캐나다 앨버타주가 30년 전 스파이 소설에서 나온 오래된 기법으로 선거 데이터베이스 누설자를 적발했다. 의도적으로 심어진 거짓 정보를 추적해 비정상 유포 경로를 파악한 것이다.

거짓으로 함정을 만들다

**카나리 트랩(Canary Trap)**은 단순하지만 효과적인 정보 누설 추적 기법이다. 기관이나 기업이 문서나 데이터베이스를 여러 사람에게 배포할 때, 각 수신자에게만 고유한 거짓 정보나 오류를 섞어 넣는다. 만약 그 거짓 정보가 그대로 외부에 유출되면, 즉시 누가 유출시켰는지 파악할 수 있다는 원리다.

지난주 캐나다에서 이 기법이 실제로 작동하는 모습이 목격됐다. 앨버타주 선거 관리기관인 Elections Alberta는 주민 수백만 명의 이름, 주소, 투표 지역 등을 담은 **선거인 명부(electoral list)**를 정당들에게 법적으로 공개하고 있다. 이 데이터는 정당이 사용할 수 있지만, 제3자에게 공유하는 것은 금지되어 있다.

그런데 분리주의자 성향의 그룹 '센추리언 프로젝트(Centurion Project)'가 이 데이터를 무단으로 온라인 투표자 검색 도구로 만들어 공개했다. Elections Alberta는 법원에 긴급 명령을 신청해 사이트를 폐쇄하도록 했다. 문제는 데이터가 어디서부터 유출됐는가였다.

조사 결과는 놀라웠다. Elections Alberta가 공화당(Republican Party of Alberta)에 배포한 선거인 명부에는 의도적으로 거짓 항목들이 삽입되어 있었다. 센추리언 프로젝트의 온라인 도구에 바로 그 거짓 항목들이 그대로 나타났다. 카나리 트랩이 작동한 것이다.

Elections Alberta의 담당자는 "공화당으로부터 센추리언으로 데이터가 넘어갔다"는 것을 거짓 정보로 즉시 입증할 수 있었다. 현재 데이터가 구체적으로 어떤 경로로 유출됐는지는 불명확하지만, 양측 모두 법 준수를 약속했고 센추리언은 자발적으로 도구를 폐쇄했다.

스파이 소설에서 현실로

카나리 트랩은 역사가 깊다. 용어 자체는 톰 클랜시의 1989년 소설 『애국자 게임(Patriot Games)』에서 유래했다. 소설 속 CIA 요원 잭 라이언은 상관에게 이렇게 설명한다.

"각 사본마다 요약 부분이 6가지 다른 버전으로 존재하고, 그 혼합이 각 사본마다 고유해요. 가능한 조합만 1000가지가 넘지만 실제 문서 사본은 96개뿐이죠. 기자가 그 요약 문단 중 2-3개를 신문에서 그대로 인용하면, 어느 사본을 봤는지, 즉 누가 유출했는지 바로 알 수 있어요."

소설은 이 기법을 "컴퓨터 유의어 사전으로 같은 의미의 단어들을 섞어서 모든 사본을 고유하게 만들 수 있다"고 제시했다.

현실에서 이 기법은 오래전부터 적용돼 왔다. 테슬라, 애플 같은 테크 기업들이 사용했고, 심지어 스타 트렉 영화 시나리오 누설을 막기 위해서도 활용됐다. 그러나 현대에는 인공지능(AI)으로 이를 자동화할 수 있게 됐다.

2021년 다트머스 대학의 V.S. 서브라마니안(V.S. Subrahmanian) 교수는 **'WE-FORGE'**라는 AI 도구를 개발했다. 이 도구는 "원본과 충분히 유사해 신뢰할 수 있지만, 충분히 달라서 틀린" 거짓 문서를 자동으로 생성한다. 약물 설계, 군사 기술 같은 지적 재산권을 보호하기 위한 것이었다.

낡은 방어 기법이 여전히 강력하다는 점은 흥미롭다. 앨버타주 사례가 증명했듯이, 고도의 암호화나 양자 컴퓨터 보안 같은 첨단 기술보다, 간단한 오류 하나가 때로 더 효과적일 수 있다.