Digital repression across borders is on the rise

숨을 곳이 없다…반체제 활동가에 가해지는 ‘초국가적 디지털 억압’

독재 정권의 탄압을 피해 다른 나라로 떠난 반체제 활동가들을 상대로 가해지는 해킹 등의 디지털 위협이 점점 더 심해지고 있다.

예멘 출신의 언론인이자 반체제 활동가인 카타브 알라와니(Khatab Alrawhani)는 중동 지역을 떠날 때 그곳 언론인들이 겪고 있던 박해에서 벗어날 수 있으리라고 생각했다. 그러나 박해는 그를 따라다녔다. 2015년 워싱턴DC에서 공부하는 동안 그는 온라인에 예멘 정부를 전복시킨 무장 단체 후티(Houthi)의 쿠데타를 규탄하는 글을 올렸다. 그러자 그의 아버지가 체포됐고, 곧이어 그의 형제도 체포됐다.

그러나 알라와니가 토론토에 정착했을 때 그의 온라인 생활은 예상치 못한 방향으로 전환됐다. 그는 알지도 못하는 여성들에게 왓츠앱(WhatsApp) 메시지를 받기 시작했고, 여성들은 그에게 자신들이 보낸 링크를 클릭하라고 계속 강요했다. 그들이 보낸 메시지는 일반적인 피싱의 종류가 아니었다. 알라와니가 작성했던 특정 기사나 그가 예멘에서 살았던 곳을 언급하는 등 그의 배경에 관한 자세한 설명을 담고 있었다.

그 다음에는 친후티 해커들이 예멘의 인권 유린에 관한 뉴스를 공유하던 알라와니의 페이스북 페이지를 해킹해서 후티 쿠데타를 찬양하는 메시지를 아랍어로 게시했다. 알라와니는 우리가 그런 메시지를 작성했을 거라고 독자들이 생각하게 됐다는 점이 끔찍하다고 말했다. 결국 알라와니의 팀은 해당 페이스북 페이지를 완전히 삭제하고 새로운 페이지를 열어야 했다.

이러한 온라인 위협은 알라와니가 사람들과 교류하는 방식을 바꾸어 놓았다. 그는 “나는 친구나 동료나 가족에게 문자를 보낼 때 휴대전화에 완전한 문장을 쓰지 않는다”며 “나는 내 휴대전화 활동을 후티 정권이 항상 감시하고 있을 것으로 생각한다”고 말했다.

이런 일을 겪은 것은 알라와니뿐만이 아니다. 전 세계적으로 반체제 활동가들은 안전을 위해 독재 정권으로부터 도망쳐왔다. 그러나 온라인에서 일어나는 일이라고 하더라도 그들은 이제 새로운 정착지에서도 계속해서 위협받고 있다. 일반적으로 ‘초국가적 디지털 억압(digital transnational repression)’이라고 말하는 이러한 온라인상의 위협에는 피싱 공격, 제로클릭 스파이웨어 해킹, 소셜미디어 페이지 공격, SIM 카드 해킹, 가짜 회의 초대 등이 포함된다.

portrait of boys praying displayed on a mantel
기도하는 남자아이들의 초상화가 어떤 위구르 가족의 집에 장식되어 있다.
CAROLYN DRAKE VIA MAGNUM

반체제 활동가들에 대한 물리적인 위협은 신문 1면을 장식하곤 한다. 예를 들어 올해 초에는 뉴욕시에 살고 있는 반체제 인사들에 대한 공격을 모의한 혐의로 다섯 명의 중국인이 체포되었다. 그러나 마우스 버튼 클릭으로 이루어지는 디지털 위협은 잘 알려지지 않는 경우가 많다. 온라인상의 억압은 점점 늘어나고 있는 것으로 보인다. 실제로 런던에 소재한 연구기관 포렌식 아키텍처(Forensic Architecture)가 2019년에서 2021년 사이에 파악한 초국가적 디지털 억압 사건은 326건으로 2017년에서 2019년과 비교해서 105건 증가했다.

