤르바시 Yassin Musharbash <차이트> 기자

미국 국가안보국(NSA) 직원들이 자주 하는 농담 중에 이런 것이 있다. "우리는 신을 믿는다. 하지만 다른 모든 사람을 도청한다." 이처럼 미국의 비밀정보기관이 자신들의 야심을 채울 목적으로 만든 소프트웨어는 지구상의 모든 대화, 전자우편, 트위터, 포스팅을 감시한다. 전직 NSA 직원 에드워드 스노든의 말이다.

최근 이와 관련한 뉴스가 쏟아져나오고 있다. NSA가 인터넷을 실시간으로 감시한다는 뉴스, 유럽연합(EU) 대표부와 벨기에 브뤼셀의 유럽의회 빌딩 도청 사건, 미국과 영국이 전세계를 통괄하는 통신감시망을 분리하려고 체계적으로 노력하고 있다는 추측, 2009년 주요 8개국(G8) 정상회의에 참가한 정상 간 전화 대화 도청 등이 그것이다. 그들이 수집하는 정보는 테러 등 범죄를 대비하기 위해 필요한 정보뿐만 아니라 정치·경제적 이해관계가 걸린 정보가 포함됐을 것이다.

그러나 NSA나 영국의 정부통신본부(GCHQ)처럼 강력한 기술을 보유한 도청기관이라 할지라도 실제 전세계에서 벌어지는 일을 낱낱이 파악할 수는 없다. 폭발적으로 발전하는 디지털 통신 시대에 '도청'이란 정확히 무엇을 말하는가?

현대는 항상 움직이고 있는 거대한 디지털의 건초 더미와 같다. 매초 10만기가바이트(GB)의 데이터가 세계를 누비고 있다. 이를 책으로 만들어 늘어놓으면 지구에서 달까지 왕복할 수 있는 거리만큼의 분량이다. 대화·전자우편·팩스 내용은 이제 케이블에서 직접 도청하는 게 아니라 전 지구에 걸쳐 펼쳐져 있는 광섬유 네트워크의 복잡한 우회 경로를 통해 데이터 패키지로 입수된다.

방대한 자료 쓸어담아 컴퓨터로 1차 분류

지난 10년간 인터넷 및 음성통신의 대역폭이 50배 늘었고, 대용량 회선 수는 급속하게 증가하고 있다. 1988년에는 대서양 횡단 광섬유 케이블이 단 1개도 없었지만 지금은 전세계에 1600여개의 광섬유 케이블이 깔려 있다. 이는 비밀정보기관들에 악몽 같은 일일 것이다. 그들은 각각의 대화를 더 이상 별도의 회선으로 구분할 수 없게 되었다. 일단 정보를 되도록 많이 수집할 수밖에 없다.

여기서 새로운 질문이 제기된다. 그들은 계속해서 증가하는 엄청난 양의 데이터에서 중요한 정보와 그렇지 않은 정보를 어떻게 구분할 수 있을까? 중국 상하이에서 독일 슈투트가르트까지, 그 안에 살고 있는 페이스북·트위터·아이폰 사용자들이 생산해내는 모든 메시지 속에서.

그러나 그들은 할 수 있다. 다만 정보기관 요원들이 말하는 '염탐'이나 '정보 수집'을 위한 기술은 대다수 일반 시민이 들었을 때 떠올리는 방식과 전혀 다르게 작동한다. 비밀정보기관 요원이 '폭탄' '알카에다' '헤즈볼라'라는 단어가 들어 있는 전자우편이나 소셜네트워크서비스(SNS) 메시지를 책상에서 받아본다는 상상은 완전히 잘못된 것이다. 오늘날 감시는 다단계로 이뤄지는 복잡한 과정이다. 각 단계마다 죄 없는 일반인들의 사생활이 침해되는 건 아니다. 물론 NSA나 GCHQ가 사용하는 최신 감시 방식이 위험하지 않다는 얘기는 아니다. 개인의 기본권을 침해하고 한 나라의 주권을 위협하는 위험이 어디에 도사리고 있는지 알려면 최근의 스파이 행위가 어떻게 이뤄지는지 자세히 알아볼 필요가 있다.

이를 위해 정보기관이 충분히 관심을 가질 만한 내용으로 외국에 전화를 걸어보자. 예컨대 독일 함부르크의 <차이트> 편집부와 영국 런던의 데이비드 오맨드 사이에 이뤄지는 통화가 그 경우다. 오맨드는 1996∼97년 GCHQ의 본부장을 지냈고, 2002∼2005년 영국 내각의 정보 및 보안 정책 조정관이었다. "데이비드경, 지금 우리 사이의 통화를 GCHQ가 엿듣고 있습니까?" "아마 그렇지 않을 겁니다. 도청을 하려면 세가지 전제조건이 충족돼야 합니다. 기술적으로 가능해야 하고, 합법적이어야 하며, 도청해야 할 이유가 있어야 합니다."

