미국 사이버 보안 기업 업가드(UpGuard)가 지난 9월 18일 발견한 1.7TB 이상 파일을 통해 러시아 전역에서 이용하는 합법적인 감시 시스템 사양을 찾았다고 밝혔다.
이번에 발견한 내용에 따르면 러시아 당국이 전화와 인터넷 등 통신 데이터를 몰래 수집하는 도청장치에 대한 설명도 담겨 있다. 문서는 주로 러시아 최대 통신 사업자인 MTS(Mobile TeleSystems)와 MTS 네트워크 유지, 갱신 계약을 체결한 노키아에 관한 내용을 담고 있다. 서방에서 SORM 혹은 간첩 조사 활동 시스템으로 알려진 이 감청 장치는 러시아 국내 감시에서 중요한 역할을 맡는다. 러시아 보안 기관인 FSB 그러니까 구 KGB가 사용을 승인하고 장치 설치와 유지 보수는 법에 따라 통신 사업자에게 위임된다.
초기 장치가 개발된 건 지난 1995년이다. 2014년 개발한 최신 버전에선 통신 데이터를 자세하게 검사하고 로깅, 검열하는 심층패킹 검사 DPI 기능도 갖추고 있다. 푸틴 대통령의 경호 기관인 SBP와 다른 기관도 SORM이 수집한 데이터를 이용할 수 있다. 러시아 내에서 SORM 관련 업무는 특별 대우가 이뤄지는 분야라고 한다.
사실 상당수 국가가 통신 업체에 특정 데이터를 보유하거나 실시간으로 도청할 수 있는 기술을 설치할 걸 요구한다. 데이터의 개인 정보 보호 범위는 국가별로 다양하다. 데이터를 강력하게 보호하는 국가도 있지만 경찰의 데이터에 대한 접근을 규칙 없이 허용하는 곳도 있다. 지난 2016년 야로바야법(Yarovaya law)이 통과되면서 러시아 통신 사업자는 문자 메시지와 전화 대화, 기타 통신을 최대 6개월간 저장하는 게 의무화됐다. 메타 데이터에 관해선 최대 3년이다. 당국은 이런 정보에 액세스할 때 법원 명령이 필요하지 않다.
미국에선 일부 특별한 경우를 빼곤 법 집행 기관이 같은 정보에 접근하기 전에는 영장이 필요하다. 특정 국가 안보를 이유로 한 면제로 FBI 같은 기관이 영장 없이 인터넷이나 전화 데이터를 수집할 수 있다. 또 다른 패턴으로는 181일 이상 서버에 저장한 이메일은 SCA(Stored Communications Act) 그러니까 온라인 저장 정보에 대한 개인 정보 보호를 규정하는 법령에 따라 영장 없이 접근할 수 있는 경우도 있다.
이번에 공개된 데이터는 보안에 걸리지 않는 백업 장치에 저장되어 있던 것이다. 대부분은 노키아 관련 사항이다. 업가드 측은 영향력과 기밀성이 있는 SORM 시스템 관련 데이터를 공용 인터넷에 공개한 건 큰일이라면서 러시아 내 최대 통신 사업자에 설치한 최신 하드웨어 목록이라고 생각되는 정보가 누설된 것도 전대미문이라고 밝히고 있다. 회사 측 보고서는 이곳에서 확인할 수 있다.