사회

보다 정의롭고 모두가 행복한 미래사회를 위해 달리는 경실련의 최근 이야기를 한자리에 모았습니다.
[과학/정보통신] 제3회 망 중립성 이용자 포럼 – “트래픽 관리, 프라이버시 침해인가?”

 

 

  

 강장묵 동국대 전자상거래연구소 교수
  – DPI를 포함한 트래픽 관리의 기술적 이해

○ QoS(Quality of Service) 보장을 위한 DPI

 

– 우리나라의 네트워킹 방식의 90% 이상이 이너넷(Ethernet) 방식
– 이너넷은 “대충 알아서 눈치로 통신하자” 방식
– 예를 들어 대기하던 두 PC에서 정보를 동시에 보내면 다중접근이 일어난다. 이러한 충돌을 감지하기 위해 Carrier Sense(캐리어가 감지되면, 정보를 보재지 않고 대기)가 필요
– 충돌을 감지하면, 랜덤한 시간을 기다린 후 다시 전송하고, 통상 15회 충돌 후 다시 보내다가 포기
– 즉, 이너넷 방식에서 QoS 자체가 보장되기가 어려운 구조

“DPI(Deep Packet Inspection) 기술은 종래 LAN DIRECT 트래픽을 효율적으로 운영하도록 돕거나 보안 리스크를 없애기 위한 기술로 개발되었다. DPI는 패킷 헤더에서 제공되지 않았던 추가적인 트래픽 정보를 제공해 줄 뿐만 아니라, 데이터의 내용을 키워드로 선별하여 패킷을 트래킹, 필터링, 차단하는 것까지 가능하게 한다. DPI를 활용하면 신상, Billing 정보 등의 DB를 축적하여 정보 맵을 구축하는 것도 가능”
                   (황주연(2011), 유럽에서의 망 중립성 논의 동향, 23(6), p.7)

 

– QoS 보장을 위해 DPI 장비와 기술을 쓰게 되면, 패킷에 있는 헤더 뿐만 아니라 내용까지 보게 됨.

– 수많은 데이터와 서비스를 보게 되는 사업자들의 도덕성과 책임성을 신뢰할 수 있나의 문제가 남음
– 흐르고 있는 망에 있는 패킷을 QoS라는 논의자체로 이야기 할 수 있는지 역시 문제

 

 

 오길영 신경대 경찰행정학과 교수
  – DPI 남용과 프라이버시

 
○ DPI와 망 중립성

 

– DPI는 망 중립성 논의의 발아이자 미결의 쟁점
– DPI는 운송DPI는 운송을 위한 정보가 기록되어 있는 ‘헤더(Header)’부분이 아니라 ‘페이로드(Payload)’, 즉 패킷(Packet)의 컨텐츠(Contents) 부분을 검사하는 것

– 이를 통해 DPI는 패턴검사(Pattern matching), 행태분석(Behavioral analysis), 통계분석(Statistical analysis) 등의 기능을 수행

 

– DPI 활용

① 네트워크 보안(Network security)    ② 대역관리(Bandwidth management)
③ 소비자 분석(Customer profiling)    ④ 수사용 감청(Governmental surveillance)
⑤ 컨텐츠 규제(Content regulation)    ⑥ 저작권 제재(Copyright enforcement)

– 위의 기능 중 망 중립성과 관련하여 언급되는 것은 대체로 ① 네트워크 보안과 ② 대역관리

– DPI는 순수하게 ‘기술적 중립성’만을 견지하여 바라볼 때, 매우 훌륭한 기술
– 문제는 대역관리 등 네트워크 관리 행위가 망 사업자의 선택에 의해 ‘작위적’으로 진행된다는 점

 

 

토론 쟁점 : 트래픽 관리와 프라이버시 침해 가능성

 

 

◆ 이창범 (한국인터넷법학회 부회장)

 

– 패킷을 들여다보는 것은 정보통신망법에 인터넷 품질 관리 조항에 의해 가능하다. 하지만 반대로 정보통신망법과 개인정보보호법에는 개인정보 보호 규정이 존재한다. 그렇기 때문에 송신자의 성향 분석, 마케팅 활용 목적 등을 위해 패킷의 주제나 내용을 분석하는 것은 개인정보보호법에 직접적으로 관련이 있다.
– 다만 똑같은 정보를 이용했더라도 인구통계학적 목적, 개인 식별이 안 되는 범위에서 패킷을 들여다봤다면, 현행 개인정보보호법 위반으로 보기에는 무리가 있다.
– 그리고 이용자들에게 동의를 받았다 하더라도, 사실상 송신 수신 양 당사자의 동의를 얻어야 하기 때문에, 패킷을 들여다 보는 것이 통신비밀보호법 위반 소지가 있다.

