Erik Prince wants to sell you a “secure” smartphone that’s too good to be true

믿기 힘들 만큼 ‘안전하다’는 한 스마트폰을 둘러싼 논란

기술 대기업의 영향과 해킹 위험에서 완전히 벗어난 완벽한 ‘보안’을 약속하는 새로운 스마트폰이 등장했다. 하지만 여러 면에서 제조사의 주장을 곧이곧대로 믿기 힘들어 보인다.

에릭 프린스(Erik Prince)는 이라크 민간인들을 죽이고 미국 정부 수사관들을 위협한 일로 전 세계적으로 악명을 떨친 민간군사기업 블랙워터(Blackwater)의 설립자로 유명한 미국의 억만장자다.

그는 투자자들에게 단돈 500만 유로(한화 약 66억 원)만 투자하면 오늘날 가장 심각한 문제인 사이버보안과 프라이버시에 대한 우려를 완전히 해결할 수 있다고 주장해왔다.

그는 애플과 구글처럼 시장을 지배하는 기술 대기업의 구속에서 벗어나 ‘표현의 자유, 프라이버시, 보안’을 약속하는 스마트폰 스타트업 ‘언플러그드(Unplugged)’를 적극적으로 후원했고, 그의 후원 하에 언플러그는 6월 마침내 그가 공언한 기술이 담긴 새 스마트폰을 대중에게 공개했다. 가격은 850달러다.

그러나 이 스마트폰이 공개되기 전인 2021년부터 이미 프린스는 개인적으로 투자자들에게 이 스마트폰을 판매하고 있었다. MIT 테크놀로지 리뷰는 그 과정에서 그가 사용한 투자자 설명자료를 입수했다. 자료에는 스마트폰과 관련해서 이전에 보도된 적 없는 내용이 담겨있었다. 자료에서 주장하는 바에 따르면 언플러그드의 스마트폰과 자체 운영체제는 감시, 가로채기, 위변조 등을 위한 ‘침투가 불가능’하며 이들의 자체 메신저 서비스도 ‘가로채거나 암호를 해독하는 것이 불가능’하다.

프린스는 “언플러그드가 기술 대기업의 이익 창출과 분석에서 벗어난 최초의 운영체제를 만들었다”고 주장하면서 이 스마트폰이 ‘정부 수준 암호화’로 보호된다고 자랑했다. 또한 설명자료에 따르면 언플러그드의 스마트폰은 “전 세계 다양한 곳에 위치한 글로벌 서버팜(server farm)을 통해 관리될 것이므로 절대 오프라인으로 전환될 수 없다.” 그러한 서버팜 중에는 “위성을 통해 일론 머스크(Elon Musk)의 스타링크(StarLink)에 연결된 공해상의 미공개 장소”에 위치한 “선박 위에 있는” 서버팜도 있다. 언플러그드 대변인은 “공해에 서버팜을 위치시키면 어떤 정부의 법도 적용되지 않는다”고 설명했다.

언플러그드의 투자자 설명자료에는 이러한 불가능한 주장, 의미 없는 유행어, 노골적인 허구가 마구 뒤섞여 있다.

텍스트, 전자기기이(가) 표시된 사진  자동 생성된 설명

이 스마트폰은 최근 10년 동안 프라이버시와 보안을 강조하며 출시됐던 수많은 스마트폰 중 가장 최신 제품이며, 이용자와 이용자의 데이터를 보호하기 위해 안드로이드나 아이폰보다 훨씬 더 많은 일을 할 수 있다고 약속한다.

2013년 에드워드 스노든(Edward Snowden)이 미국의 스파이 활동에 대해 폭로한 이후로 1년에 적어도 한 번은 보안을 강조하는 새로운 전화기가 출시됐다. 2014년에는 이러한 경향이 이미 너무 두드러져서 MIT 테크놀로지 리뷰가 그해의 혁신 기술 중 하나로 ‘초보안 스마트폰(ultraprivate phone)’을 선정하기도 했다. 그러나 그렇게 엄청난 보안을 자랑하는 스마트폰을 만들려고 했던 시도는 거의 모두 실패로 돌아갔다.

