프랑스, 암호화 메시징을 깨려 움직이다

• 프랑스 의회 정보대표단은 WhatsApp, Signal, Telegram의 종단 간 암호화를 약화해 치안판사와 정보요원이 현재 플랫폼도 읽을 수 없는 메시지에 표적 접근할 수 있도록 공식 지지함
• 대표단은 암호화된 통신 내용에 접근할 수 없는 상태를 사법·정보 업무의 “중대한 장애물”로 규정했지만, 복호화 키가 사용자 기기에 있는 구조를 바꾸면 남용·유출·소환·해킹될 수 있는 취약점이 생김
• 수사기관은 이미 표적 기기를 침해해 원격 감청·캡처로 데이터를 수집하는 RDI 권한을 갖고 있으나, 대표단은 이 우회 수단만으로는 충분하지 않다고 봄
• Cédric Perrin 상원의원은 플랫폼이 대화에 보이지 않는 제3의 수신자인 고스트 참여자를 추가하는 방식을 추진했고, 반대 측은 “선한 쪽만 쓸 수 있는 백도어”는 없다고 경고함
• Olivier Cadic 상원의원은 암호화 보호를 프랑스 법에 명시하고 메시징 서비스의 백도어 의무를 금지하는 수정안을 확보했으며, 상원은 이를 2025년 3월 채택했지만 국민의회 검토 뒤 정체된 상태임

프랑스 의회 정보대표단의 암호화 메시징 접근 권고

• 프랑스 의회 정보대표단은 WhatsApp, Signal, Telegram 대화를 보호하는 종단 간 암호화를 약화해, 치안판사와 정보요원이 현재 플랫폼도 읽을 수 없는 메시지에 표적 접근할 수 있도록 공식 지지함
• 4명의 하원의원과 4명의 상원의원으로 구성된 8인 대표단은 월요일 결론을 공개하며, 암호화된 통신 내용에 접근할 수 없는 상태를 사법·정보 업무의 “중대한 장애물”로 규정함
• 종단 간 암호화에서는 복호화 키가 회사 서버가 아니라 사용자 기기에 있어, 플랫폼이 메시지를 실제로 읽을 수 없도록 설계됨
• 이 속성을 제거하면 수사기관 요청 시 메시지를 읽을 수 있는 구조가 생기며, 같은 구조가 남용·유출·소환·해킹될 수 있는 취약점이 됨
• 프랑스 경찰과 정보기관은 영장으로 기존 전화 통화와 SMS는 감청할 수 있지만, 암호화된 플랫폼은 그 역량을 우회한다고 오랫동안 문제 삼아옴

기존 우회 수단 RDI와 한계

• 대표단은 수사기관이 이미 RDI라는 우회 수단을 갖고 있다고 인정함
• RDI는 “디지털 데이터 수집”으로, 표적의 기기를 침해해 원격 감청이나 원격 캡처 방식으로 기기 내용을 대량 수집할 수 있음
• 이 방식은 특정 메시지만이 아니라 휴대전화 전체에 접근하게 해, 정보기관이 추적하는 메시지보다 훨씬 더 많은 데이터를 확보할 수 있음
• 대표단은 그럼에도 RDI만으로는 충분하지 않다고 봄

