기사 제목이 오해를 불러일으킴
실제로는 Microsoft가 단순히 요청받으면 키를 제공하는 게 아니라, 유효한 법적 명령(valid legal order) 을 받았을 때만 제공한다고 Forbes 기사에 명시되어 있음
법 집행기관의 단순 요청은 거부할 수 있지만, 법적 명령을 거부하면 형사 처벌을 받을 수 있음
다만 Microsoft가 기본적으로 사용자 키에 접근할 수 있다는 점은 큰 보안 취약점을 의미함
네가 세밀히 읽지 않은 것 같음. 이런 문구들은 항상 조심스럽게 작성되므로, 무엇이 언급되지 않았는지를 읽는 게 더 중요함
“legal order”는 행정 소환장부터 사법 영장까지 포함하는 폭넓은 개념임. 단순한 “요청(request)”은 법적 효력이 없음
Microsoft는 연간 약 20건의 요청을 받고 그중 9건 이하에 응답한다고 함. Apple은 더 많은 요청을 받고 더 자주 응답함 (Apple 투명성 보고서)
Forbes 기사에 등장한 Microsoft 대변인이 외부 위기 커뮤니케이션 컨설턴트라는 점도 이상함
Microsoft가 여러 법적 관할권에서 운영되기 때문에 문제가 복잡해짐
어떤 국가는 자국 법이 전 세계에 적용된다고 주장함. 이런 상황에서 Microsoft가 각국의 요구를 모두 충족하려면, 특정 국가와의 법적 분리가 필요함
“legal order”가 “warrant(영장)”은 아님을 주의해야 함
일부 정부 기관은 내부 지침으로 영장 없이도 시민을 체포·구금할 수 있다고 주장함
FBI가 범죄자가 아닐 거라는 보장은 없듯, Microsoft 직원도 완전히 신뢰할 수 없음
Microsoft의 이번 조치는 기술적 필요가 아니라 법적 대비책이었음
진정한 종단간 암호화를 적용했다면, 법 집행기관의 요청을 단순히 “불가능하다”고 답할 수 있었을 것임
암호화 구조 논쟁을 떠나, Microsoft가 법적 요청을 거부할 수 있다고 생각하는 게 이해되지 않음
법적으로 증거 제출을 요구할 수 있는데, “계약상 의무 때문에 불응 가능”하다는 법을 어떻게 만들 수 있을까?
Microsoft는 사용자의 암호화 키를 클라우드에 업로드하기 전 동의를 구할 수도 있었음
하지만 Windows 설정 과정에서 Microsoft 계정을 강제로 사용하게 하고, 키를 자동으로 업로드함
이런 경우에는 단순한 소환장(subpoena) 이 아니라 영장(warrant) 을 요구하도록 해야 함
Windows 11은 로컬 계정을 없애고 기본적으로 키를 Microsoft에 전송함
LUKS 같은 시스템에서는 이런 일이 없으며, 이는 보안 실패임
사용자가 비밀번호를 잊었을 때 복구를 쉽게 하려는 의도겠지만, 결과적으로 누구나 악용할 수 있는 구조가 됨
사용자 비밀번호로 BitLocker 키를 암호화하는 등 다른 기술적 대안이 충분히 있음
진정한 자유는 안전하게 생각할 수 있는 공간에서 시작됨
감시 사회가 확산되면서 사람들은 더 이상 마음 놓고 생각하거나 표현할 수 없게 됨
“숨길 게 없으면 괜찮다”는 논리는 오히려 자유로운 사고를 위축시킴
국가 권력은 장기적으로 신뢰할 수 없으며, 암호화 기술은 자유로운 사고를 지키는 핵심 도구임
나도 그 감정을 이해함. 합법 이민자로서 단순히 농담으로 받은 선거 티셔츠 사진을 iCloud에서 보고도 삭제할까 고민했음
국경에서 누군가 그 사진을 보고 불이익을 줄까 두려웠음
이런 자기검열이 쌓이면 자유가 사라지는 것임. 마치 소련 시절로 돌아간 느낌임
Microsoft를 옹호하려는 건 아니지만, 일반 사용자 입장에서는 기본 설정이 합리적일 수도 있음
다만 사용자가 초기에 클라우드 키 저장을 거부(opt-out) 할 수 있어야 함
Intel Panther Lake에서는 BitLocker가 전용 SoC로 완전 하드웨어 가속될 예정이라 전체 디스크 암호화(FDE) 취약점이 줄어듦
하지만 여전히 개선할 점이 있음
