테크레시피

美 틱톡 금지 법안 보안 위험

미국에선 중국으로 데이터 유출 불안을 들어 미 의회가 사용하는 정치 관련 단말이나 교육 기관에서의 틱톡 앱 사용 금지가 시작되고 있다. 올 들어 틱톡 CEO가 미 의회 공청회에서 처음으로 증언하고 일부에선 앱 이용을 계속 해야 한다고 주장하는 항의 운동도 일어나고 있다.

몬타나주에선 미국에서 처음으로 틱톡 금지법이 주 의회에서 통과되어 일반인을 향한 틱톡 금지가 현실감을 띠고 있다. 물론 전 세계적으로 인기가 있는 앱만 이용 금지되는 것에 불안을 느끼는 일반 사용자도 적지 않을 수 있다.

한 보안 연구자는 미국 데이터가 유출될 가능성이 있다고 주의해야 한다는 게 틱톡이 처음은 아니라고 지적한다. 하지만 틱톡이 프라이버시나 안전상 이유로 미 정부가 금지를 제안하는 첫 인기 앱인 건 확실하다. 현재 미국에선 틱톡에 대해 금지해야 하는지 여부가 초점으로 논의가 진행되고 있다.

실제로 틱톡을 금지할 수 있을지에 대한 논의는 별로 이뤄지지 않고 틱톡 금지로 사용자가 금지를 돌파해 사용하는 것에 대한 사이버 보안상 우려에 대해선 거의 논의가 없다는 얘기다. 보안 연구자는 틱톡 금지로 발생할 수 있는 위험에 대해 어떤 금지 형태를 취하는지에 따라 위험은 달라진다고 말한다.

먼저 틱톡을 네트워크에서 차단하는 것. 틱톡 소유로 생각되는 주소 트래픽을 필터링해 틱톡에 대한 액세스를 차단할 수 있다. 하지만 실제로 하기는 어렵다는 지적이다. 서버 주소는 바뀔 수 있다. 더구나 액세스 블록은 VPN을 이용하면 돌파된다. VPN은 미국 내 단말과 다른 국가 서버간 트래픽 차폐로 이용할 수 있다.

한때 공공 와이파이를 이용할 때 VPN을 사용하면 좋다고 한 적도 있지만 최근에는 거주국에서 사용할 수 없는 스트리밍 서비스를 이용하려면 VPN을 사용하면 된다는 건 이미 상식이다. 틱톡을 금지한 곳에서 사용하고 싶은 사람은 VPN으로 돌파하면 된다.

틱톡 금지에는 DNS 싱크홀을 활용하는 방법도 있다. DNS(Domain Name System)는 예를 들면 인터넷 전화번호부와 같은 네트워크 프로토콜이다. 서버에 액세스하려면 해당 서버 IP 주소가 필요하며 DNS는 이 주소를 사람이라도 기억하기 쉬운 도메인명과 연관해 관리한다.

DNS 싱크홀은 이런 연관을 정지시키는 것이다. 목적한 서버 액세스를 직접 블록하는 건 아니며 서버 주소를 검색할 수 없게 하는 것이다. 전화번호부로 비유하자면 특정 개인명과 연락처를 전화번호부에서 삭제하는 셈이다.

DNS 싱크홀은 악성코드나 불필요한 광고 차단에 사용되고 있지만 틱톡 금지에도 활용할 수 있다. 다만 이를 이용하려면 찾고 있는 게 싱크홀에 설정된 DNS 서버에 한정될 필요가 있다. 사용자가 쓰는 컴퓨터가 기본적으로 사용하는 거의 모든 DNS 서버를 커버해야 한다.

하지만 여기에는 문제가 있다. 누구나 쉽게 DNS 설정을 바꿀 수 있기 때문이다. DNS 공용 서버가 많이 있으므로 지금 사용하는 것에서 변경만 하면 돌파할 수 있다. DNS 서버는 인터넷 프로바이더 등이 운용하는 경우가 많다. 그렇다면 DNS 싱크홀에서 틱톡을 금지하려면 사용자가 틱톡에 액세스할 수 있는 DNS 서버를 쉽게 찾을 수 없기 하기 위해 대규모 기업 협력이 필요하다.

또 액세스할 수 있는 대체 DNS 서버를 사용자가 찾는 것 자체에 위험이 숨어 있다. DNS 서버가 일반적이지 않은 확장자 DNSSEC를 사용하지 않는 한 DNS 응답 안전성을 확인할 수 없다.

악의가 있는 DNS 서버에 해당되면 범죄 관련 IP 주소로 반환될 가능성도 있다. 그렇다면 DNS 싱크홀에 의한 틱톡 금지는 사용자를 데이터 유출 추가 위기에 노출시키는 계기가 될 수 있다.

다음은 틱톡 앱 금지. 틱톡 금지에 대한 또 다른 수단으로는 모바일 앱을 금지하는 방법이 있다. 금지하는 건 아디까지나 앱인 만큼 인터넷은 계속 이용할 수 있다. 다만 앱이 사라지면 서비스를 이용하는 사람, 빈도는 확실히 감소할 것이다. 앱을 금지해 사용자가 의도하지 않은 곳에서 모바일 단말이 접속하는 다른 시스템에 액세스되어 버릴 우려에 대응할 수도 있다. 현재 도입되는 일부 틱톡 금지는 이를 노린 게 많다.

틱톡 앱 배제는 iOS와 안드로이드 스토어 그러니까 애플과 구글을 통해 실현할 수 있다. 하지만 이것만으론 목표 달성이라고 말하기 어렵다. 이유는 iOS와 안드로이드 모두 공식 앱스토어 외에서도 앱을 설치할 수 있기 때문이다. 이를 사이드 로딩이라고 한다. 다만 사이드 로딩에는 안전성 위험이 있다. 공식 스토어에서 앱을 다운로드하면 일정한 안전성은 확보되지만 사이드 로딩에서 설치는 사용자 자기 책임이 되기 때문이다. 더구나 앱스토어에서 틱톡 앱을 삭제했다면 이미 설치한 사람은 어떻게 될 것인가.

애플이나 구글도 사용자 단말에 있는 앱을 삭제하는 방법은 있다. 이는 보안에 중요한 기능이며 적어도 안드로이드 단말에서 사이드 로딩된 악성 코드를 삭제할 수 있다. 한편 이에 대항해 사용자가 이 제어 기능을 꺼버릴 가능성도 있다. 이렇게 되면 단말 자체 보안이 저하되어 버린다.

틱톡을 계속 이용하고 싶은 사용자가 취할 행동으로 단말 탈옥도 예상해볼 수 있다. 이는 추가적인 단말 보안 저하 우려로 이어진다. iOS 단말 탈옥은 운영체제상 모든 보안 제한을 돌파하는 걸 의미한다. 안드로이드 단말에선 최상위 보안 액세스를 허용하는 걸 의미하여 운영체제 자체를 변경할 수도 있다. 물론 애플과 구글 모두 탈옥은 추천하지 않고 탈옥 단말은 보증 대상에서도 제외된다.

이에 따라 틱톡 금지는 기술적인 실행력과 강제력이 있다고는 생각하기 어렵다는 지적이다. 중국조차도 콘텐츠 필터링에는 어려움을 겪고 있다. 따라서 금지를 돌파하는 것에 대한 중대한 벌칙이 법안에는 포함되어 있다. 이 벌칙이 일반적인 틱톡 사용자에 대한 건 아니라도 보안 향상을 목적으로 한 틱톡 금지 법안이 사용자를 디지털 위험이 높은 행동으로 모는 요인이 되러 버릴 수 있다는 지적이다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독