인권단체 프리덤하우스(Freedom House)의 연구 분석가 이자벨 린저(Isabel Linzer)는 이러한 온라인 공격이 점점 더 빈번해지고 있는 이유로 물리적인 공격에 비해 훨씬 저렴한 비용을 꼽았다. 프리덤하우스는 6월에 고국에서 미국으로 이주한 반체제 인사들을 목표로 사용되는 억압 전략에 관한 보고서를 발간한 바 있다.

린저는 “디지털 공격은 일부 사람들이 생각하는 것보다 훨씬 자주 발생하며, 일상을 살아가고 일이나 활동에 참여하기 위해 외출하는 사람들에게 심각한 결과를 가져온다”고 진단했다.

초국가적 디지털 억압 사건은 대부분 보고되지 않기 때문에 모든 사건을 추적하기는 어렵다. 그러나 일부 기관들은 디지털 억압이 얼마나 심각한 피해를 줄 수 있는지, 그리고 정부나 법 집행기관의 대응이 얼마나 도움이 되지 않는지 보여주기 위해 노력하고 있다.

토론토대학교의 연구단체 시티즌랩(Citizen Lab)이 올해 발표한 보고서에는 캐나다에 정착하려고 고국을 떠난 10여 명의 반체제 활동가들과 나눈 인터뷰에서 발견한 내용이 담겨 있다.

보고서는 “디지털 공격은 피해자가 초국가적인 활동에 참여할 능력을 약화시키고 프라이버시를 누릴 권리, 표현의 자유, 평화적인 집회의 권리 등 기본권을 침해하며 본국에 남아 있는 피해자의 가족과 친구가 위험에 처할 가능성을 높이면서 피해자의 삶에 심각한 영향을 미친다”는 결론을 내렸다.

시티즌랩이 초국가적 디지털 억압의 가장 흔한 가해자로 지목한 국가는 예멘, 아프가니스탄, 중국, 이란, 르완다, 시리아 등이다. 시티즌랩의 연구 책임자이자 이번 보고서의 공동 저자인 노라 알지자위(Noura Al-Jizawi)는 피해자가 악의적인 링크나 첨부파일을 열지 않더라도 공격자가 피해자의 휴대전화나 컴퓨터에 침입할 수 있는 ‘제로클릭 소프트웨어(zero-click software)’가 특히 우려된다고 밝혔다. 피해자가 아무리 조심한다고 해도 해킹의 대상이 될 수 있기 때문이다.

2021년 해커들은 그런 코드를 사용해서 당시 브리티시컬럼비아에 살고 있던 사우디아라비아의 여성 인권 운동가 루자인 알하스룰(Loujain al-Hathloul)의 휴대전화에 침투해 스파이웨어를 설치했다. 당시 가해자들은 실수로 그녀의 휴대전화에 이미지 파일 하나를 남겼고 그 파일을 이용해서 연구원들은 코드의 출처를 밝혀낼 수 있었다. 코드의 출처로 드러난 이스라엘 기술업체 NSO그룹(NSO Group)은 독재국가에 스파이웨어를 판매한 것으로 밝혀지며 뉴스 헤드라인을 장식했다.

디지털 억압의 유형에는 피해자를 곤란하게 만들고 신상을 공개하는 방식도 있다. 시티즌랩 보고서에는 이러한 디지털 억압을 경험한 익명의 피해자의 인터뷰가 담겨 있다. 중국에서 캐나다로 이주한 피해자는 방문하기로 예정되어 있던 컨퍼런스 참석자들 사이에서 조작된 자신의 나체 사진이 유포되고 있는 것을 발견했다. 그녀의 개인정보 역시 성접대를 권유하는 온라인 광고에 게재되어 있었다.

보고서는 이러한 유형의 공격을 당한 피해자들이 고통, 불안감, 가족의 안전에 대한 두려움을 경험했다고 언급했다. 시티즌랩의 선임 법률 고문 시에나 안스티스(Siena Anstis)는 “이런 상황에서도 활동을 지속하는 사람들은 이러한 공격이 계속될 것임을 깨닫고 체념한 상태”라고 말했다.

