In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
1980년대 공산주의 국가였던 동독에서는 타자기를 가지고 있으면 정부에 그것을 등록해야 했습니다. 구입한 타자기로 작성한 샘플 문서 한 장을 등록하는 식으로 말이죠. 이는 정부가 문서의 근원지를 추적할 수 있도록 하기 위함이었습니다. 불온한 사상이 담긴 문서가 발견될 경우 정부는 누가 그 문서를 유포시켰는지 찾아 낼 수 있었습니다. 우리 서방 사람들은 어떻게 표현의 자유를 이토록 제한할 수 있는지 이해할 수 없었습니다. 서방 국가에서는 절대로 있을 수 없는 일이었기 때문이죠.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
하지만 2011년 오늘날 여러분이 거대 프린터 제조 업체에서 컬러 레이저 프린터 한 대를 구입해 출력하면 그 출력물에는 여러분과 여러분의 프린터를 식별할 수 있는 미세한 노란 점들이 고유한 패턴으로 페이지마다 인쇄될 것입니다. 이것이 오늘날 우리에게 일어나고 있는 현실입니다. 그러나 이를 문제시하는 사람은 아무도 없습니다. 이것은 정부가 시민들의 이득에 부합하지 않게 기술을 이용하는 한 예입니다. 오늘날 온라인상의 문제를 일으키는 세 가지 주요 원인 중 하나이기도 하죠.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
온라인상에서 어떤 일들이 일어나고 있는지 분석해보면 우리는 공격자 유형을 토대로 온라인 공격을 세 가지 그룹으로 분류할 수 있습니다. 첫 번째는 온라인 범죄자들입니다. 여기 우크라이나 키에보 출신의 Dimitry Golubov도 온라인 범죄자입니다. 온라인 범죄자들의 동기는 이해하기 매우 쉽습니다. 이들은 금전적인 이득을 추구합니다. 이들은 떼돈을 벌기 위해 온라인 공격을 감행합니다. 엄청나게 많은 돈을 벌기 위해서 말이죠. 실제로 온라인 공격을 통해 백만장자가 된 사람들도 몇몇 있습니다. 이 사람은 에스토니아 타루트 출신의 Vladimir Tsastsin입니다. Alfred Gonzalez. Stephen Watt. Bjorn Sundin. Matthew Anderson, Tariq Al-Daour, 그리고 기타 등등.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
이들은 우리가 인터넷 뱅킹을 하는 동안 트로잔 바이러스를 이용해 계좌에서 돈을 빼내거나 우리가 감염된 컴퓨터로 인터넷 쇼핑을 할 때 키보드의 움직임을 탐지해 신용카드 정보를 수집하는 등 불법적인 방법으로 돈을 법니다. 미국 비밀 경호국은 두 달 전에 Sam Jain씨의 스위스 은행 계좌를 동결시켰습니다. 동결 당시 그 계좌에는 1,490만 달러가 들어 있었습니다. 현재 Jain씨는 도피 중이고 그의 위치는 아직 오리무중입니다. 이제 우리는 현실세계의 범죄보다 온라인 범죄의 피해자가 될 가능성이 더 높아졌습니다. 이러한 상황은 앞으로 더 심해질 것입니다. 미래에는 대부분의 범죄가 온라인상에서 일어날 것입니다.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
오늘날 볼 수 있는 두 번째 유형의 공격자들은 금전적 이득을 추구하지 않습니다. 그들은 다른 목적을 위해 활동하는데 이를테면 시위, 의견 표출, 또는 단순히 재미를 위해 활동합니다. Anonymous와 같은 집단들은 최근 12개월동안 영향력을 확장하며 온라인 공격에서 빼놓을 수 없는 존재가 되었습니다.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