먼저 기술적 가능성에 대해 알아보자. 미국과 영국은 데이터 흐름을 실시간으로 평가·판독하지 않아도 되는 방법을 개발했다. 얼마 전까지만 해도 상상할 수 없었던 엄청난 데이터를 이제는 저장할 수 있게 됐다. 이는 한 정보를 분석하는 데 필요한 시간을 벌어준다. 에드워드 스노든의 말에 따르면 NSA 프로그램 '프리즘'(Prism)은 마이크로소프트나 애플, 구글, 페이스북, 유튜브, 아메리칸온라인(AOL) 이용자들의 통화 내용, 전자우편, 검색어, 채팅 데이터에 접근할 수 있게 해준다.

물론 독일 이용자들의 데이터에도 접근할 수 있다. 영국 일간지 <가디언>에 따르면, NSA는 지난 2월 내부 문서를 통해 올해 9월부터 새로운 메타데이터 수집 프로그램 2종을 사용할 계획이다. 스노든은 "비밀정보기관이 매일 6억5천만통의 전화 통화를 기록한다"고 폭로했다. 독일 시사주간지 <슈피겔>은 NSA가 독일에서 매달 5억개 이상의 전자우편, 전화 통화, 그리고 SNS 메시지를 수집한다고 보도했다. 아는 것이 힘이라 여겼는지 초강대국 미국은 자신들의 정보에 구멍이 있는 것을 용납할 수 없다고 믿는 것 같다.

비밀정보기관이 일차적으로 관심을 가지는 것은 수집된 통신의 내용이 아니라 일명 '메타데이터'라 부르는 것이다. 즉, 누가 누구랑 얼마나 통화했고 누가 누구에게 얼마나 자주 전자우편을 보내는지 같은 정보를 NSA는 기록해 저장한다. 스노든의 보고서에 따르면, 영국의 도청 전문 기관 GCHQ는 약 18개월 전부터 '템포라'(Tempora)라는 이름의 비슷한 프로그램을 운용하고 있다. 여왕의 스파이들은 200여개의 지하 광섬유 케이블에 접속할 수 있는데, 독일과 영국 사이에 인터넷 통신을 위해 사용되는 케이블도 그중 하나일 수 있다. 독일 국민의 데이터와 메시지도 상당수 영국 첩보기관에서 입수하고 있다는 얘기다. GCHQ 컴퓨터는 독일 국민의 데이터에서도 주기적으로 '스냅샷'을 작성하고 이를 30일간 보관한다.

그렇다면 비밀정보요원들은 이 '더미 데이터'(Dummy Data·의미 없이 가상으로 설정된 데이터로, 데이터에 쉽게 접근하거나 나중에 확장을 위해 설치된 빈 데이터)를 가지고 무엇을 하는 것일까? 이 질문에 데이비드 오맨드는 물론 NSA의 내부 관계자도 똑같은 답변을 했다. 대부분은 컴퓨터로 1차 검사를 한 뒤 즉시 삭제된다. "수백만개의 전자우편을 읽는 것 자체가 불가능하다"고 오맨드는 말했다. "그 짓을 누가 하겠는가?" 컴퓨터가 사전 분류를 하려면 정보기관이 원하는 전자우편 발신자가 누구인지 미리 알아야 한다. 전문용어로 이를 '최소화' 또는 '대규모 볼륨 감소'라고 부른다. 과거 10년간 NSA의 분석 전문가로 일한 미국 해군대학 교수 존 쉰들러도 "수집된 데이터 중 대부분은 사람이 눈으로 보기 이전에 이미 걸러진다"고 말했다.

NSA, 4만개 검색어로 데이터 사냥

전 GCHQ 본부장 오맨드는 "컴퓨터가 합법적으로 프로그래밍돼야 한다"고 덧붙였다. 특정인의 이름이나 전자우편 주소 등을 장관급 인사가 사전에 승인할 경우에만 관련 데이터를 검색할 수 있다는 것이다. 만일 오맨드가 <차이트>와의 통화 중에 GCHQ의 기밀을 발설하더라도(물론 비밀정보기관이 오맨드의 의도를 알지 못한다는 것을 전제로) 통화 내용은 기록되지 않는다. 하지만 런던과 함부르크 사이에 통화 연결이 있었다는 기록은 남을 것이다. "제한 없이 정보를 수집할 수 있게 해주는 허가는 존재하지 않는다." 그러나 오맨드는 다수의 비밀정보요원들이 허가나 승인 없이 정보를 수집하려는 충동을 느낀다는 사실을 부인하지 않는다.