많은 반체제 활동가들은 자신들에게 전송되는 메시지에 편집증적인 태도를 보이고 있다. 반체제 인사들을 대표해서 영향력을 행사하는 캐나다 거주 이라크 변호사 카베 샤루즈(Kaveh Shahrooz)는 이메일이 올 때마다 메일을 자세히 조사한다. 샤루즈는 독일에서 열리는 인권 회의 주최자로 추정되는 사람이 자신에게 연설을 권유하며 제공된 링크를 통해 개인정보를 입력해 달라고 요청하는 메시지를 받은 적이 있다고 밝혔다. 그는 해당 회의에 대해 더 자세히 조사했고 그 메일이 공식 이메일처럼 보였는데도 자신이 연사로 초청된 것이 아니라는 점을 알게 되었다.

샤루즈는 “해당 링크를 클릭했으면 또 다른 결과가 펼쳐졌겠지만 링크를 클릭하지 않아도 ‘당신이 뭘 하는지 다 알고 있고 당신을 나중에 처리할 것’이라고 말하며 반체제 활동에 대해 위협하는 메시지를 받을 수도 있다”고 말했다.

A flock of pigeons circle in the air above homes in a Uyghur farming village on the desert's edge.
사막 가장자리에 있는 위구르 농촌 마을 위로 원을 그리며 날고 있는 비둘기 떼.
CAROLYN DRAKE VIA MAGNUM

이러한 위협에 대처할 수 있는 법적 수단은 거의 없다. 안스티스는 영국에서 스파이웨어 공격을 당한 여러 피해자들이 스파이웨어의 운영자와 NSO그룹에 민사 소송을 제기했거나 제기할 계획이라고 밝혔다. 그러나 그녀는 이러한 소송이 거절될 것으로 예상한다. 이들의 청구 대상이 소송이 제기된 국가의 관할권 밖에 있는 회사이기 때문이다.

미국에서는 독재 정권이 악용하는 소프트웨어와 도구를 금지해야 한다는 주장이 힘을 얻고 있다. 2021년 미국 상무부는 미국의 국가안보나 외교 정책 이익에 반하는 것으로 판단되어 무역과 사업을 제한하는 규제 대상 기업 리스트(Entity List)에 여러 감시 업체들을 추가했다. 여기에는 NSO그룹과 정부 고객을 위한 감시 및 사이버 첩보 기술을 개발하는 이스라엘의 스파이웨어 회사 칸디루(Candiru)도 포함됐다.

그러나 그렇게 해도 반체제 활동가들이 박해받는 것을 막을 수는 없다. 10년 전 익명을 요구한 캐나다계 시리아인 엘리아나(Eliana)는 인쇄 매체와 온라인 매체를 포함해서 현지 언론에 아사드(Assad) 정권 희생자들의 이야기를 투고하면서 이들의 이야기를 공유하기 시작했다. 그녀는 또한 2016년에 캐나다에 도착한 많은 시리아 난민들이 캐나다에 정착할 수 있도록 캐나다 정부를 설득하는 데 시간을 쏟았다.

그녀는 자주 구글로부터 누군가가 그녀의 지메일 계정에 접속하려고 시도하고 있다고 경고하는 메시지를 받았다. 그녀는 시리아 정권을 의심했다. 그 외에는 의심할 대상이 없었다. 그녀의 가장 큰 걱정거리는 그녀와 소통하는 시리아 반체제 활동가들의 안전이었다. 그녀는 “만약 그들에 관한 정보가 독재 정권의 손에 들어가면 납치나 고문, 암살 등 끔찍한 결과를 초래할 수 있다고 생각했다”고 말했다.

현재 엘리아나는 자신이 이전처럼 외향적이지 않다고 말했다. 그녀는 “전에는 다른 사람들과 교류하는 데 매우 적극적이었지만 누가, 어디에서 나를 공격할지 예측할 수 없으므로 매우 조심해야 한다는 것을 깨달았다”고 말했다.

  • 이 글을 쓴 David Silverberg는 토론토에 거주하는 작가이자 편집자이다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.