 

◆ 장여경 (진보네트워크센터 활동가)

 

– 통신비밀보호법은 우리나라에서 상당히 강하게 적용되어지고 있다. 고로 KT가 (패킷을 들여다보는 것에 대해) 이용자들에게 설령 강제 또는 자발적으로 동의를 받아도, 다른 통신사 이용자의 동의를 못 받았다면 통신비밀보호법 위반이다.
– 패킷의 해더나 내용 중 무엇을 보느냐의 문제가 아니다. 해더는 완전하게 통신 내용과 분리가 되는지 라는 의문이 남는다. 미국에서 DPI와 관련하여, 해더와 내용은 완벽하게 분리가 되지 않는다 라는 논쟁이 있다.
– 통신사업자가 해더만 본다고 하더라도 위법성 문제가 해결이 되지 않는다. 메일을 받는 수신자가 누군지, 나와 상대방의 IP 등과 같은 아주 기본적인 정보 역시 통신비밀보호법에 의해 보호 받아야 하는 통신사실 확인자료이다. 이러한 기본적인 정보(통신사실 확인자료)에 설령 수사기관이 공무 집행을 위해 열람과 확인을 원하더라도 법원의 허가라는 (엄격한) 절차가 필요하다. KT 등 제3자가 일방적으로 자료 등을 가져가고 열람하는 것은 분명 문제이다.
– DPI 문제는 사생활 침해 문제와 연결된다. 사생활 침해 차원에서 (이 기술이) 용인 될 수 있는 것이냐? 사실상 이는 프라이버시에 대한 이용자들의 합리적 기대가 무너지는 것이다.
– 즉, 이동통신사들이 다른 경쟁사업자를 물리치기 위해, 광고를 위해, 이용자들의 통신 내용을 들여다보는 것은 헌법 상 사생활의 권리에 침해라고 생각한다.

◆ 써머즈 (인터넷 주인찾기)

 

– 3가지 정도를 이야기 하고 싶다. 첫째, 각종 망 중립성 이슈의 토론회에 이통사들이 나오지 않는 것과 대응도 하지 않은 것이 가장 큰 문제라고 생각하다. 반대로 자신들이 참석한 자리에서는 통신사의 내부 입장도 모르면서 외부에서 우려만 하는 것에 대해 문제제기한다. 이는 이중적 자세이자 분명한 문제이다.
– 둘째, DPI 기술을 도입하면서 잘못 쓰일 수 있고 프라이버시 문제가 크지만, 다른 핑계를 대는 게 문제이다. KT의 경우 맞춤형 광고 시스템 도입하기 위해 DPI장비를 구입했다고 이야기 하는 것은 잘못이다. 기업이 (프라이버시와 상당한 연관이 있는 기술을 도입하면서) 이윤을 추구하기 때문에 도입을 허용해야 한다라고 주장하는 것은 문제이다. 그리고 통신사들이 디도스 공격과 네트워크를 관리한다고 이야기 하지만 실제 어떻게 하고 있는지는 공개하고 있지 않다. 실제 패킷을 들여다보고 있다고 디도스를 관리할 수는 없다. 이는 범죄가 난무하니 불침번을 강화하고 모든 정보를 보겠다는 논리이다.
– 셋째, DPI를 사용하면 트래픽 유지와 망 관리에 (일정 부분)도움이 될 수도 있다. 그리고 이통사들은 개인정보를 최대한 익명으로 저장하겠다 라고 이야기는 하지만 이는 무리가 있다. 실상 오늘날 각종 서비스를 사용하면서 개인정보가 해킹을 자주 당하고 있는 상황이기 때문에, 한 업체에서 익명으로 관리한다고 해도 타 업체의 해킹 정보와 결합되어 개인을 인식하게 될 수 있게 된다. 고로 모모든 정보를 보관하고 있지 않다고 정당화하는 것은 잘못이다.

 

 

※ 강장묵 교수, 오길영 교수 발제 영상은 촬영 상의 문제로 인해 첨부하지 않았습니다.