라케쉬 바라니아(Rakesh Bharania) 세일즈포스(Salesforce.org) 인도주의적 영향 데이터 책임자
마크 실버맨(Mark Silverman) ICRC 고문
지난 10년 동안 ‘연결성 지원(Connectivity as aid)’과 같은 디지털 서비스에 대한 수요가 증가하고 있습니다. 이러한 서비스는 헤어진 가족을 연결해주거나 법적 권리에 접근할 수 있도록 돕는 등 무력 충돌의 영향을 받은 사람들에게 큰 도움이 될 수 있습니다. 반면, 안전하지 않은 연결지점(connectivity points)은 이미 취약한 개인과 인구 전체를 표적 살해, 착취 및 기타 피해의 위험에 더욱 노출시킬 수 있습니다. 본 게시물에서 라케쉬 바라니아(Rakesh Bharania) 세일즈포스(Salesforce.org) 인도주의적 영향 데이터 책임자와 마크 실버맨(Mark Silverman) ICRC 디지털 변환 및 데이터 전략 고문은 연결성 지원이 중요하며 제공되어야 한다고 주장합니다. 또한, 초기 단계에서부터 인도주의적 지원을 받는 사람들을 안전하게 보호하도록 설계되어야 한다고 강조합니다.
인도주의적 위기에 효과적으로 대응하기 위해서는 커뮤니케이션과 연결성이 항상 필수적인 요소였습니다. 최근 수십 년 동안, 인도주의적 정보통신기술(ICT)은 기존의 유선 전화기와 푸쉬투토크(Push-to-talk) 무전기에서부터 인터넷과 인터넷 연결 응용 프로그램의 통합을 위해 발전해왔습니다.
2010년 1월 아이티 지진 발생 후 인도주의적 대응 과정은 인터넷이 다른 형태의 기술과 대등한 위치에 서게 된 순간으로 일반적으로 인정받고 있습니다. 하지만 당시에도 인도주의적 ICT는 대체적으로 식량, 피난처, 상하수도 등 보다 친숙한 다른 형태의 인도주의적 지원을 가능케 하는 지원 메커니즘으로 간주되었습니다. 특정 지역에 있는 수백 명의 인도주의 활동가들을 연결하는 비교적 간단한 네트워크는 전통적인 지점망(branch network) 설계를 통해 쉽게 설정할 수 있습니다.
시리아 분쟁과 뒤이은 대규모 이주는 변혁적 도전 과제를 제시했습니다. 처음으로 인도주의자들은 스마트폰으로 사랑하는 사람들과 연락을 하고, 망명 신청 등 법적 권리를 얻기 위한 다양한 이유로 인터넷 접속을 바라고 필요로 하는 난민 인구를 접하였습니다. 그리고 처음으로 인터넷은 인도주의 활동가뿐만 아니라 위기에 처한 사람들 자신에게도 인도주의적 지원의 한 형태로 인식되었습니다.
이 확대된 임무에 따라 인도주의적 ICT 담당자들은 (여전히 중요하고 어려운 일이지만) 더 이상 특정 지역의 인도주의 활동가들을 연결하는 것뿐만 아니라 광범위한 지리적 영역에 걸쳐 잠재적으로 영향을 받을 수 있는 수십만 명의 사람들을 연결해야합니다.
해결되지 않은 위험
연결성을 제공하고자 하는 추동력은 영향을 받는 사람들이 직접 표현하는 필요에 대응하는 것이기 때문에, 좋은 현상입니다. 동시에, 이와 같이 확대된 청중과 인도적 연결의 범위에서 보호에 대한 근본적인 문제가 대두되고 있습니다.
최근 인도주의적 기술의 다양한 혁신과 더불어 위협을 가하는 행위자들도 지속적으로 혁신을 거듭하고 있다는 불미스러운 사실이 추가적으로 강조되고 있습니다. 그리고 이러한 행위자들은 종종 새로운 착취 방법을 계속 모색하기 위해 충분한 자금, 자원 및 자극을 받습니다. 최근 몇 년간의 세간의 이목을 끄는 공격으로는 시민 사회 및 구호 단체 네트워크에 접근을 목적으로 한 민감한 개인정보의 도난, 의료 시스템과 주요 기반시설에 대한 랜섬웨어 공격, 미국국제개발처(USAID)의 이메일 마케팅 계정 탈취 사례 등이 있습니다. 이러한 공격은 이미 취약한 개인과 집단을 향한 살인, 착취 및 기타 피해의 위험에 대한 노출을 증가시킬 수 있습니다.
