This is the real story of the Afghan biometric databases abandoned to the Taliban

탈레반 수중에 넘어간 아프간의 생체 정보 데이터베이스

아프간을 장악한 탈레반이 아프간 정부가 홍채, 지문, 얼굴 등 군인과 경찰의 민감한 생체 정보를 모아 놓은 데이터베이스에 접근해 이를 반대파 색출에 활용할지 모른다는 우려가 커지고 있다.

탈레반이 20년 동안 이어진 전쟁 종식을 선언하며 8월 중순 아프가니스탄(이하 ‘아프간’)을 장악하자 그들이 미군이 아프간인들의 홍채, 지문, 얼굴 이미지 등의 데이터를 수집하기 위해 사용한 바이오메트릭(Biometric) 기기들을 손에 넣었다는 보도가 빠르게 확산됐다. 그러자 일각에선 탈레반이 HIIDE로 알려진 이 기기들을 갖고 연합군을 도왔던 아프간인들 색출에 나설지 모른다는 우려가 제기됐다. 

MIT 테크놀로지 리뷰가 만나본 전문가들은 HIIDE를 갖고 있더라도 원거리 서버에 안전하게 저장되어 있는 바이오메트릭 데이터에 제한적 접근만 가능하다며 지나친 우려를 경계했다. 하지만 취재 결과, 아프간 전역에서 수백만 명의 신원을 파악하는 데 사용될 수 있는 민감한 개인정보가 포함된 아프간 정부 데이터베이스가 탈레반의 수중에 넘어갈 경우 그로 인한 후폭풍이 만만치 않을 것임이 확인됐다.  

MIT 테크놀로지 리뷰는 문제의 데이터베이스 중 하나인 ‘아프간 인사 및 급여 시스템(Afghan Personnel and Pay System, APPS)’에 대해 잘 알고 있다는 두 명의 정보원을 만났다. 줄여서 간단히 APPS로 알려져 있는 이 데이터베이스는 아프간 내무부와 국방부가 군인과 경찰들의 임금을 주는 데 활용하기 위해 미국의 지원을 받아 제작했다. APPS는 군인과 경찰은 물론이고 그들과 관련된 인사들에 대한 자세한 정보가 들어있는 어떻게 보면 아프간에서 가장 민감한 데이터베이스임이 분명하다. 정보원들은 잠재적인 보복을 우려해 익명으로 취재에 응했다. 

그들의 설명을 종합해보면, 아프간 정부는 가짜 ‘유령 군인’이 연루된 급여 사기를 막기 위해 2016년부터 APPS 구축에 착수했다. 이 데이터베이스에는 50만 건에 이르는 아프간의 모든 군인과 경찰에 대한 정보가 담겨있는 것으로 추산된다. 정부는 입대 일로부터 정보를 수집했고, 복무 중단 여부에 관계없이 일단 저장된 정보는 데이터베이스에 영구적으로 남았다. 한 소식통은 “기록을 갱신할 수는 있지만, 탈레반의 장악과 같은 비상 사태가 터지더라도 어떤 삭제 내지 보존 정책이 작동하는지 알지 못한다”라고 전했다. 

북대서양조약기구(NATO) 아프간 연합보안훈련사령부가 제작한 경찰 채용 과정을 소개하는 프레젠테이션을 보면, 지원서 양식 하나에만 무려 36가지 정보가 들어가 있는 것으로 확인된다. 소식통들은 APPS에 저장된 프로필마다 최소 40개의 데이터 필드(Data field)가 포함되어 있다고 밝혔다. 데이터 필드란 데이터의 세부 항목을 저장하는 기억 장소 항목이나 기억 장소 구조를 말하는데, 가령 학생이라는 데이터를 구성하는 이름, 성별, 나이, 학번 따위를 저장하기 위하여 사용되는 각각의 기억 장소 항목이다.

프로필에는 이름, 날짜, 출생지 등 명백한 개인 정보와 함께 각 프로필을 아프간 내무부가 보관하고 있는 바이오메트릭 프로필과 연결하는 고유 ID 번호가 들어있다. 

