디지털 감시의 어둠을 파헤치는 시티즌랩

지난 20여 년간 전 세계 디지털 위협을 집요하게 추적해 온 연구 기관 시티즌랩이 지금 그 어느 때보다 거센 압력에 직면해 있다.

2025년 4월 로널드 데이버트(Ronald Deibert)는 사용하던 전자기기를 모두 토론토 자택에 두고 미국 일리노이행 비행기에 올랐다. 현지에 도착하자마자 그는 곧장 애플스토어로 향해 새 노트북과 아이폰을 구매했다. 평소 사용하던 기기가 압수될 위험을 최소화하기 위한 조치였다. 그의 일에는 늘 감시가 따라붙었고, 데이버트는 그 사실을 잘 알고 있었다. 그는 “언제나 감시당하고 있다는 전제로 움직인다”며 “지금 이 순간 내가 어디에 있는지까지 모두 파악하고 있을 것이라 생각한다”고 말했다.

데이버트는 2001년  ‘시민사회를 위한 정보기관’을 만들겠다는 목표로 연구 기관 ‘시티즌랩(Citizen Lab)’을 설립했다. 이 기관은 토론토대학교 안에 자리하고 있지만 정부나 기업의 이해관계로부터 완전히 독립해 운영되며, 재정은 연구 지원금과 민간 기부에 의존한다. 전 세계에서도 드문 ‘순수 공익 목적의 사이버 위협 조사 기관’으로 평가받으며, 지난 20여 년 동안 가장 심각한 디지털 권력 남용 사례를 다수 밝혀냈다.

그는 “오랫동안 미국을 자유민주주의의 기준점으로 여겨왔지만 이제는 그렇지 않다”며 “민주주의의 토대가 공격받고 있고, 여러 결함에도 불구하고 지켜져 왔던 헌정 민주주의의 기준마저 흔들리고 있다”고 말했다.

도널드 트럼프 대통령의 재선 이후 미국행을 꺼리는 캐나다인도 적지 않았지만, 데이버트는 오히려 직접 현장을 보고 싶었다. 그는 인권 옹호자들을 만나러 다니는 동시에 학생 시위가 한창이던 컬럼비아대학교의 감시 상황도 기록했다. 캠퍼스 상공을 맴도는 드론을 촬영하고, 지나치게 강화된 보안 조치도 꼼꼼히 살폈다. 그는 “미국을 다시 찾은 건 결코 평범한 선택이 아니었다”고 인정하면서도 “나는 문제의 현장을 직접 확인하지 않고는 못 견디는 성격”이라고 말했다.

올해 61세인 데이버트는 캐나다 브리티시컬럼비아주 이스트 밴쿠버에서 자랐다. 거칠고 활기가 넘치며 반문화적 기운이 짙게 흐르던 동네였다. 1970년대 밴쿠버에는 징집을 피해 넘어온 미국 청년들과 히피 문화가 뒤섞여 있었고, 데이버트는 당시 미국 탐사보도가 폭로한 코인텔프로(COINTELPRO) 감시 프로그램, 펜타곤 페이퍼스(Pentagon Papers), 워터게이트(Watergate) 사건 등을 통해 강한 반체제 정신을 접했다. 다만 이런 관심이 훗날 자신의 직업으로 이어질 것이라고는 생각하지 못했다. 그는 “노동 계층 가정에서 자라 진로에 대한 시야가 넓지 않았다”며 “우리 가족 중 대학에 진학한 사람은 사실상 없었다”고 회상했다.

이후 그는 브리티시컬럼비아대학교 국제관계학 대학원에 진학했다. 박사 과정에서 곧 핵심 연구 분야로 떠오르게 될 주제, 즉 막 태동하던 인터넷이 지정학적 질서를 어떻게 바꿀지를 파고들기 시작했다. 그는 “당시 내 전공 분야에서 인터넷을 이야기하는 학자는 손에 꼽을 만큼 드물었고, 그마저도 논의가 너무 피상적이어서 늘 답답함을 느꼈다”고 말했다. 이어 “반면 컴퓨터과학은 지나치게 기술 중심이라 정치적 논의를 거의 금기시하던 분위기였다”고 덧붙였다.

