한국 ‘보안 소홀’ … 해외는 암호화메일 한국은 일반메일
보안성 비교해보니, 제보 유출 위험 배제할 수 없어
제보 주저하게 만들 수도, “제보자 위한 다양한 선택지 제공해야”

언론에 제보하고 싶은데 신상이 드러날까 걱정된다면? 한국에선 답을 찾기 어렵다. 성명과 연락처를 포함한 이메일, 카카오톡 등의 제보가 일반적이기 때문이다. 반면 뉴욕타임스(NYT)에선 일반제보와 함께 보안 메신저, 암호화 메일 등 ‘비밀제보’가 가능하다. 월스트리트저널(WSJ), 워싱턴포스트(WP,) CNN 등 주요 외신도 마찬가지다. NYT는 “당신의 신원, 위치, 정보를 보호하기 위해서”라고 밝혔다. 

▲ 비밀제보 방법을 안내하는 WP. 사진=WP 갈무리
▲ 비밀제보 방법을 안내하는 WP. 사진=WP 갈무리

한국 주요언론 비밀제보 선택지 없어

주요 외신이 제보자를 위해 제공하는 비밀제보 방식은 한가지가 아니다. 제보를 위해 NYT 제보 페이지에 들어가면, 우선 비밀제보(confidential tips)를 할 것인지 묻는다. 그러고 나서 보안 메신저 앱인 시그널(Signal), PGP(Pretty Good Privacy) 암호화 이메일, 시큐어드롭(SecureDrop) 등 다양한 선택지를 제공한다. 시그널 다운 링크를 안내하며 NYT는 “이 앱은 전송 후 수신자와 발신자 모두의 기기에서 메시지가 자동 폐기된다”고 설명했다.

▲ 다양한 비밀제보 선택지 제공하는 WP 제보 페이지. 사진=WP 갈무리
▲ 다양한 비밀제보 선택지 제공하는 WP 제보 페이지. 사진=WP 갈무리

워싱턴포스트(WP)와 CNN 역시 뉴욕타임스와 같은 비밀제보 방식을 사용한다. WP는 한발 더 나아갔다. WP는 별도의 ‘비밀제보’ 페이지를 두면서 “100% 안전한 시스템은 없지만 이러한 보안 선택지들은 일반제보보다 안전한 환경을 만들려는 시도”라며 안전한 컴퓨터 및 운영체제 사용법까지 설명했다.

한국은 어떨까. 국내 주요 방송사(지상파3사, 종편4사, 보도전문 2사)와 9대 종합일간지를 조사한 결과, 비밀제보가 가능한 곳은 없었다. 보안 위험을 경고하는 문구도 없었다.

▲ 하나의 선택지만 제공하는 중앙일보 제보 페이지. 사진=중앙일보 갈무리
▲ 하나의 선택지만 제공하는 중앙일보 제보 페이지. 사진=중앙일보 갈무리

다수 신문사들은 제보 선택지가 제한적이었다. 주로 홈페이지 내 자체 제출 양식을 사용했다. 성명과 연락처를 기재하는 방식이다. 주요 외신만큼 보안 안내를 자세하게 설명하는 곳도 없었다. 중앙일보는 ‘제보자의 신분은 중앙일보 보도 준칙에 의해 철저히 보호된다’고 했지만 기술적인 측면의 설명이 없었다. 경향신문 역시 사진, 동영상 용량 등 ‘첨부파일 업로드 가이드’만이 있었다. 주요 방송사들은 카카오톡, 이메일, SNS 등 여러 제보 방식을 나열했다. 하지만 비밀 제보는 불가능했다.

이례적으로 탐사보도 전문매체 뉴스타파는 PGP 암호화 이메일, 텔래그램 비밀채팅 등의 선택지를 줬다. 뉴스타파는 “보안이 중요한 제보를 위해 PGP파일을 공개하고 있다. PGP를 이용하면 내용을 암호화하고 송신자를 증명할 수 있다”고 안내했다.

암호화되지 않은 제보, 내용 유출 우려

주요 외신이 제공하는 선택지 중 하나인 시그널은 보안 메신저다. 독립적인 종단간 암호화(end-to-end)가 돼 있다. 메시지를 보내는 곳부터 받는 곳까지 모든 과정을 암호화한다. 또한, 대화 내용을 볼 수 있는 암호키가 핸드폰에만 저장돼 서버에서 대화 내용을 확인할 수 없다. 문자, 음성 및 화상 통화 모두에 암호화가 적용된다. 누가 중간에 문자를 가로채도 내용을 볼 수 없고, 상대방이 읽는 즉시 문자가 서버에서 사라지는 것이다.

시그널은 보안 메신저 중에서도 보안 우수성을 높게 평가 받는다. 2015년 전자프론티어재단(EFF)은 7가지 보안 항목에서 시그널에 7점 만점을 줬다. 보안 메신저로 국내에도 잘 알려진 텔래그램은 비밀채팅을 따로 설정해야 암호화가 설정돼 4점을 받았다. 카카오톡은 기본적으로 암호화가 돼 있지 않다.

▲ PGP 암호화는 개인키로만 풀 수 있다. 사진=진보네트워크센터
▲ PGP 암호화는 개인키로만 풀 수 있다. 사진=진보네트워크센터

PGP는 이메일 보안 시스템이다. 이메일을 중간에 가로채도 내용 확인이 불가능하다. 암호화를 푸는 ‘비밀키’를 가지고 있어야 내용을 볼 수 있다. 개인이 공개된 ‘공개키’로 이메일을 암호화하면, 수신자가 ‘비밀키’로 암호를 푸는 것이다. 외신들의 제보 페이지에는 각 언론의 공개키가 공개되어 있다. 당연히 공개키로는 암호화를 풀 수 없다.