지금까지는 일상적인 디지털 위협과 지능적인 디지털 위협에 대한 인도주의 단체들의 대응은 재원이 부족하고 우선순위가 낮은 상태였습니다. 토론토 대학교의 시티즌 연구소(Citizen Lab)과 파이어아이(FireEye)와 같은 기관에서 실시한 연구에서도 역시 인도주의 활동가와 분쟁을 피해 떠나는 취약한 민간인들이 디지털 공격 대상 상위 4개 중의 하나로 나타났습니다. 이 시점에서 인도주의적 대응을 위한 디지털 인프라가 공격을 받지 않을 것이라고 가정하는 것은 매우 무책임한 일입니다.
인도주의 및 개발 맥락에서 이러한 위험에 대한 인식이 점차 늘어나고 있지만, 현장에서 활용되는 인도주의 네트워크가 사이버 보안 및 보호 문제에 거의 관심을 기울이지 않는 것은 매우 일반적인 일입니다. 종종 이러한 일은 인도주의적 예외주의(humanitarian exceptionalism)를 내세우며 발생합니다. 즉, 매우 중요한 활동을 긴급한 상황에 처한 사람들을 위해 신속하게 지원을 할 때에 절차를 생략하는 것은 정당할 뿐만 아니라 필요할 수 있습니다. 따라서 현재와 예측 가능한 미래의 위협을 탐지하고 완화할 수 있는 통합 보안 시스템 대신, 많은 인도주의적 연결 구축은 여전히 인터넷 연결의 ‘덤 파이프(dumb pipe-서비스 공급자가 능동적인 보안 또는 네트워크 관리 기반 시설 없이 연결을 공급하는 단순 연결 수단)’ 모델에 의존하고 있습니다. 보안 사고 대응이 기업 세계에서 공통적인 역량임에도 불구하고 현장의 인도주의적 활동을 위한 디지털 보안 사고 대응 계획은 거의 전례가 없습니다.
인도주의적 위기 상황에서 연결을 보다 쉽게 이용할 수 있도록 인도주의 활동가들은 점점 더 많은 민간 기술 기업과 협력하여 인도주의적 연결을 설계, 제공 및 구현하고 있습니다. 이러한 협력은 영향을 받는 사람들에게 큰 혜택을 제공할 수 있지만, 고유한 보호의 문제도 있습니다. 민간 부문 행위자들이 현물 지원(예: 인적 자원, 기술 서비스 및/또는 장비)을 제공하는 경우, 이러한 조직은 종종 1)파트너의 업무를 뒷받침하는 인도주의적 원칙과 보호 방법론을 알지 못하거나 2) 분쟁이나 위기의 민감도를 업무에 적용시키지 않고 3) 보안 및 보호를 위해 본국이나 상업적 환경에서 일반적으로 사용하는 것과 동일한 보안 및 보호 기준을 업무에 적용하지 않습니다. 자세하게 대비되어 있지 않다면, 공격자들이 악용할 수 있는 책임감 분산이 발생할 수 있습니다.
연결[1]을 제공하되, 안전하게 해야 합니다
여러 도전 과제들로 인해, 위험을 살펴보고 단순히 연결성 제공을 중단하려는 유혹이 있을 수 있습니다. 그러나 인도적 지원이 필요한 난민을 비롯한 주민들에게 중요한 서비스를 잘 제공하는 것이 어렵다고 해서 완전히 중단되어서는 안됩니다.
오늘날 카페에서 무료 와이파이를 제공하는 것과 위기 상황에서 인도주의적 연결을 제공하는 것 사이에는 근본적인 차이가 있다고 생각합니다. 위기 상황에 처할 경우 사용자에게 다른 선택권이 없을 가능성이 높으므로 기본적인 디지털 위험 관리 능력 및 기능이 부족할 수 있습니다. 이 때문에, 그리고 위에서 언급한 ‘인도주의적 예외주의’ 주장과는 반대로, 필요한 서비스를 제공하고, 가능한 한 안전한 방법으로 인도주의적 연결성을 제공해야 할 책임은 국제인도주의 사회에 있습니다.