언플러그드에서 자료를 제공하지 않았기 때문에 내가 이야기를 나눈 전문가들 중 누구도 아직 이 스마트폰을 테스트하거나 코드를 읽을 수는 없었지만, 우리가 이용할 수 있는 증거들이 암시하는 바에 따르면 언플러그드는 자신들이 약속하는 내용에 한참 미치지 못할 것으로 보인다.

믿기 힘들 만큼 뛰어난 성능

모바일 보안업체 룩아웃(Lookout)의 데이비드 리처드슨(David Richardson) 부사장은 “아무도 뚫을 수 없는 장치는 존재하지 않는다”며 “그것은 이미 오랫동안 입증된 일”이라고 말했다.

언플러그드가 ‘업폰(UP Phone)’이라는 이름을 붙인 이 스마트폰의 셀링 포인트는 ‘다른 휴대전화들이 달성할 수 있는 수준을 넘어서는 엄청난 보안과 프라이버시를 보장한다는 약속’을 바탕으로 한다. 이들은 더 높은 수준의 보호를 제공한다고 강조하기 위해 ‘정부 수준 암호화(government-grade encryption)’ 같은 유행어를 사용하고 있다. 하지만 사실 정부도 우리와 동일한 표준 암호화를 사용한다는 사실은 절대 언급하지 않는다. MIT 테크놀로지 리뷰가 해당 표현에 관해 묻자 언플러그드는 “그런 표현은 그다지 반향을 일으키지 못한다”고 인정하며 앞으로는 해당 표현을 사용하지 않겠다고 밝혔다.

사이버보안업체 레코디드퓨처(Recorded Future)의 사이버 정보 분석가 앨런 리스카(Allan Liska)는 “여기에서 두 가지 일이 일어나고 있다”며 “하나는 보안이 훌륭한 휴대전화를 실제로 만들려고 시도하는 것이고 다른 하나는 단순히 홍보를 목적으로 보안에 관한 사람들의 우려를 이용하는 것이다. 그 둘을 구별하기는 정말 어려울 수 있다”고 말했다.

프린스는 투자자들에게 업폰이 “합법적인 가로채기, 감시, 스푸핑(spoofing) 등에 경험이 많은 엔지니어들”에 의해 만들어졌다고 홍보했다.

오픈소스 프로젝트에서 프라이버시와 보안에 관한 다양한 개선점을 가져왔으면서도 언플러그드의 라이언 패터슨(Ryan Paterson) 대표는 MIT 테크놀로지 리뷰에 이메일을 통해 “언플러그드의 독점 운영체제는 대중에게 알려지지 않은 문제(제로데이)나 다른 취약점에 대해 자체적인 개선점을 개발했다”고 말했다. 제로데이 취약점(zero-day vulnerability)은 대중에게 알려지지 않은 보안 취약점이며 발견되자마자 즉각적으로 공격을 받을 수도 있고 수백만 달러에 판매될 수도 있다.

언플러그드의 일상적인 기술 운용은 악명 높은 해킹 업체 NSO그룹(NSO Group)을 탄생시킨 이스라엘 스타트업 커뮤니테이크(CommuniTake)의 직원이었던 에란 카펜(Eran Karpen)이 담당한다. 카펜은 커뮤니테이크에서 ‘군용 등급의 모바일 기기’라고 홍보했던 ‘인택트폰(IntactPhone)’을 만들었다. 그는 또한 미국 국가안보국(NSA)에 해당하는 이스라엘의 정보기관이며 사이버 스파이 활동을 수행하는 8200부대(Unit 8200)의 베테랑이기도 하다.

그러나 그 정도의 경력이 있는 사람이라면 “업폰은 감시가 불가능하다”는 프린스의 주장을 꿰뚫어 볼 수 있어야 할 것이다.

리스카는 “내가 미국 정보부에서 일하던 시절에 우리는 해외의 수많은 휴대전화업체에 침투해서 휴대전화가 기지국과 연결된 위치를 기반으로 사람들을 쉽게 추적할 수 있었다”며 “따라서 ‘침투가 불가능’하다고 말하는 것은 잘못”이라고 말했다.