그러나 여기에는 개인의 군대 특기 및 진로와 함께 아버지, 삼촌, 할아버지 이름, 입대 보증인 두 명의 이름처럼 민감한 자료도 포함되어 있다. 데이터 인프라와 공공 정책을 연구하는 비영리 연구 단체인 데이터&소사이어티(Data & Society)의 박사후 연구원인 란지트 싱(Ranjit Singh)은 “단순한 디지털 카탈로그에 불과할 수 있었던 자료가 훨씬 더 위험하게 변했다”면서 “그것은 프로필이 있는 모든 사람들을 위험에 빠뜨리는 일종의 지역사회 구성원들의 ‘연결 계보’”라고 불렀다. 

(경찰 채용 양식 중 하나에만 해도 ‘좋아하는 과일’과 ‘좋아하는 야채’ 등 자세한 정보가 담긴 지원자와 가족에 대한 정보가 36건이나 담겨 있다.)

언론인이자 <첫 소대: 정체성 지배 시대의 현대 전쟁 이야기(A Story of Modern War in the Age of Identity Dominance)>의 저자 애니 제이콥슨(Annie Jacobsen)은 “정보 정리를 도와준 미국이나 탈레반 모두 적들을 도와주는 세력을 찾고 있다는 점에서 이런 정보는 양쪽 모두에게 큰 군사적 가치를 지닌다”고 분석했다. 

커지는 보복 위험 

탈레반은 이전 정부나 연합군을 도왔던 아프간인을 상대로 표적 응징을 하지 않겠다고 공언했지만, 과거 그들이 저질렀던 만행이나 아프간 장악 후 보여준 행동을 보면 이 말을 곧이곧대로 믿기는 힘들어 보인다. 

8월 24일 유엔 인권 고등판무관(High Commissioner of Human Rights)은 선진 7개국(G7) 특별회의에서 “민간인과 아프간 정부 보안군에 대한 즉결처형과 관련해 믿을 만한 보고를 받았다”고 말했다.

APPS에 정통한 한 소식통은 MIT 테크놀로지 리뷰에 “탈레반이 APPS를 보고 처형 명단을 인쇄한 뒤 전직 군인들 소재를 파악하고 있다고 해도 놀라지 않을 것”이라고 말했다.

세계적인 인권단체인 국제앰네스티(Amnesty International) 조사 결과 탈레반이 7월 초 아프간 중동부 도시 가즈니(Ghani)를 장악한 후 하자라족(Hazara) 9명을 고문하고 학살한 것으로 드러났다. 

하자라족은 아프간 인구의 15%를 차지하는 소수민족으로 몽골인의 후예로 추정된다. 1996년부터 2001년까지 탈레반이 아프간을 집권했을 당시 인종청소의 표적이 돼 수백 명이 처형됐다. 수니파 탈레반이 시아파인 하자라족을 진정한 이슬람으로 생각하지 않기 때문이다.

탈레반이 카불에서 아프간 정부나 국제적으로 지원을 받은 프로젝트를 위해 일한 사람들을 색출하기 위해 가가호호 방문하고 다닌다는 보고 역시 끊임없이 이어지고 있다. 

이미 2016년 탈레반이 이미 바이오메트릭 기기를 이용해 그런 사람들을 찾아낸 적이 있다는 현지 보도도 나왔다. 그해 탈레반이 북동부에 위치한 쿤두즈(Kunduz)로 가던 버스를 매복 공격해서 승객 200명을 인질로 잡았다가 결국 12명을 살해한 사건이 벌어졌다. 살해된 사람 중에는 가족을 만난 뒤 기지로 복귀하던 아프간 정부 보안군도 있었는데, 목격자들은 당시 탈레반이 지문 스캐너를 이용해서 사람들의 신원을 확인했다고 현지 경찰에 전했다. 

탈레반이 어떤 종류의 스캐너를 이용했는지, 아니면 사람들의 신원과 해온 일을 파악하기 위해 미군이 사용한 것과 같은 스캐너를 사용했는지는 불분명하다. 

미군은 다수의 미군 사상자를 낸 급조 폭발물 제조범 네트워크를 섬멸하기 위한 신원 추적에 집중해왔다. 그래서 바이오메트릭 기기로 사람들의 얼굴, 눈 및 지문처럼 고유한 불변의 데이터를 수집해서 폭발물 제조범과 특정 사건의 연관성을 찾는 데 주력했다. 이런 정보는 가공되지 않은 상태로 기기에서 국방부 기밀 데이터베이스로 옮겨졌고, ‘주의 대상자’ 목록 등의 정보는 다시 기기로 다운로드돼 저장됐다. 