긍정적인 측면은, 이러한 문제에 대한 우려와 책임의식이 커지고 있다는 사실입니다. 예를 들어, ICRC, 유엔 인도주의 업무 조정국(UN OCHA) 및 다른 기구들은 인도주의적 맥락에서 기술과 데이터의 책임 있는 사용에 대한 유용한 지침과 보고서를 발표했습니다. 이러한 기본 문서를 바탕으로 이제 다음 사항이 중요하게 고려되어야합니다.:
첫째, 인도적 연결성 지원을 위한 최소한의 기술 사양이 필요합니다. 여기에는 서비스를 처음부터 안전하게 만드는 방법이 포함되어야 합니다. 보안 위협이 진화함에 따라 보호방법 역시 진화해야하며 기술 설계는 보안 위협이 존재하는 동안 위협이 진화하거나 새로운 위협으로 변이하여도 대응할 수 있도록 설계되어야 합니다.
둘째, 현장 차원에서의 원조, 지원 및 책임감이 필요합니다. 현장 활동을 할 때에 종종 뉴욕과 제네바에서 논의된 거시적인 목표가 수포로 돌아가는 경우가 너무 많습니다. 간단히 말해, 더 많은 현지에서의 활동을 지원해야 합니다. 지침과 기술 사양은 인도주의 활동가와 민간 부문 파트너에 의해 운영되어야 합니다.
이러한 두 가지 목표를 달성하고 보다 보호적인 연결 서비스를 만들기 위해 다음을 제안하는 바입니다:
- 기부자는 디지털 보호 역량에 지속적인 자금을 지원해야 합니다. 최선의 계획이라도 보호 역량을 개발하고 유지할 자원이 없다면 현장에서 수행될 수 없습니다. 정부 지원 기관, 재단 및 기타 기부자는 그들의 보조금 지원 분야에 디지털 위험 및 위해성 감소 작업을 포함해야 합니다. 디지털 역량에 대한 일관된 자금 지원이 이루어지지 않는다면 종종 불완전하고 잘못 설계된 시스템, 즉 위험하고 비용이 많이 드는 실패로 이어집니다.
- 표준과 규범의 보편적인 적용이 가능해야 합니다. 인도주의 네트워크와 데이터 시스템은 기본적으로 방어적으로 설계되어야합니다. 위기 대응을 포함한 적극적인 보안 및 개인 정보 보호 통제는 백오피스(back-office)를 넘어 현장까지 확장되어야 합니다. 기술 및 운영 사양은 서비스 공급자가 인도주의 기관, 민간 부문 기업, 정부 또는 다른 기업인지에 관계없이 서비스 제공에 관계된 모든 사람들을 보호하고 관여시켜야 하는 의무를 항상 고려해야 합니다. 예를 들어, 민간 기술 기업의 자원봉사자들로 하여금 자신이 지원하는 인도적 기관에 해당 책임을 위임하는 것이 아니라 보호와 위해 방지 등의 인도주의적 규범에 개인적인 구속감을 느끼도록 해야합니다.
- 인도주의 기관은 보호 역량을 현장까지 확장시켜야 합니다. 현장의 최고보안책임자(CSO)와 정보 보안 인력이 그 어느 때보다 많은 것은 긍정적이지만, 이러한 인력은 종종 본사 또는 기업 차원의 전사적자원 관리(EFP), 인적 자원 데이터 또는 기부자 데이터 보호와 같은 시스템에 더 많은 초점을 두고 있습니다. 이는 모두 중요하지만, 위기 상황에 노출된 사람들에게 연결성을 제공하는 기관들은 백엔드(back-end), 백오피스(back-office) 시스템에 한정되지 않고 현장 수준에서 이 서비스의 보안 및 개인 정보를 효과적으로 관리할 수 있어야 합니다. 현장이 곧 취약계층에게 가장 큰 위험이 존재하는 곳이기 때문입니다.