Cédric Perrin의 법안 시도와 반대 논리

• Cédric Perrin 상원의원은 1년 넘게 이 문제를 추진해 왔고, 마약 밀매 법안 논의 중 메시징 플랫폼에 정보기관이 통신과 데이터의 “이해 가능한 내용”에 접근할 수 있도록 필요한 기술 조치를 구현하게 하는 수정안을 확보함
• 불응 시 전 세계 연간 매출의 최대 2% 까지 벌금을 부과하는 내용이었고, 상원은 이를 통과시켰지만 국민의회는 Macronist 의원들, 좌파, Rassemblement National까지 반대하며 폐기함
• Perrin은 당시 SMS와 이메일에 적용되는 방식과 WhatsApp, Signal, Telegram에 적용될 방식 사이에 차이가 없다고 말했고, 당시 내무장관 Bruno Retailleau와 법무장관 Gérald Darmanin의 지지를 받음
• 이 논리는 암호화 메시징을 국가 접근 범위 안에 있어야 할 또 하나의 통신 채널로 취급하지만, 이 플랫폼들이 다른 범주의 통신을 만들기 위해 존재한다는 점을 무시함
• RN 소속 Aurélien Lopez-Liguori 의원은 복호화 키가 사용자 기기 수준에 있고 플랫폼 내부 어딘가에 중앙화되어 있지 않으므로, 모든 통신에 백도어를 설치해야 한다고 반대함
• Lopez-Liguori는 그런 조치가 마약 밀매 대응 범위를 훨씬 넘어가며, “처음 나타나는 해커”가 통신에 접근할 수 있게 된다고 경고함
• 기술적으로는 “선한 쪽만 쓸 수 있는 백도어”는 없다는 암호학계의 오랜 결론과 같은 문제임

‘고스트 참여자’ 접근 방식과 표적 접근 논쟁

• Perrin은 기존 수정안이 암호화 키 획득을 목표로 한 것이 아니라, 암호화 전 대화에 고스트 참여자를 넣는 방식이었다고 밝힘
• 고스트 참여자 방식은 플랫폼이 두 사람 간 대화에 보이지 않는 제3의 수신자, 즉 정보요원을 조용히 추가하는 구조임
• 이 방식에서는 암호화가 기술적으로 계속 작동하지만, 대화 참여자 중 하나가 국가가 됨
• Perrin은 자유권 문제가 있다는 해석을 거부하며, 행정적·사법적 점검을 통해 공적 자유 보호가 다뤄졌다고 밝힘
• 대표단 보고서는 표적 접근이 기술적으로 불가능한 것은 아니라고 결론 내리고, 유럽위원회가 소집한 전문가 그룹이 그런 접근을 구현할 기술 로드맵을 검토 중이라고 밝힘
• 문제는 모든 WhatsApp 메시지를 읽는 대량 감시가 아니라, 표적 접근용 인프라가 테러 사건에서 조직범죄, 마약, 이민, 정치 감시로 확장되고, 프랑스식 고스트 사용자 시스템이 덜 민주적인 정부에도 요구될 수 있다는 점임

프랑스 내 반대 입법과 남은 입법 경로

• 상원의 우파·중도 다수 안에서도 정보대표단 방향에 동의하지 않는 의원이 있음
• Centrist Union 소속 Olivier Cadic 상원의원은 중요 인프라 회복력·사이버보안 관련 별도 법안에 정반대 수정안을 확보해, 암호화 보호를 프랑스 법에 명시하고 메시징 서비스에 백도어 설치 의무를 금지하게 함
• 상원은 이 수정안을 2025년 3월 채택함
• 정보대표단 보고서는 이 조항이 정보·수사 기술의 법적 틀을 약화하고 이행을 방해한다고 직접 비판함
• Cadic은 범죄자 추적에는 찬성하지만, 프랑스를 무너뜨릴 수 있는 도구를 써서는 안 되며 “우리 자신의 취약점을 만들어서는 안 된다”고 밝힘
• Cadic의 법안은 9월 국민의회 위원회에서 검토된 뒤 정체된 상태임
• 올해 초 당시 총리 Sébastien Lecornu는 국민의회 법사위원장 Florent Boudié 의원에게 암호화 통신 접근을 위한 기존 법적 틀의 “가능한 변경”을 검토하도록 맡김
• 새로운 시도에 쓰일 입법 수단은 아직 정해지지 않았고, 의원들은 Boudié의 결과를 기다리면서 필요하면 새 proposition de loi에도 열려 있는 상태로 전해짐
• 프랑스 정보기관은 이미 개별 기기를 침해하는 RDI 권한, 전년에 확대한 surveillance algorithmique, 위성 감청 권한, 전통적 도청, 메타데이터 접근, 프랑스 통신사업자 협조를 갖고 있음
• 새 논쟁의 핵심은 수학으로 보호되어 국가 감청에 저항하는 통신 범주를 재구성해 그 저항을 없앨지 여부이며, 대표단은 찬성했지만 암호학의 전제는 바뀌지 않았음