마이크로소프트가 FBI에 비트로커 키를 넘겨주면서 사용자들의 개인정보가 심각하게 노출되었습니다

마이크로소프트는 FBI의 유효한 영장을 발부받은 후 비트로커 복구 키를 FBI에 넘겨주면서 윈도우 사용자들의 개인정보가 노출되었습니다. 이러한 사실은 마이크로소프트가 괌에서 발생한 사기 사건 용의자 3명의 노트북 잠금 해제를 위해 암호화 키를 제공한 사실이 밝혀지면서 괌에서 진행된 FBI 수사 이후에 드러났습니다.

괌의 연방 수사관들은 해당 노트북에 섬의 코로나19 실업 지원 프로그램 담당자들이 횡령 계획에 연루되었다는 것을 입증할 정보가 포함되어 있다고 믿었습니다.

마이크로소프트의 비트로커 키 유출로 전 세계적인 개인정보 보호 우려 고조 

마이크로소프트는 데이터가 비트로커(BitLocker)로 보호되어 있었기 때문에 FBI 수사관들에게 복구 키를 제공했습니다. 이 소프트웨어는 컴퓨터 하드 디스크의 모든 데이터를 보호하며, 많은 최신 윈도우 PC에서matic으로 활성화됩니다. 비트로커는 데이터를 암호화하여 복구 키를 가진 사람만 데이터를 해독할 수 있도록 합니다.

사용자는 개인 기기에 키를 보관할 수 있지만, 마이크로소프트는 BitLocker 사용자에게 보다 간편한 관리를 위해 서버에 키를 저장할 것을 권장합니다. 이는 사용자가 소송이나 수사 영장에 노출될 위험을 초래할 수 있지만, 비밀번호를 잊어버리거나 여러 번 로그인 시도에 실패한 후 기기를 잠그더라도 데이터에 접근할 수 있다는 장점도 있습니다.

워싱턴주 레드먼드에 본사를 둔 마이크로소프트는 괌 사건 이전에는 사법 당국에 암호화 키를 제공한 적이 없었던 것으로 알려져 있지만, 괌 사건에서 수사관들에게 암호화 키를 넘겨주었습니다. 그러나 마이크로소프트는 적법한 법원 명령이 있을 경우 비트로커 복구 키를 제공한다고 확인했습니다. 

"키 복구는 편리함을 제공하지만, 원치 않는 접근의 위험도 수반합니다. 따라서 마이크로소프트는 고객이 자신의 키를 관리하는 방법을 스스로 결정하는 것이 가장 좋다고 생각합니다." 

-찰스 챔벌레인, 마이크로소프트 대변인.

챔벌레인은 마이크로소프트가 매년 약 20건의 비트로커 키 요청을 받는다고 덧붙였습니다. 이러한 요청 중 상당수는 고객이 클라우드에 키를 저장하지 않아 마이크로소프트가 지원할 수 없는 상황입니다.

하지만 사법 당국에 암호화 키를 넘겨주는 것은 개인정보 침해 우려를 불러일으켰습니다. 성명 "기술 기업들이 사용자의 암호화 키를 몰래 넘겨줄 수 있는 방식으로 제품을 출시하는 것은 무책임한 행위"라고 비판했습니다. 그는 이민세관집행국(ICE)이나 트럼프 행정부의 다른 강경파들이 사용자의 암호화 키를 훔쳐가는 것은 사용자와 그 가족의 개인 안전과 보안을 위협하고 사용자의 모든 디지털 정보에 접근할 수 있게 하는 것이라고 덧붙였습니다.

이 문제는 미국에만 국한된 것이 아닙니다. 미국 시민자유연맹(ACLU)의 감시 및 사이버 보안 담당 변호사인 제니퍼 그래닉은 인권 기록이 의심스러운 국가들도 마이크로소프트와 같은 거대 기술 기업에 데이터를 요구한다고 지적했습니다. 그녀는 암호 해독 키를 원격으로 저장하는 것은 매우 위험할 수 있다고 덧붙였습니다.

해커 뉴스(Hacker News)의 한 참가자는 주장했습니다 . 키에 쉽게 접근할 수 있고 자유롭게 사용할 수 있다면 암호화가 무슨 소용이 있겠는가? 아이클라우드 이메일도 마찬가지라고 그 사용자는 덧붙였습니다.

해당 사용자는 인간이 만든 법률과 규정은 남용될 수 있고 변경될 수 있기 때문에 사생활을 보장할 수 없다고 주장했습니다. 사생활의 진정한 원천은 규칙과 규정에 얽매이지 않는matic이라는 것입니다.

전 세계 정부들이 기술 기업들에게 암호화 백도어 개발을 압박하고 있다

법 집행 기관은 컴퓨터 회사들에게 암호화 키, 백도어 접근 권한 또는 기타 보안 취약점을 자주 요구합니다. 애플은 클라우드 또는 기기에 저장된 암호화된 데이터에 대한 접근 권한을 여러 차례 요구받았습니다. 작년 10월, 영국 정부는 고객 데이터 접근 권한을 놓고 애플과 다시 갈등을 빚었습니다. 영국 정부는 영국 사용자만을 대상으로 애플의 클라우드 스토리지 서버에 대한 백도어 접근 권한을 요구했습니다.

2016년 캘리포니아주 샌버나디노에서 14명을 총격 살해한 테러범들의 휴대전화 잠금 해제를 지원하라는 FBI의 명령을 애플이 거부하면서 이 사건은 언론에 널리 보도되었습니다. 결국 FBI는trac업체를 통해 아이폰 잠금 해제에 성공했습니다.

지난해 4월 별도의 보고서 에서 암호화 백도어를 통해 법 집행관들에게 사용자 계정 접근 권한을 제공하도록 의무화하는 법안 초안을 승인했습니다

이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 통해 계속 읽어보세요 .