미국 통신사 AT&T의 시설에서 발견된 '641A호실'이, AWS의 장애에 대해 이야기하는 해커뉴스 스레드로 화제에 올랐는데, 보안 취약성을 세상에 알리게 된 이 641A호실은 무엇인지, 보안 전문가 브랄이언 해리스 씨가 설명하고 있는데...
2000년대 초반, 샌프란시스코 AT&T에서 일했었던 마크 클라인 씨는...경력을 쌓은 통신 기술자로서 네트워크 장비의 보수와 인터넷의 원활한 운용을 담당했다.
2003년, AT&T의 포섬 거리 611번지 시설에 배속되어 있던 클라인 씨는 기묘한 현상을 알아차렸는데... 시설 내의 비정상적인 배선도, 비밀리의 공사, 그리고 「641 A실」이라고 기록된 문. 손잡이도 없이 미국 국가안보국(NSA)의 허가를 받은 사람만 출입이 허용되었던 그 문은 크게 흥미를 끌게 되었다는 것.
2006년, 클라인 씨는 641A호실의 실태를 폭로하게 되는데, 641 A호실의 광섬유 스플리터는 물리적으로 AT&T의 기간 인프라에 설치되어 있고, 이 장치는 전자 메일, 전화 통화, 인터넷 검색을 포함한 전 데이터 통신을 복제해, 641 A호실에 전송하고 있었다고 한다. 이들 스플리터는 국제 트래픽과 국내 트래픽을 구분하지 않고 있으며, 로컬 인터넷 서비스 공급자(ISP) 고객부터 글로벌 백본 이용자까지의 모든 통신이 복사되고 있으며, 모든 데이터는 딥패킷 인스펙션과 실시간 감시가 가능한 하드웨어로 유입된 것으로 알려졌다.
클라인 씨는, "NSA는 모든 것을 장악하고 있습니다. AT&T의 고객 트래픽 뿐만이 아니라, 모든 사람의 통신을 나르는 주요한 파이프를 말입니다"라고 이야기하고 있었다.
NSA가 전 세계 정보를 훔쳐보고 있었다는 정보는 사람들의 관심을 끌었고, 641A호실과 비슷한 방이 미국 전역에 존재하는 것이 아니냐는 억측을 불러일으켰다.
여러 통신업체에 대해 50건이 넘는 소송이 제기되었었지만, 조지 부시 행정부가 개입한 외국정보감시법 개정으로 정부 감시활동에 참여한 통신사업자에게 소급적 면책이 허용돼, 사실상 AT&T에 대한 법적 책임 추궁의 길은 막혔다.
2006년에 전자 프런티어 재단이 AT&T를 상대로 한 집단 소송은 「NSA에 협력한 것으로 AT&T가 어떠한 법적 책임을 진 것을 나타내지 못했다」, 「클라인씨는 방의 운영에 일절 관여하고 있지 않고, 실제로 어떠한 데이터가 누구에 의해서 어떤 목적으로 처리되었는지에 대해서는 추측하는 것 밖에 할 수 없다」 등으로서 지방재판소에 기각되어 판결이 확정.
해리스 씨는 "이것은, 악성코드가 시스템에 잠입한 사례가 아니며, 취약한 비밀번호에 의한 데이터베이스 침해도 아닙니다. 민간기업과 첩보기관의 협력으로 실현된 물리적 인프라의 침해이며, 공공연하게 은폐되어 모든 기존의 디지털 방호책을 회피하는 능력을 가지고 있었습니다. 이것이 현대 디지털 보안의 약점입니다. 물리 인프라는 안전하고 신뢰할 수 있다는 전제가 641A호실 사건으로 뚫린 것입니다"라고 언급.
해커뉴스에서는, 장애가 일어난 AWS의 US-EAST-1 시스템을 분산시키는 것이 좋은가라는 논란으로 "그들의 641A호실일 수도 있으니 시스템의 본연의 자세를 논의해도 의미가 없다"고 언급되고 있다.
해리스씨는 641A호실과 같은 시스템에 대해 「투명성의 결여는 조직적인 남용을 낳습니다. AT&T 직원에게는 질문이 금지되어 있었고, 방은 봉쇄되었으며, 감사의 증거도 공적 감시도 의미 있는 법적 절차도 존재하지 않았습니다. 이것은 기술적 문제가 아니라 거버넌스의 실패입니다. 이를 수정하지 않는 한 앞으로 더 많은 641A호실이 나타날 것입니다. 제거 가능한 악성코드와 달리 물리적 도청 장치는 검출되지 않고 영구적으로 가동될 수 있습니다. 설치되면 클라인 씨가 한 것처럼 물리적으로 검사해 존재를 의심하지 않는 한 사실상 불가시가 됩니다」라고 지적하고 있다.
