GN⁺ 6달전 | parent | ★ favorite | on: 이스라엘, 법적 명령 회피 위해 구글·아마존에 비밀 ‘윙크 코드’ 사용 요구(theguardian.com)
Hacker News 의견

  • Microsoft가 Azure 사용 방식이 서비스 약관 위반이라며 “민간인 대규모 감시에 협조하지 않는다”고 한 반면, Google과 Amazon은 Nimbus 계약상 이스라엘 정부를 차별하는 행위를 금지당했음. 이를 어기면 법적 제재와 벌금이 발생함. 이 상황이 너무 모순적임

    • 기사 내용만 보면 그렇게 미친 일은 아님. 실제로 유출 문서를 본 적도 없고, 단순히 “비밀 코드”가 있었다는 주장뿐이라 구체적 근거가 부족함
    • 미국 법 체계상, 미국 정부가 아닌 다른 나라가 이런 계약을 맺는 건 위험함. 결국 Amazon과 Google은 워싱턴의 의지에 따를 수밖에 없는 구조임
    • 이런 계약은 자살 행위임. 플랫폼을 해킹당해도 막을 방법이 없고, 상대가 “계약상 허용된 접근”이라 주장하면 끝임
    • 이스라엘에 대한 끝없는 굴복은 사회적 실패의 상징임. 어떤 나라든 법을 넘어선 행동을 제재받지 않는다면 그건 이미 실패한 사회임

  • 기사 중간쯤에 숨겨진 부분이 흥미로움. 유출된 이스라엘 재무부 문서에 따르면, Google과 Amazon은 특정 국가의 전화 국가번호에 맞춘 금액을 이스라엘 정부에 송금해야 함. 예를 들어 미국(+1)은 1,000세켈, 이탈리아(+39)는 3,900세켈, 심지어 국가를 밝힐 수 없을 경우엔 100,000세켈을 내야 함

    • 하지만 이 방식은 캐나다도 +1을 쓰는 등 코드 충돌이 많아 버그투성이임
    • 이런 구조는 오히려 사기성 송금이라는 또 다른 범죄 가능성을 만듦
    • 이런 조항이 법무팀 모르게 들어갔을 리 없음. 이런 계약은 반드시 법무·운영·재무팀의 검토를 거침
    • 외국 정부 상대 계약을 영업직원이 임의로 승인했을 가능성은 거의 없음
    • 이런 조항을 문서로 남겼다는 건 범죄 공모를 문서화한 셈임. 상식적으로 말이 안 됨

  • 이 구조는 워런트 캐너리(warrant canary) 보다 더 위험한 방식임. 특정 금액 송금 자체가 이미 비밀 명령 위반 신호로 해석될 수 있음

    • 변호사들이 이런 “귀여운” 장치를 계약에 넣었다는 게 놀라움. 법 위반 소지가 큰데도 허용된 이유가 궁금함
    • 마치 탐정 영화에 빠진 비전문가가 만든 설정 같음. 법적으로 통과될 리 없음
    • 캐너리는 ‘정상 상태를 주기적으로 알리는’ 구조인데, 이건 단순히 “요청 받으면 3번 깜빡여라” 수준의 얕은 암호임
    • 굳이 돈을 보낼 필요도 없음. 그냥 이메일로 “1,000”이라고 쓰는 게 더 간단함. 결국 비밀 통신 행위 자체가 금지 대상임

  • Google이 실제로는 이런 “특별 송금”을 하지 않을 수도 있음. 대부분의 계약에는 법 위반 금지 조항이 있으니까, 그냥 무시할 가능성도 있음

    • 하지만 이스라엘은 이미 미국으로부터 비식별 데이터 피드를 받는다는 스노든 유출 문서가 있음. 겉으로는 “신사협정”이라 하지만 실상은 다 알고 있을 수도 있음
    • 이스라엘 법원이 자국 내 손해를 평가할 때 정보자산 손실을 포함하면, Google은 거액의 손해배상 위험에 놓임. 결국 현지 자산 압류가 가능하다는 점이 핵심임
    • 이스라엘은 내부 직원 중 누군가를 첩보 자산으로 포섭해 감시할 수도 있음. “알리지 말자”는 논의 자체가 이미 정보 신호가 됨
    • 단순히 계약 위반일 뿐이라면 형사 처벌보다는 민사 문제로 끝날 수도 있음
    • 하지만 애초에 계약 서명 자체가 형사 공모라는 주장도 있음. 다만 실제 기소 가능성은 낮음

  • 국가별 송금 금액을 다르게 설정한 이유가 궁금함. 단순히 “어느 나라가 요청했는지”만 알 수 있을 뿐인데, 혹시 국가별 첩보 대응을 위한 장치일 수도 있음

  • 처음엔 단순한 정부용 클라우드 계약이라 생각했지만, 어쩌면 국제 감시·사이버 작전용 인프라일 수도 있음. 클라우드는 빠르고 전 세계적으로 접근 가능하니까

  • 요즘은 정부조차 자체 서버를 운영하지 못하고 AWS, Azure, GCP에 의존하는 현실이 씁쓸함

    • 직접 구축하면 주식 투자 이익을 얻을 수 없으니, 대형 클라우드에 맡기는 게 더 유리함
    • 서버를 다룰 줄 아는 사람보다 클라우드 구매 담당자가 더 영향력 있음
    • 미국의 대외 원조금은 대부분 미국 기업에 재투자되므로, 이스라엘도 예외가 아님. 관련 기사: The Intercept 보도

  • 만약 미국 정부가 비공개 명령(FISA, NSL 등)으로 데이터를 요청했는데 Google이나 Amazon이 이스라엘에 알린다면, 이는 징역형 수준의 범죄

    • 하지만 Google이 미국보다 이스라엘을 우선할 가능성은 낮음. 아마 다른 국가용 장치일 가능성이 큼
    • 법을 엄격히 지키는 나라라면 당연히 처벌받음
    • 어떤 나라의 명령이냐, 비공개 명령의 범위가 어디까지냐에 따라 다름. 미국 연방 명령이라면 이런 “윙크 송금”은 명백히 금지될 것임
    • 이 구조는 특정 국가의 국가번호 기반 송금이라, 단순한 지역 명령에도 대응 가능하도록 설계된 듯함

  • 이스라엘을 빼고 생각하더라도, 어떤 정부든 자국 데이터는 자체 암호화 키로 보호해야 함. 클라우드 사업자 키에 의존하는 건 위험함

    • 하지만 민주국가가 이런 식으로 비밀 통신 조항을 요구한다면 매우 충격적임. 이스라엘이 민주주의가 아니라면, Microsoft가 그런 정부와 거래하는 것도 문제임
    • 이스라엘은 국제형사재판소(ICC) 수배와 UN의 집단학살 판결을 받은 나라라, 단순 비교가 어렵다는 의견도 있음
    • 또한 이런 계약은 미국법상 명백히 불법이며, 다른 나라가 이런 특혜를 누릴 수 없다는 점이 문제임

  • Alphabet 법무팀이 “미국 정부의 법적 의무를 회피하지 않는다”고 발표했지만, 이 문구는 법정에서 충분히 다툴 수 있는 표현