설정 중 온라인 복구 키 저장을 선택적으로 허용
TPM 기반 또는 비밀번호 기반 FDE 중 선택 가능
KDF를 메모리 집약적(memory-hard) 알고리즘으로 변경
PIN 제한(20자)을 없애고 영문+숫자 조합 허용
TPM 매개변수 암호화 활성화
하지만 Intel 칩에 백도어가 있을 가능성을 우려하는 목소리도 있음
법적 요청이 들어오면 Microsoft는 응할 수밖에 없음
BitLocker의 설계 자체가 기업이 원격으로 장치를 관리할 수 있도록 되어 있음
직원이 해고되거나 노트북을 잃어버렸을 때, 회사가 직접 잠금 해제할 수 있어야 하기 때문임
이런 구조는 새롭지 않으며, FBI든 중국이든 유럽이든 모든 정부 요청에 동일하게 대응함
미국 기관이 글로벌 데이터 접근에 더 큰 영향력을 가질 가능성은 있음
누군가 체포되면 경찰은 영장(warrant) 으로 집을 수색할 수 있음
디지털 데이터도 물리적 증거와 동일한 수준의 접근이 허용되어야 하는가?
“요청”과 “법적 명령”의 표현 차이, 그리고 미국 내 법 해석의 불일치가 논란의 핵심임
디지털 영역에선 완전한 사생활 보호가 필요할까, 아니면 중간 지점이 있을까 고민됨
참고로 subpoena는 출석 명령이지 수색 영장이 아님
“선의의 감시국가”가 정말 나쁜가? 범죄 예방이 목적이라면 프라이버시보다 공공안전이 더 중요할 수도 있음
사용자가 디스크 잠금 해제 시 암호나 키 장치를 직접 사용하지 않는다면, 그 비밀은 어딘가 다른 곳에 존재함
즉, 제3자가 접근할 가능성이 있음
문제는 사용자가 그 사실을 명확히 인지하지 못한다는 점임
Third Party Doctrine(제3자 원칙)에 따르면, Microsoft는 법적 명령 없이도 데이터를 제공할 수 있음
이는 단지 관례일 뿐이며 언제든 바뀔 수 있음
우리가 일상적으로 수많은 제3자 서비스를 사용하는 현실에서, 이 원칙은 폐지되어야 함
(Third-party doctrine 위키)
하지만 BitLocker의 경우 사용자가 정보를 자발적으로 제공했다고 볼 수 있는지 의문임
기사 제목은 “요청 시 제공”이라 되어 있지만, 실제 내용은 “유효한 법적 명령이 있을 때 제공”임
즉, 제목은 클릭베이트에 불과함
핵심은 Microsoft가 사용자 키를 보유하고 있으며, 필요 시 제공할 의무가 있다는 사실임
Hacker News 의견들
기사 제목이 오해를 불러일으킴
실제로는 Microsoft가 단순히 요청받으면 키를 제공하는 게 아니라, 유효한 법적 명령(valid legal order) 을 받았을 때만 제공한다고 Forbes 기사에 명시되어 있음
법 집행기관의 단순 요청은 거부할 수 있지만, 법적 명령을 거부하면 형사 처벌을 받을 수 있음
다만 Microsoft가 기본적으로 사용자 키에 접근할 수 있다는 점은 큰 보안 취약점을 의미함
“legal order”는 행정 소환장부터 사법 영장까지 포함하는 폭넓은 개념임. 단순한 “요청(request)”은 법적 효력이 없음
Microsoft는 연간 약 20건의 요청을 받고 그중 9건 이하에 응답한다고 함. Apple은 더 많은 요청을 받고 더 자주 응답함 (Apple 투명성 보고서)
Forbes 기사에 등장한 Microsoft 대변인이 외부 위기 커뮤니케이션 컨설턴트라는 점도 이상함
어떤 국가는 자국 법이 전 세계에 적용된다고 주장함. 이런 상황에서 Microsoft가 각국의 요구를 모두 충족하려면, 특정 국가와의 법적 분리가 필요함
일부 정부 기관은 내부 지침으로 영장 없이도 시민을 체포·구금할 수 있다고 주장함
진정한 종단간 암호화를 적용했다면, 법 집행기관의 요청을 단순히 “불가능하다”고 답할 수 있었을 것임
암호화 구조 논쟁을 떠나, Microsoft가 법적 요청을 거부할 수 있다고 생각하는 게 이해되지 않음
법적으로 증거 제출을 요구할 수 있는데, “계약상 의무 때문에 불응 가능”하다는 법을 어떻게 만들 수 있을까?
