러시아ㆍ유라시아

☐ 카자흐스탄 정부, HTTPS 인터넷 트래픽 차단 착수
카자흐스탄 정부가 2019년 7월 17일부터 모든 인터넷 연결 장치와 브라우저에 정부가 발행한 루트 인증서(root certificate·최상위 인증 기관이 발급하는 인증서)를 설치하게 만드는 등 자국 내 모든 HTTPS 인터넷 트래픽(internet traffic·인터넷을 경유하는 데이터 흐름) 차단 절차에 착수했다. 카자흐스탄 정부는 이 인증서를 통해 HTTPS 인터넷 트래픽을 해독하고, 내용을 확인한 뒤 그것이 목적지로 보내기 전에 인증서를 갖고 다시 암호화함으로써 시민들의 온라인 활동을 쉽게 감시할 수 있다. 정부로부터 최종 사용자에게 단말기에 인증서를 설치하라는 지시를 받은 국내 인터넷 서비스 제공업체(Internet Service Providers, ISP)가 인증서를 발급한다.

대부분의 카자흐스탄 ISP는 데스크톱이나 모바일 기기에 정부의 루트 인증서를 설치하는 방법이 담긴 웹페이지로 인터넷 접속자를 안내하며 인증서 설치를 강제하고 있다. 카자흐스탄 디지털발전혁신항공우주산업부(Ministry of Digital Development, Innovation and Aerospace)는 “수도 누르술탄(Nur-Sultan) 내 인터넷 사용자들만 루트 인증서를 설치하면 된다.”라고 밝혔지만, 전국 모든 사용자가 정부의 루트 인증서를 설치할 때까지 인터넷 접속이 차단되고 있는 것으로 알려졌다. 일부 카자흐스탄 언론도 특정 ISP가 고객 스마트폰으로 정부 발행 인증서를 설치하라는 문자 메시지를 보내고 있다고 보도하고 있다. 카자흐스탄 정부와 ISP는 루트 인증서 설치로 인한 사생활 침해 문제에 대해선 함구한 채 이 인증서를 설치하는 게 시민들에게 이익이라는 입장만을 고수하고 있다. 정부 관리들은 “이번 조치는 해커와 인터넷 사기꾼과 기타 사이버 위협으로부터 시민, 정부 기관, 민간 기업의 보호를 강화하려는 게 목적이다.”라고 밝혔다.

카자흐스탄 정부의 시민 사생활 침해 결정은 모질라 파이어폭스(Mozilla Firefox) 브라우저 개발자들 사이에 향후 이 문제를 해결하기 위한 최선의 방법을 둘러싼 논란을 촉발했다. 카자흐스탄 정부가 인터넷 사용자를 감시하고 있을 때 경고해주는 배너나 알림을 브라우저에 추가하자는 제안이 현재 가장 좋은 반응을 받고 있다.

☐ 카자흐스탄 정부, 2015년에도 루트 인증서 강제 설치 시도했다 실패 
카자흐스탄 정부가 자국민에게 HTTPS 인터넷 트래픽을 해독할 수 있는 루트 인증서를 강제로 설치하도록 한 게 이번이 처음은 아니다. 지난 2015년 12월에도 정부는 모든 국민에게 2016년 1월 1일까지 루트 인증서 설치를 지시했지만, 인증서가 국가 인터넷 트래픽 보안을 약화할 것으로 우려한 ISP, 은행, 외국 정부 등이 정부를 상대로 소송을 제기하자, 결국 인증서 설치 계획을 취소했다. 당시 카자흐스탄 정부는 모질라에게 파이어폭스에 인증서를 디폴트(default)로 설치하게 해 달라고 요구했으나, 모질라 측이 이를 거부했다. 현재 구글, 마이크로소프트, 모질라 등 브라우저 제조업체들은 카자흐스탄 정부의 인증서로 (재)암호화된 사이트 처리 방안을 둘러싼 실행 계획에 대해 논의 중이나, 7월 중순 현재까지는 아직 구체적인 결론을 내리지는 못했다.

* 참고자료
ReclaimTheNet, Kazakhstan government starts intercepting all HTTPS internet traffic inside the country, 2019.07.18.
ZDNet, Kazakhstan government is now intercepting all HTTPS traffic, 2019.07.08.
The Hacker News, Kazakhstan Begins Intercepting HTTPS Internet Traffic Of All Citizens Forcefully, 2019.07.19.

[관련정보]
1. 카자흐스탄, 인터넷 감시 멈추기로(뉴스브리핑,2019년 8월 13일)