시큐어드롭은 별도 브라우저 ‘토르(Tor)’를 사용한다. 토르는 일종의 프록시 프로그램으로, 정상적 루트가 아닌 특정 서버를 우회하도록 돕는다. 1분마다 서버 위치가 변경돼 어떤 루트로 접속했는지 추적이 어렵다. 토르로 시큐어드롭에 연결하면 익명으로 파일을 전달할 수 있다. 모든 파일은 암호화된 채 전달된다.

반면 국내에서 주요 제보 수단으로 사용하는 일반 이메일과 언론사 홈페이지 상의 제보 등은 제3자가 내용을 들여다볼 가능성을 배제할 수 없다. 김형중 고려대 정보보호대학원 특임교수는 미디어오늘과 통화에서 “모든 통신은 안전하지 않은 채널을 지나간다. 누군가가 언제 ‘캡처’할지 모른다”며 “패킷(데이터 전송 기본 단위)을 읽으면 누가 어디에서 무엇을 하려는지 다 알 수 있다”고 말했다.

김 교수는 또한 “라우터는 옛날 ‘역참’같은 기능이다. 말이 언제 도착했고, 어디로 가는지 역참에서는 알 수 있다. 이처럼 라우터에는 각종 정보가 모인다. 이곳을 외부에서 들여다보면 보안이 매우 위험해지는 것이다”라며 “토르는 이 역참에 도착한 사람이 복면을 쓰고 오는 것과 비슷하다. 역참마다 복면이 계속 바뀌고, 메시지 길이도 똑같게 잘라 구분이 어렵게 만든다”고 설명했다.

유출 우려에 제보 주저하게 될 수도

문제는 비밀제보 선택지가 없으면 제보를 주저하게 될 수 있다는 점이다. 김 교수는 “만약 살인을 목격해 제보를 하려는데 보복이 두려운 경우가 있으면 어떡하나. 이럴 때 비밀제보를 사용하면 내용의 보안성과 익명성 모두를 달성할 수 있다”고 했다. 

공권력의 감시 및 도·감청 우려도 제보를 두렵게 만드는 이유 중 하나다. 오병일 진보네트워크센터 대표는 “예를 들어 공권력의 압수수색 경우, 결과물의 보안이 중요하다. 하지만 이것은 기본 브라우저에는 제공되지 않는다”고 말했다.

해외는 보안통신이 언론사 표준인 경우가 많다. 기자들끼리 교류할 때조차 그렇다. 뉴스타파 또한 외신과의 교류를 통해 자연스럽게 보안 시스템을 도입하게 됐다.

▲ PGP 암호화 제보를 받고 있는 뉴스타파. 사진=뉴스타파 갈무리
▲ PGP 암호화 제보를 받고 있는 뉴스타파. 사진=뉴스타파 갈무리

김용진 뉴스타파 대표는 미디어오늘과 통화에서 “2013년 조세도피처 프로젝트를 해외 탐사보도 매체들과 함께 진행했다. 외신들이 민감한 정보를 다룰 때 암호화 방법을 사용하는 것을 보고 자연스럽게 도입했다. 외신들은 당시 기자들과 정보를 주고받을 때도 암호화 메일을 사용했다”며 “비밀제보가 자리 잡은 지금은 암호화된 방식으로도 제보가 많이 들어오는 편”이라고 설명했다.

외신들이 보안을 중요하게 여기는 이유는 역사적 경험 때문이다. 미국은 워터게이트, 위키리크스, NSA(미국 국가안보국) 도청 폭로사건 등 공권력의 감시 및 감찰 등에 민감하다. 2013년 NSA 폭로 사건은 각 나라의 정보국이 이메일, 페이스북, 트위터 등 각종 인터넷 정보를 도·감청할 수 있다는 사실을 보여줬다.

김 교수는 “한국은 미국만큼 (정보 유출 우려가) 심각한 제보에 대한 역사적 경험이 부족하다. 워터게이트 사건 당시 취재를 할 때 전화 상대방에게 질문을 하면서 상대방에게 아무 대답도 하지 않게 했다. 대신 수화기를 일정 시간 유지하거나 바로 끊는 것으로 대답을 대신하게 했다. 도청 우려 때문이다. 그만큼 경험적으로 도청 우려가 보편화돼 있다”고 말했다.

▲ 사진=Getty Images Bank
▲ 사진=Getty Images Bank

한국도 마찬가지다. 전문가들은 유출 가능성을 배제할 수 없기에 보안 시스템 구축이 필요하다고 지적했다. 김 교수는 “언론의 자유나 알 권리, 인권을 보호해야 하기 때문에 제보자 보호 시스템은 당연히 필요하다. 더군다나 우리는 민주화 운동 당시 정부의 감시 사례도 있다. 위험성은 언제나 존재하는 것”이라고 말했다.

오 대표 또한 “한국에도 예전에는 국정원 도청 우려가 강했다. 언론의 자유, 시민의 알 권리를 고려해보면 취재원, 자료 보호에 각각 필요한 보안이 분명히 있다. 제보자를 안심시키기 위해서라도 다양한 선택지는 기본”이라며 “PGP 암호화 방식 등 보안 제보 시스템을 구축하는 것이 크게 어렵지는 않다. 언론에게 가해지는 위험을 분석하고 제보자의 신원 자체를 언론사도 모르게 하는 등 목적에 맞는 시스템을 찾으면 된다”고 했다.

이 기사를 후원합니다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지