하지만 Windows 설정 과정에서 Microsoft 계정을 강제로 사용하게 하고, 키를 자동으로 업로드함
LUKS 같은 시스템에서는 이런 일이 없으며, 이는 보안 실패임
사용자가 비밀번호를 잊었을 때 복구를 쉽게 하려는 의도겠지만, 결과적으로 누구나 악용할 수 있는 구조가 됨
진정한 자유는 안전하게 생각할 수 있는 공간에서 시작됨
감시 사회가 확산되면서 사람들은 더 이상 마음 놓고 생각하거나 표현할 수 없게 됨
“숨길 게 없으면 괜찮다”는 논리는 오히려 자유로운 사고를 위축시킴
국가 권력은 장기적으로 신뢰할 수 없으며, 암호화 기술은 자유로운 사고를 지키는 핵심 도구임
국경에서 누군가 그 사진을 보고 불이익을 줄까 두려웠음
이런 자기검열이 쌓이면 자유가 사라지는 것임. 마치 소련 시절로 돌아간 느낌임
Microsoft를 옹호하려는 건 아니지만, 일반 사용자 입장에서는 기본 설정이 합리적일 수도 있음
다만 사용자가 초기에 클라우드 키 저장을 거부(opt-out) 할 수 있어야 함
Intel Panther Lake에서는 BitLocker가 전용 SoC로 완전 하드웨어 가속될 예정이라 전체 디스크 암호화(FDE) 취약점이 줄어듦
하지만 여전히 개선할 점이 있음
법적 요청이 들어오면 Microsoft는 응할 수밖에 없음
BitLocker의 설계 자체가 기업이 원격으로 장치를 관리할 수 있도록 되어 있음
직원이 해고되거나 노트북을 잃어버렸을 때, 회사가 직접 잠금 해제할 수 있어야 하기 때문임
이런 구조는 새롭지 않으며, FBI든 중국이든 유럽이든 모든 정부 요청에 동일하게 대응함
누군가 체포되면 경찰은 영장(warrant) 으로 집을 수색할 수 있음
디지털 데이터도 물리적 증거와 동일한 수준의 접근이 허용되어야 하는가?
“요청”과 “법적 명령”의 표현 차이, 그리고 미국 내 법 해석의 불일치가 논란의 핵심임
디지털 영역에선 완전한 사생활 보호가 필요할까, 아니면 중간 지점이 있을까 고민됨
사용자가 디스크 잠금 해제 시 암호나 키 장치를 직접 사용하지 않는다면, 그 비밀은 어딘가 다른 곳에 존재함
즉, 제3자가 접근할 가능성이 있음
문제는 사용자가 그 사실을 명확히 인지하지 못한다는 점임
Third Party Doctrine(제3자 원칙)에 따르면, Microsoft는 법적 명령 없이도 데이터를 제공할 수 있음
이는 단지 관례일 뿐이며 언제든 바뀔 수 있음
우리가 일상적으로 수많은 제3자 서비스를 사용하는 현실에서, 이 원칙은 폐지되어야 함
(Third-party doctrine 위키)
기사 제목은 “요청 시 제공”이라 되어 있지만, 실제 내용은 “유효한 법적 명령이 있을 때 제공”임
즉, 제목은 클릭베이트에 불과함
VeraCrypt를 추천함 (veracrypt.io)
Linux Mint, Ubuntu, Arch Linux, Kali Linux, Fedora