그는 “아무리 보안이 훌륭하다고 해도 그 제품은 휴대전화기이고 휴대전화는 기지국 삼각측량을 기반으로 작동하기 때문에 정확한 위치를 나타내는 위도와 경도가 항상 존재한다”며 “휴대전화에 무슨 짓을 한다고 해도 그것을 바꿀 수는 없다”고 덧붙였다.

언플러그드의 대변인에 따르면 리버트OS(LibertOS)라고 하는 업폰의 운영체제는 구글 안드로이드를 이용해서 만든 전용 버전이며 회사에서 직접 설계했다고 하는 불분명한 하드웨어 조합에서 실행되고 있다. 안드로이드 포크(Android fork)는 길의 갈림길(fork)처럼 안드로이드 원래 버전에서 따로 분리해서 만든 독자적인 운영체제 버전을 의미한다. 전문가들은 고유한 안드로이드 포크를 유지하는 것조차도 엄청난 비용과 자원이 소모될 수 있는 어려운 작업이라고 경고한다. 규모가 작은 스타트업은 처리할 수 없는 문제일 것이다.

리처드슨은 “안드로이드가 지속적으로 수많은 취약점을 공개하고 패치를 적용하고 있기 때문에 늘 업데이트를 해서 최신 버전을 유지해야 한다”고 말했다. 모든 소프트웨어와 하드웨어를 새로운 안드로이드 버전과 호환되도록 유지하는 것은 기술 대기업을 제외하면 극소수의 회사만이 효과적으로 할 수 있는 일이다. 이 문제를 해결하기 위해 틈새시장을 노린 일부 휴대전화는 단순히 새 안드로이드 버전을 채택하지 않는 방식을 택했다. 그러나 이는 더 저렴하기는 해도 훨씬 위험한 방법이다.

또 다른 핵심 이슈는 수명이다. 애플의 아이폰이 시장에서 가장 안전한 소비자 기기로 여겨지는 이유는 애플이 다른 모든 경쟁업체들보다 긴 기간인 6년 동안 구형 휴대전화에 보안 업데이트를 지원하기 때문이다. 전화기에 대한 지원이 종료되면 보안 취약점이 해결되지 않으므로 휴대폰은 더 이상 안전하지 않다. 그러나 업폰이 얼마나 오래 보안 지원을 받는지에 대한 정보는 알 수 없다.

텍스트이(가) 표시된 사진  자동 생성된 설명

일부 다른 프라이버시 보호 전화기는 제품이 완전하지는 않아도 보안에 대한 태도만큼은 진지하다. 예를 들어 리브렘 5(Librem 5)는 프라이버시에 중점을 둔 제품을 전문으로 하는 미국의 ‘사회적 목적 기업’ 퓨리즘(Purism)이 제작했다. 리브렘은 대단한 약속을 제시한 후에 세부 정보 몇 가지만을 공개한 언플러그드와 달리 누구나 볼 수 있도록 소스코드와 하드웨어 세부 정보를 공개한다. 리브렘은 무료 오픈소스 운영체제인 리눅스(Linux)를 기반으로 한다. 이는 기술 대기업에서 벗어나 최초로 운영체제를 만들었다는 프린스의 주장이 거짓임을 보여준다. 수많은 상업 전화기들이 이미 자체적인 운영체제를 만들어서 사용한 바 있다.

리브렘에 대한 시장의 반응은 미묘했다. 리뷰어들은 리브렘의 야심과 세부 사항은 물론 비교적 솔직하고 정직한 마케팅 등에 찬사를 보냈다. (그러나 다른 많은 리눅스 기기들처럼 이 전화기가 매력적이라고 느끼는 사람들은 주로 기술 전문가와 복잡한 내용을 천천히 배워야 하는 것에 대해 열린 마음을 가지고 있는 사람들일 것이다.)

그래핀OS(GrapheneOS)도 안드로이드 폰에서 사용할 수 있는 안전한 오픈소스 운영체제를 제공하기 위한 진지하고 신뢰할 수 있는 프로젝트이다.

언플러그드는 이들의 대척점에 있다. 전화기에 ‘침투 불가능하다’는 회사의 주장은 죽기 전에 수백만 달러 규모의 암호화폐 사기를 벌인 혐의로 알려진 존 맥아피(John McAfee)가 2017년에 판매하려고 했던 ‘해킹 방지(hack-proof)’ 전화기를 떠올리게 한다.