그는 이후 토론토대학교에서 연구 및 교육 성과에 대한 심사를 거쳐 정년을 보장 받을 수 있는 테뉴어 트랙(tenure-track) 교수로 임용된 뒤에도 이 연구를 계속 이어갔다. 하지만 그의 활동이 세계적 주목을 받기 시작한 것은 2001년 시티즌랩을 설립한 이후였다.

데이버트는 “연구실의 존재를 국제적으로 각인시킨 결정적 계기는 2009년 보고서 ‘트래킹 고스트넷(Tracking GhostNet)’이었다”고 말했다. 이 보고서는 중국에 기반을 둔 디지털 스파이망을 추적해 달라이 라마 사무소를 포함한 전 세계 100여 개국 외교 공관과 외교관 업무 시스템이 대규모로 피해를 입었다는 사실을 처음으로 밝혀냈다. 해당 보고서와 이듬해 후속 연구는 실시간으로 진행되는 사이버 감시를 공개한 초기 사례로 평가된다. 이후 시티즌랩은 180건이 넘는 분석을 잇달아 발표하며, 마거릿 애트우드(Margaret Atwood)와 에드워드 스노든(Edward Snowden) 같은 인권 옹호자들의 찬사를 받았다.

시티즌랩은 그 뒤로도 각국 권위주의 정권의 감시 행태를 꾸준히 파헤쳤다. 데이버트는 “러시아와 중국 모두 내 이름을 입국 금지 명단에 올려놓은 것으로 안다”고 말했다. 시티즌랩은 특히 사우디아라비아 반체제 인사이자 워싱턴포스트 기자였던 자말 카슈끄지(Jamal Khashoggi)가 암살되기 전, 그의 측근들을 감시하는 데 상업용 스파이웨어가 동원됐다는 사실을 가장 먼저 밝혀낸 기관으로도 유명하다. 이 조사는 이후 G7과 유엔의 디지털 억압 관련 결의안에 직접 반영됐고, 일부 스파이웨어 업체에 대한 제재로 이어졌다.

그럼에도 2025년 미국 국토안보부 산하 이민세관단속국(Immigration and Customs Enforcement)은 스파이웨어 업체 패러곤(Paragon)과의 200만 달러 규모 계약을 다시 체결했다. 바이든 행정부가 한때 중단 명령을 내렸던 계약으로, 안보를 이유로 국내 스파이웨어 사용을 늘려온 유럽과 이스라엘 정부의 흐름과도 맞닿아 있다.

신디 콘(Cindy Cohn) 전자프런티어재단(Electronic Frontier Foundation, 이하 ‘EFF’) 대표는 “시티즌랩의 연구는 말 그대로 사람의 생명을 구하는 일”이라며 “시티즌랩 연구진은 전 세계 인권·민주화 활동가를 겨냥한 기술 기반 공격을 가장 먼저 집중적으로 파헤친 곳이며, 지금도 그 분야에서 단연 최고”라고 평가했다.

데이버트는 신입 연구원을 선발할 때 형식적이거나 학계 중심의 인물보다 개성이 뚜렷하고 재능이 뛰어난 사람을 우선한다. 연구실이 다루는 억압적 정권을 직접 경험한 이들도 적지 않다. 시리아 알 아사드(al-Assad) 정권 아래에서 고문을 겪고 살아남은 누라 알지자위(Noura Aljizawi) 디지털 억압 연구원은 특히 여성과 성소수자가 디지털 기술로부터 어떤 위협을 받는지, 그리고 해외로 망명한 이들에게 그 피해가 어떻게 증폭되는지 집중 연구하고 있다. 그녀가 개발에 참여한 개인별 맞춤형 보안 도구 ‘시큐리티 플래너(Security Planner)’는 토론토대학교의 ‘혁신 우수상(Excellence Through Innovation Award)’을 받기도 했다.