앞서 세 종류의 공격자들이 있다고 했는데요. 돈을 목적으로 하는 범죄자들, 시위를 위해 활동하는 Anonymous와 같은 해커 집단들, 그리고 마지막은 국가, 즉 정부입니다. DigiNotar에서 일어난 사건을 한 예로 들 수 있습니다. 이 사례는 국민이 정부의 공격 대상이 될 때 어떤 일이 일어나는지 잘 보여줍니다. DigiNotar는 네덜란드의 인증 기관입니다. 정확히 말하면 인증 기관이었죠. 이 기관은 해킹을 당한 후 지난 가을 파산 절차를 밟았습니다. 누군가가 내부로 침입해 DigiNotar를 철저히 해킹한 것이었습니다. 저는 지난주에 네덜란드 정부 대표들과의 모임에 참석했는데 그 때 네덜란드 수석 대표자 한 명에게 DigiNotar 해킹 사건으로 인해 누군가가 목숨을 잃을 수 있다고 생각하는지 물어봤습니다. 그의 대답은 "그렇다"였습니다.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
그렇다면 어떻게 해킹으로 인해 사람들이 목숨을 잃을 수 있는걸까요? DigiNotar는 인증 기관이고 그들은 인증서를 팝니다. 인증서로는 무엇을 할까요? 만약 여러분이 G메일처럼 SSL(데이터를 안전하게 전송하기 위한 통신 규약)로 암호화된 서비스를 이용하고자 한다면 여러분은 인증서를 가지고 있어야 합니다. 여러분 대부분이 G메일 또는 다른 이메일 서비스를 사용할텐데요. 이런 서비스들은 이란과 같은 전체주의 국가에서 특히 인기가 높습니다. 국내 서비스보다 해외 서비스를 더 신뢰하는 반체제 인사들이 정부의 감시망을 피하기 위해 SSL로 암호화된 해외 서비스를 사용하기 때문입니다. 하지만 정부가 외국 인증 기관을 해킹해 위조된 인증서를 발급할 경우엔 해외 서비스도 감시가 가능해지는데 DigiNotar 사건이 바로 이런 것이었습니다.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
중동 반정부 시위와 이집트에서 일어난 일들은 어떻습니까? 2011년 4월 이집트 시위대는 이집트 비밀경찰 본부를 뒤지던 도중 수많은 서류들을 발견했습니다. 이 서류 더미 중에는 "FINFISHER"라는 제목의 서류철도 있었습니다. 그 안에는 한 독일 기업이 보낸 문서들이 있었는데 확인 결과 이집트 정부가 시민들의 통신 내용을 가로챌 목적으로 해당 기업으로부터 필요한 소프트웨어를 구입했던 것으로 밝혀졌습니다. 그 기업은 28만 유로를 받고 이집트 정부에 소프트웨어를 팔았습니다. 이곳이 그 기업의 본사입니다.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
서방 정부들은 전체주의 정부가 자국민을 감시할 수 있도록 필요한 도구를 제공하고 있습니다. 뿐만 아니라 서방 정부들은 자국에서도 똑같은 일을 자행하고 있습니다. 예를 들어 불과 몇 주 전에 독일에서 Scuinst Trojan이라는 프로그램이 발견되었는데 이것은 독일 정부가 시민들을 조사하기 위해 사용한 트로잔 바이러스인 것으로 밝혀졌습니다. 만약 여러분에게 범죄 혐의가 있다면 여러분의 전화는 도청될 것입니다. 하지만 이젠 그것만으로 끝나지 않습니다. 정부는 여러분의 인터넷 사용도 감시할 것입니다. 정부는 Scuinst Trojan과 같은 프로그램으로 여러분의 컴퓨터를 감염시켜 여러분이 사용하는 모든 통신수단을 감시하고, 인터넷 토론 내용을 엿보고, 여러분의 비밀번호를 수집할 수 있습니다.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
이런 문제들에 대해 사람들은 일반적으로 이렇게 말할 것입니다. "나쁜 것 같긴 하지만 전 법을 준수하니깐 저랑은 상관 없는 이야기인 것 같군요. 제가 걱정할 건 아니지 않나요? 전 떳떳하니까요." 하지만 이건 말도 안되는 소리입니다. 사생활은 암묵적인 권리입니다. 사생활은 논쟁의 대상이 될 수 없습니다. 이것은 사생활이냐 보안이냐의 문제가 아닙니다. 이것은 통제로부터의 자유에 대한 문제입니다. 지금은 우리 정부를 신뢰할 수 있어도 우리가 어떤 권리를 포기할 경우 그 권리는 영원히 사라질 것이란 점을 명심해야합니다. 과연 50년 후에도 우리는 정부를 맹목적으로 믿고 따를 수 있을까요? 이런 것들이 바로 앞으로 50년간 우리가 고심해야 할 문제들입니다.