그렇다면 독일 해외 정보기관 BND는 어떻게 하고 있을까? BND의 통신 감시는 오직 '목표 지향적으로' 이뤄진다고 관계자들은 말한다. 대규모 데이터 저장은 애초부터 이뤄지지 않고, 오직 특정한 통신 연결만 찾고 제대로 짚었을 경우에 도청한다. BND 관계자는 "현재 약 1500개 단어로 구성된 특정 검색어 리스트를 이용해 국제전화나 통신을 검색할 수 있지만(NSA는 4만개, GCHQ는 3만1천개의 검색어를 이용할 수 있다) 정보기관이 해저를 싹쓸이하는 '트롤어업'처럼 데이터의 바다를 무차별적으로 휩쓸고 다니지는 않는다"고 말했다.

제대로 된 정보를 찾으려면 물고기를 잡는 것처럼 어느 해역에서 어떤 생선을 잡고 싶은지 비교적 정확히 알고 있어야 한다. 따라서 앞으로의 과제는 더 많은 데이터를 수집하는 것이 아니라 더욱 섬세하게 걸러낼 수 있는 일종의 정보 여과 장치를 발전시키는 것이다. 독일 연방정부의 보고에 따르면, 2010년 BND는 약 3700만개의 전자우편을 수집했지만 그중 90%는 스팸, 즉 디지털 쓰레기였다.

미국의 무차별적인 감시에 항의해 우크라이나의 활동가들이 미 대사관 앞에서 시위를 벌이고 있다(왼쪽). 케이스 알렉산더 미 NSA 국장은 "통화 감청 프로그램이 수십건의 잠재적 테러 공격을 막는 데 도움이 됐다"고 주장한다(오른쪽). REUTERS

BND는 연방 하원 원내 통제위원회에 최근 들어 수집된 전자우편 수가 눈에 띄게 감소했다고 보고했다. 2011년에는 '테러리즘'이라는 용어를 사용해 정보 수집망에 걸린 전자우편 수가 예년의 100분의 1 수준으로 줄어들기도 했다. 정보기관 내부에서는 '데이터의 과잉 보유'를 여전히 골칫거리로 여기고, 이에 따라 필터링된 결과물 수를 축소시키는 방법을 개발하고 있다. 컴퓨터를 이용해 불필요한 정보를 최대한 걸러내야 인간 분석가들이 데이터를 제대로 활용할 수 있기 때문이다.

지금까지 NSA와 GCHQ의 직원들이 얼마나 많은 메시지를 읽었는지 말할 수 있는 사람은 아무도 없을 듯하다. 설령 알더라도 누구도 말하려 들지 않을 것이다. 미국 민주당 소속 상원의원 론 와이든은 NSA가 실제로 몇명의 전자우편을 읽어보는지 알아보려 했지만 그에 대한 답변을 받지 못했다. 오맨드도 이에 대해서는 알지 못한다고 했다. 정보기관 관계자들의 말에 따르면, BND는 2012년 80만개의 기록된 통신 중 겨우 200개만을 '정보상 중요한' 단계로 평가했다고 한다.

그렇다면 '감시'는 어디서부터 시작되는 걸로 봐야 할까? 미국의 핵잠수함이 해저 데이터 케이블에 접속해 데이터를 빼내는 순간부터일까, 아니면 메타데이터를 저장하는 순간부터일까? 그것도 아니라면 데이터의 조합부터일까, 정보기관이 통신 내용을 확인하는 시점부터일까?

독일의 법률은 NSA나 GCHQ가 하는 것과 같은 대규모 데이터 저장을 허용하지 않는다. 메타데이터만 이용해도 한 사람의 개성을 정확하게 추측할 수 있다. 연방 헌법재판소는 1983년 판결을 통해 이런 행위를 금지하고 있다. 당시 재판관들은 "시민이 자신에 대해 누군가 무엇을 알고 있는 걸 더 이상 알 수 없게 되는 사회질서로부터 개인을 보호하는 게 헌법에 부합한다"고 판시했다.