- 민간 부문은 원칙에 입각하여 안전하며 효과적인 연결성 제공을 위해 인도주의 기관과 협력해야 합니다. 민간 부문은, 간접적으로 기술 공급업체로서의 역할을 하든 인도주의적 대응에 보다 적극적으로 기여하든, 분쟁에 민감한 접근 방식을 따르는 것이 중요합니다. 인도주의적 연결 서비스는 직접 제공될 경우 부문별 세부 사양이 준수되어야합니다. 즉, 인도주의적 원칙과 윤리를 이해해야 합니다. 이는 인도주의 단체와의 성공적인 협업을 보장하고 취약계층의 안전과 존엄성을 보존하는 데 큰 도움이 될 것입니다. 최첨단 기술과 같은 실리콘 밸리의 역량은 제네바의 인도주의적 가치와 결합할 수 있지만, 이러한 협력은 양쪽에서 계획적이어야 하며 지속적인 상호 대화와 교육을 포함해야 합니다.
- 디지털 보호를 포함한 연결성은 현지의 맥락을 이해하고 고려해야합니다. 인도주의 활동가는 인도주의 활동을 할 때, 지역적 맥락과 지원하고자 하는 사람들에게 초점을 맞춰야합니다. 설계 단계뿐만 아니라 프로그램 진행 단계 전체에 걸쳐 영향을 받는 사람들 및 지역 사회와 협력하여 필요한 서비스를 식별하고, 공정한 접근성 및 필요한 보호를 보장하는 것이 중요합니다. 또한 인도주의 활동가들은 전자 기기가 없는 사람들이 동일한 기본 서비스에 접근할 수 있도록 기존의 상황별 디지털 격차를 능동적으로 파악하고 해결해야 합니다.
결론: 인도주의 활동가(및 파트너)는 지금 행동해야합니다.
인도주의 부문의 보안 침해에 대한 뉴스 헤드라인이 쏟아지는 가운데, 취약계층에 대한 디지털 보호 문제가 비상사태나 다름없다는 사실은 분명합니다.
최근 몇 년 동안 인도주의 기술분야에서 ‘무해성’에 대한 요구가 증가하고 있습니다. 그러나 ‘해치지 않는 것’만으로는 충분하지 않습니다. 연결성을 제공하는 인도주의 활동가로서 우리는 디지털 위협으로부터 서비스를 사용하는 취약한 사람들을 보호하기 위해 적극적으로 노력해야 합니다. 연결성이 인도주의 지원의 한 형태로 인식되기 때문에 디지털 영역에서 보호를 위한 새로운 인도주의적 규격은 해당 분야의 기존 ‘책임있는 데이터’ 지침을 기반으로 하고, 그 범위를 확장해야 하며, 운영 중심 (현장에서 구현하기 위한 실용적인 것 포함) 및 감사가 가능해야합니다.
하지만 인도주의 활동가들이 다른 도움 없이 스스로 이를 달성할 수 없을 것입니다. 기부자, 정부 및 민간 부문 파트너로 구성된 확장된 인도주의 커뮤니티는 모두 자금, 기술 전문 지식, 소프트웨어, 장비 또는 교육을 제공하여 안전한 디지털 서비스를 실현하는 조건을 만들고 유지하는 데 핵심적인 역할을 수행합니다. 이를 통해 사이버 보안을 강화하는 데 필요한 전 세계적 해결책 마련에 기여할 수 있습니다.
디지털 기술과 인도주의적 연결성은 위기 상황에 처한 사람들의 안전, 보안, 기회 및 기관을 지원함으로써 인간의 존엄성을 확인하는 데 도움을 줄 수 있습니다. 그러나 이러한 상황은 설계 단계에서 부터 보호되고 유익한 영향을 극대화하는 기술 해결책을 의도적으로 배치한 경우에만 발생할 수 있습니다.
[1] 본 게시물에서 제시하는 입장은 가능한 한 안전하게 연결성을 제공하는 것입니다. 다만, 관련 정부가 법령 및 규정에 따라 접속을 차단하는 등 다양한 이유로 연결성을 제공할 수 없는 경우가 있을 수 있습니다. 허용되지 않는 환경에서의 연결성에 대한 좋은 논쟁이 있지만, 이는 본 게시물에서 다루지 않습니다.