쿤두즈 사건과 유사한 사건들은 탈레반이 바이오메트릭 기기를 통해 아프간 정부가 축적해놓은 광범위한 데이터베이스에 접근할 가능성을 배제할 수 없다는 것을 암시해주는 듯하지만, 아프간 국방부와 미국 관리들이 그러한 가능성을 거듭 부인해왔다. 

에릭 파혼(Eric Pahon) 미 국방부 대변인은 “미국은 민감한 자료가 탈레반의 수중에 넘어가지 않도록 신중한 조치를 취해왔고, 데이터는 오용의 위험이 없다”라고 주장했다. 

그러나 미국해군대학원(Naval Postgraduate School)의 토마스 존슨(Thomas Johnson) 교수는 쿤두즈 공격 당시 탈레반의 바이오메트릭 활용과 관련해 또 다른 개연성 있는 설명을 내놓았다. 그는 MIT 테크놀로지 리뷰에 “HIIDE 기기로부터 곧장 데이터를 내려받지 않더라도 카불 내 탈레반 동조자들이 탈레반에게 지문을 확인할 수 있는 군인들의 정보가 담긴 데이터베이스를 제공했을 가능성이 있다”고 주장했다. 이는 다시 말해, 2016년에도 가장 큰 위험을 초래한 것은 바이오메트릭 기기 자체보다는 데이터베이스였을 수 있다는 것이다. 

무엇이 진실이건 간에 일부 아프간 주민들은 수집된 바이오메트릭 정보가 그들을 위험에 빠뜨렸다고 확신하고 있다. 쿤두즈 공격 당시 동료 군인들을 잃은 전 군인 압둘 하비브(32세)는 탈레반이 바이오메트릭 데이터에 접근할 수 있었기 때문에 동료들이 숨졌다고 믿고 있다. 그는 탈레반이 데이터베이스에 접근해 자신의 신원도 확인할 수 있을까 봐 걱정이 돼 쿤두즈 사건 직후 제대하고 다른 곳으로 이주했다.

APPS가 아프간에서 가장 걱정스러운 데이터베이스에 해당할 수 있지만, 이것이 유일하거나 가장 큰 데이터베이스는 아니다. 

아프간 정부는 바이오메트릭 데이터가 아프간 시민들의 신원 파악과 국경 통제에 도움이 될 것으로 기대했고, 내무부는 그런 기대를 충족시키기 위해 ‘아프간 자동 바이오메트릭 식별 시스템(Afghan Automatic Biometric Identification System, AABIS)이란 바이오메트릭 데이터베이스를 구축했다. AABIS는 드론이 공격할 대상을 파악하는 데 유용하게 쓰이고 있는 국방부의 기밀 바이오메트릭 시스템인 ‘자동 바이오메트릭 식별 시스템( Automatic Biometric Identification System)을 본떠 만든 것이다. 

제이콥슨이 쓴 책에 따르면 AABIS는 2012년까지 아프간 전체 인구의 80% 즉, 대략 2,500만 명의 정보를 담는 것을 목표로 했지만, 이후 얼마나 많은 정보를 담은 정보를 담았는지는 확인되지 않고 있다. 

연구원 싱은 분쟁이나 정부 붕괴 과정에서 데이터가 어떻게 될지에 대해 좀 더 관심을 기울여야 한다고 강조했다. 그는 “우리는 데이터 문제를 심각하게 생각하지 않지만, 정보로 인해 많은 혼란이 야기될 수 있는 전쟁으로 피폐해진 아프간 같은 지역에서는 특히 이 문제를 심각하게 간주해야 한다”고 말했다.  

제이콥슨은 “데이터를 이용해 신원 파악을 하겠다는 미 국방부의 집착이 실제로는 탈레반에게 도움을 주는 아이러니한 상황이 벌어졌다”고 꼬집었다. 

하지만 APPS 데이터베이스와 연결된 상태에서 자신이나 가족이 탈레반에 쫓기고 있다는 것을 알게 된 사람들에게는 이런 상황이 결코 아이러니하게 받아들이는 정도로 끝날 수 없다. 그들은 오히려 큰 배신감만 느낄 뿐이다. 

APPS에 정통한 한 소식통은 “아프간 군은 미국을 포함한 연합군을 믿고 APPS 같은 시스템을 구축했다”면서 “그런데 이제 이 데이터베이스가 (탈레반이 세울) 새 정부의 무기로 사용될 것이다”라고 우려했다. 

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.