그러나 점점 더 네트워크화돼가는 비밀정보의 세계는 우려했던 상황을 현실화했다. 미국 연방정부는 독일 시민에 대한 정보를 알고 있지만 그 대상자는 이 사실을 알지 못하고 정보 남용에서 자신을 방어할 수 없게 된 것이다. 자신의 행동이 감시된다고 확신하는 사람은 그 감시를 의식해 자기 행동을 제한할 수밖에 없다. 그만큼 자유가 제한되는 건 명백하다.

독일 연방정부가 미국의 데이터 공격에서 자국 국민을 보호할 것이라고 믿는 사람은 순진하다. 비밀정보기관들에 중요한 건 오직 위험을 방어하는 것이다. 이를 위해서는 서로 협력하는 것이 최우선 목표가 된다. NSA는 주기적으로 독일 시민에 대한 정보를 BND에 넘겨줬다. 독일 정보기관은 이런 정보를 자체적으로 수집하는 게 허용되지 않는다. 하지만 제3자에게 넘겨받는 것은 불법이 아니다. 독일 정보기관은 미국이 넘겨준 자료를 통해 몇년 전부터 미국이 인터넷 통신에서 광범위하게 데이터를 수집하고 있다는 사실을 알아챌 수 있었다. 정보기관의 내부 관계자는 '테러와의 전쟁'에서 NSA의 조력은 '불가피한 일'이라고 밝혔다. 미국의 도청자들이 독일 정보기관의 부족한 부분을 채워주는 조력자 역할을 하고 있는 것이다.

이런 사례는 아프가니스탄과 파키스탄 국경 지역에서 활동하는 '지하드'의 두차례에 걸친 테러 계획에서 확인할 수 있다. 독일 내 테러를 계획하다 2007년 구속된 이슬람지하드연합(IJU)의 독일 내부 조직에 대한 첫번째 정보는 NSA가 보내왔다. 또한 알카에다에 가입한 사실로 인해 뒤셀도르프에서 재판을 받고 있는 압델아딤 엘-K에 대한 정보 역시 NSA에서 보내준 것이다.

이 이슬람 테러리스트가 구속되기 약 1년 전, 바덴뷔르템베르크주 경찰청은 미 공군 특수수사기관으로부터 다음과 같은 내용의 정보를 전달받았다. "독일과 파키스탄의 민감한 정보에 따르면, 2006년 10월 말쯤 IJU가 독일 내 터키인 지지자들과 직접 접촉함. 접촉 장소는 슈투트가르트 인근으로 추정. 지지자의 이름은 무아즈 혹은 자페르. 독일 출신 터키인 2명으로 2006년 6월 말 또는 7월 초 파키스탄에서 IJU 훈련을 수료… 독일 내 터키인들이 폭탄 제조나 사용법을 설명하는 자료에 접근했을 가능성 있음."

미·영 주도 비밀 정보클럽 '5개의 눈'

이 정보의 출처는 당시 IJU 수뇌부의 전자우편을 감시하던 NSA였다. 미국의 도움이 없었다면 자우얼란트 조직을 찾아내지 못했을 가능성이 높다. 하지만 해당 전자우편이 데이터를 무차별적으로 감시하다 걸려든 것인지, 아니면 사전에 얻은 정보를 바탕으로 표적을 정해놓고 추적한 것인지는 분명하지 않다. 분명한 점은 독일의 정보기관이 자체적으로 수집할 수 없거나 수집해서는 안 되는 테러 관련 정보가 반복해서 NSA로부터 전달된 정황이 드러나고 있다는 것이다.

2001년 9·11 사태 이후 비밀정보기관에서 이뤄진 모든 개혁(당시 정보기관들은 테러 방지에 실패한 이유가 기관 간의 칸막이 때문이었다며 정보 및 인력 교류 네트워크 강화를 추진했다. -편집자)은 앵글로색슨 계열 강대국인 미국·영국·캐나다·뉴질랜드·오스트레일리아 등 일명 '5개의 눈'(Five Eyes)이라 불리는 그들만의 독점적 비밀정보 클럽에 큰 변화를 가져오지는 못했다. 데이비드 오맨드는 독일은 그들의 프로그램으로 인해 위협받지 않을 뿐 아니라 오히려 득을 보고 있다고 장담했다. "뭐가 나쁘다는 건지 나로선 정말 알 수 없다." 그렇다면 EU 당국에 대한 미국의 도청은 어떻게 봐야 할까. 오맨드는 "물론 대사관과 같은 전통적인 목표에 대한 염탐 활동은 전혀 다른 이야기다"라고 대답했다.

ⓒ Die Zeit 2013년 28호 Jäger im Datendschungel 번역 황수경 위원