빨간 알약

2022년 6월에 대중적으로 공개된 이후 언플러그드의 휴대폰은 사이버보안 전문가들 사이에서 회의론과 경멸의 대상이 되었다.

국제 컴퓨터과학 연구소(International Computer Science institute)의 사이버보안 연구원 니콜라스 위버(Nicholas Weaver)는 “컴퓨터 보안 커뮤니티에서는 ‘정부 수준’이나 ‘침투 불가능한’ 같은 표현들이 사람들을 속이는 데 사용된다는 것을 알기 때문에 온라인상에서 조롱할 수밖에 없다”고 말했다.

위버는 업폰이 기술 개발을 위한 제품이 아니라 판매를 목적으로 허황된 홍보에 치중하는 제품이라고 생각한다. 그는 이것이 ‘우익 친화적인 사기’라고 주장한다.

사실 업폰의 원래 이름은 ‘빨간알약폰(RedPill Phone)’이었다. 이 이름은 미국의 극우가 좋아하는 밈(meme)을 기반으로 한다. 프린스는 미국의 전 대통령 도널드 트럼프(Donald Trump)를 소리높여 지지하던 사람이었고 트럼프 전 대통령의 전략가 스티브 배넌(Steve Bannon)이 진행하는 팟캐스트 ‘워룸(War Room)’에서 이 전화기를 처음 공개했다. 배넌과 그의 지지자들은 팟캐스트에서 할인 코드를 받았다.

이런 점들을 고려하면 프린스가 이 스마트폰이 ‘우파에게든 좌파에게든 똑같이’ 매력적으로 느껴질 수 있을 것이라는 생각으로 투자자들에게 제품을 홍보한 것이 놀랍게 느껴질 수 있다. 하지만 언플러그드가 ‘빨간 알약’이라는 이름을 사용하지 않기로 한 이유도 정치적 성향과 상관없이 다양한 고객에게 제품을 홍보하기 위해서인 것으로 보인다.

그럼에도 불구하고 프린스는 배넌의 팔로워들 중에서 이 스마트폰에 호의를 보이는 고객층을 발견할지도 모른다. 이는 이 전화기의 성공에 매우 중요할 수 있다. 업폰의 미래는 얼마나 많은 고객들이 프린스의 주장을 믿느냐에 달려있을 것이다.

퓨리즘의 대표 카일 랭킨(Kyle Rankin)은 “평범한 사람들에게는 신뢰가 중요하다고 생각한다”며 “휴대전화를 판매하는 회사가 신뢰할만한 가치가 있는 곳인지 생각해보아야 한다”고 말했다.

이는 보안과 프라이버시를 중시하는 휴대전화와 관련해서 오랫동안 어려운 문제였다.

예를 들어 반체제 인사들과 언론인들을 해킹하다가 발각된 것으로 알려진 아랍에미리트의 익명의 정보기관이자 보안 회사 다크매터(DarkMatter)는 2018년부터 자체적인 ‘초보안(ultrasecure)’ 전화기 ‘카팀(Katim)’을 판매했다. 같은 해에 아놈(Anom)이라는 이름의 날렵한 모양을 가진 검은색 전화기가 조직범죄와 관련된 사람들에게 “표적 감시와 침입에 대항해 보안이 강화된 ‘초보안’ 기기”라는 점을 약속하며 판매됐다. 그러나 사실 그 전화기 회사를 비밀리에 운영한 것은 미연방수사국(FBI)이었다.

실패의 원인은 더 단순할 때도 많다. 스노든의 유출이 있고 나서 그 직후에 보안을 강조하며 출시된 블랙폰(Blackphone)은 저조한 판매량으로 인해 순식간에 수백만 달러의 빚을 진 것으로 알려졌다. 블랙폰은 업폰보다 200달러 이상 더 저렴했다.

간단히 말하면 시장은 실패로 가득 차 있다. 더 안전한 스마트폰을 만들겠다는 야망은 대단하지만, 침투 불가능한 휴대폰이라는 주장은 좋게 봐도 오해를 일으킬만하고 최악의 경우 위험할 수 있다.

업폰은 2022년 11월에 출시될 예정이다.

미리보기 2회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.