시티즌랩의 연구가 위험을 동반한다는 사실도 여러 차례 확인됐다. 2022년 다수의 카탈루냐 시민과 의원, 그리고 재임 중이거나 재임 이후 표적이 된 네 명의 카탈루냐 자치정부 수반에 대한 디지털 감시를 폭로한 이후, 엘리에스 캄포(Elies Campo) 연구원은 누군가에게 미행당하고 사진까지 찍히는 상황을 겪었다.

그럼에도 데이버트는 “시티즌랩의 명성과 사명을 생각하면 인재를 찾는 일은 어렵지 않다”며 “이런 일을 하겠다고 찾아오는 사람들은 어느 정도 유형이 정해져 있다”고 말했다. 그는 이어 “대부분은 ‘추적’이라는 작업 자체에 강하게 이끌린다”며 “탐정 같은 일이어서 특유의 긴장감이 있고, 그 매력은 중독적일 만큼 강렬하다”고 설명했다.

데이버트는 연구 성과의 공을 늘 동료 연구원들에게 돌린다. 성과를 이야기할 때면 두 명의 수석 연구원 빌 마크작(Bill Marczak)과 존 스콧-레일턴(John Scott-Railton)은 물론 다른 연구진도 빠짐없이 함께 언급한다. 누군가 연구실을 떠나 새로운 자리로 옮겨도 그의 애정은 변하지 않는다. 그는 “한 번 동료는 영원한 동료”라고 말했다.

데이버트는 미국 체류 기간 동안 노스웨스턴대학교 학부생을 대상으로 시티즌랩의 연구를 소개하는 세미나를 열었고, 컬럼비아대학교 저널리즘 대학원에서는 디지털 권위주의를 주제로 강연을 진행했다. 데이버트는 “당시 미국 대학들은 트럼프 행정부의 예산 삭감과 정치적 압박에 직면해 있었고, 그런 기관 내부로 들어가 미국 정부의 권위주의적 조치에 직접 대응하고 싶었다”고 말했다.

캐나다로 돌아온 뒤에도 시티즌랩은 전 세계 시민사회가 겪는 디지털 위협을 계속 추적해 왔다. 하지만 이제 데이버트는 오랫동안 민주주의의 기준점으로 삼아온 미국까지 새로운 조사 대상으로 삼아야 하는 상황에 놓였다. 그는 “지금의 미국에서는 시티즌랩 같은 기관이 버티기 어려울 것”이라며 “우리가 개척해 온 이 연구 방식은 그 어느 때보다 큰 위협에 처해 있다”고 밝혔다.

데이버트가 특히 우려하는 부분은 미국의 연방 감시기구와 대학들이 받는 압력이 갈수록 거세지고 있다는 사실이다. 실제로 지난 9월 트럼프 행정부는 연방 정부 기관의 낭비·사기·권력 남용을 감시하는 ‘미국 감사원 위원회(Council of the Inspectors General on Integrity and Efficiency)’의 예산을 전면 삭감했다. 표면적 이유는 ‘정파적 편향’에 대한 우려였다. 백악관은 또한 성별·다양성·형평성·포용성(DEI) 정책과 캠퍼스 내 발언과 관련한 행정부 지침을 따르지 않는 대학에는 연방 지원금을 동결하겠다고 압박해 왔다. 데이버트는 “이런 조치들은 시티즌랩 같은 감시 기관과 연구 단체가 지켜야 할 독립성을 정면으로 훼손하는 것”이라고 비판했다.

신디 콘 대표는 “시티즌랩이 캐나다에 기반을 두고 있다는 사실이 오히려 중요한 의미를 지닌다”고 평가했다. 그녀는 “토론토에 있는 시티즌랩이 미국에서 벌어지는 각종 공격으로부터 비교적 자유롭게 연구를 이어갈 수 있다는 점은 법치주의와 인권·자유 보호를 다시 세울 수 있을지 판단하는 데 매우 중요한 역할을 할 수 있다”고 말했다.

이 글을 쓴 피니언 헤이즌(Finian Hazen)은 노스웨스턴대학교에서 저널리즘과 정치학을 전공하는 학생이다.

The post 디지털 감시의 어둠을 파헤치는 시티즌랩 appeared first on MIT 테크놀로지 리뷰 | MIT Technology Review Korea.