VPN 금지 추진하는 미국 주 의원들, 기술 이해 부족 논란

 (eff.org)
2P by GN⁺ 19일전 | ★ favorite | 댓글 1개
  • 미국 위스콘신주와 미시간주에서 성인 콘텐츠 접근 연령 확인 법안에 VPN 차단 조항을 포함한 입법이 추진 중임
  • 위스콘신 법안(A.B.105/S.B.130)은 ‘미성년자에게 유해한 자료’의 범위를 확대하고, 해당 콘텐츠를 제공하는 웹사이트가 VPN 접속자를 차단하도록 요구함
  • 그러나 웹사이트는 VPN 사용자의 실제 위치를 식별할 수 없어, 기술적으로 불가능한 요구로 지적됨
  • VPN은 기업 보안, 원격 근무, 학생 연구, 인권 활동, 개인 프라이버시 보호 등 다양한 목적으로 사용되고 있어, 차단 시 광범위한 피해 발생 우려
  • 이러한 법안은 디지털 프라이버시와 표현의 자유를 위협하며, 실질적 효과 없이 인터넷 안전성을 저해하는 결과 초래 가능성 있음

위스콘신과 미시간의 VPN 금지 법안 추진

  • 위스콘신주 의원들은 A.B.105/S.B.130 법안을 통해 성인 콘텐츠 접근 시 연령 확인과 VPN 차단을 의무화하려 함
    • 법안은 ‘성적 내용이 포함된 자료’를 제공하는 모든 웹사이트에 정부 발급 신분증 확인 시스템VPN 사용자 차단 기능을 요구
    • ‘미성년자에게 유해한 자료’의 정의를 기존보다 광범위하게 확장해, 인체 해부학·성교육·생식 관련 콘텐츠까지 포함 가능성 있음
  • 위스콘신 법안은 이미 주 하원을 통과했으며, 상원 심의 중임
  • 미시간주에서도 유사한 법안이 제안되었으나, 입법 절차를 통과하지 못함
    • 해당 법안은 인터넷 서비스 제공업체(ISP) 가 VPN 연결을 감시하고 차단하도록 요구했음
  • 영국에서도 일부 관리들이 VPN을 “폐쇄해야 할 허점(loophole)”로 언급함

기술적 불가능성과 부작용

  • VPN은 사용자의 실제 위치를 숨기고, 트래픽을 다른 서버를 통해 우회시키는 기술임
    • 웹사이트는 VPN 서버의 IP 주소만 인식할 수 있어, 접속자의 실제 위치를 구분할 수 없음
  • 따라서 “위스콘신 내 VPN 사용자를 차단하라”는 요구는 기술적으로 불가능
  • 법안이 시행될 경우, 웹사이트는 위스콘신 내 서비스 중단 또는 전 세계 VPN 사용자 차단 중 하나를 선택해야 함
    • 이는 한 주의 법이 전 세계 인터넷 접근에 영향을 미치는 결과 초래 가능성 있음

VPN의 필수적 활용 영역

  • 기업 보안: 원격 근무자와 출장자가 안전하게 사내 네트워크에 접속하기 위해 VPN 사용
    • 고객·직원 데이터 보호, 내부 통신 보안, 사이버 공격 방어 목적
  • 교육기관: 대학은 연구 데이터베이스, 강의 자료, 도서관 자원 접근을 위해 VPN 사용을 요구
    • 예: 위스콘신대 매디슨 캠퍼스의 WiscVPN은 외부 네트워크에서도 교내 자원 접근 지원
  • 취약 계층 보호:
    • 가정폭력 피해자는 위치 노출 방지를 위해 VPN 사용
    • 언론인과 인권운동가는 감시로부터 출처와 활동 보호
    • LGBTQ+ 이용자는 적대적 환경에서 건강 정보와 커뮤니티 접근 수단으로 활용
  • 일반 사용자는 광고 추적, ISP 감시, 위치 기반 데이터 수집을 피하기 위해 VPN 사용

프라이버시 침해와 데이터 유출 위험

  • VPN이 차단되면, 이용자는 콘텐츠 접근을 위해 정부 신분증, 생체정보, 신용카드 정보를 웹사이트에 직접 제출해야 함
  • 이러한 데이터는 암호화되지 않은 상태로 저장될 가능성이 높으며, 해킹과 유출 위험이 큼
    • 실제로 연령 확인 시스템 해킹 사례가 이미 발생함
  • 결과적으로 개인의 실명과 방문 기록이 노출될 수 있으며, 이는 심각한 프라이버시 침해로 이어짐
  • 법안은 “안전”을 명분으로 한 감시 강화 정책으로 평가됨

‘미성년자 유해물’ 정의의 과도한 확장

  • 기존 법에서는 미성년자에게 금지할 수 있는 자료의 범위가 사회적 가치가 거의 없고, 성적 호기심을 자극하는 경우로 제한됨
  • 위스콘신 법안은 이를 확대해, 성에 대한 묘사나 인체 설명만으로도 유해물로 간주
    • 문학, 예술, 음악, 영화, 과학·의학 콘텐츠까지 포함될 가능성 있음
  • 또한 웹사이트 콘텐츠의 3분의 1 이상이 해당 범주에 속하면 법 적용 대상이 됨
    • 이 기준에 따라 소셜미디어, 성교육, LGBTQ+ 건강정보 사이트까지 규제될 수 있음
  • 이러한 광범위한 정의는 정부가 표현의 적절성을 자의적으로 판단할 권한을 부여함
    • 역사적으로 이러한 검열은 소수자 커뮤니티에 불리하게 작용해 왔음

실효성 부재와 우회 가능성

  • 법이 통과되더라도, 사용자는 비상업용 VPN, 오픈 프록시, 개인 서버 등을 통해 손쉽게 우회 가능
    • AWS, DigitalOcean 등 클라우드 서비스를 이용한 트래픽 터널링도 가능
  • 결국 차단의 영향은 합법적 사용자와 기업, 학생, 언론인, 피해자에게 집중됨
  • VPN 차단 조항은 효과가 없고, 오히려 인터넷을 덜 안전하게 만드는 조치로 평가됨
  • 근본적으로 문제는 VPN이 아니라, 연령 확인 법 자체의 비효율성과 프라이버시 침해 구조에 있음

프라이버시와 자유에 대한 위협

  • 이용자들은 연령 확인 의무화 확산에 대응해 VPN 사용을 늘려왔음
  • 그러나 일부 정치인들은 이를 “감시 회피 수단”으로 간주하고, 프라이버시 보호 기술 자체를 금지하려는 방향으로 움직임
  • VPN 금지는 디지털 프라이버시와 표현의 자유에 대한 공격으로 간주됨
  • 청소년 보호를 명분으로 한 정책의 대안으로는 교육 강화, 부모 지원, 실제 온라인 위험 요인 해결이 제시됨
  • 기술적 이해 없이 추진되는 VPN 금지 입법은 인터넷 자유와 보안에 심각한 위협으로 평가됨
GN⁺ 19일전  [-]
Hacker News 의견
  • 러시아의 검열 정책을 떠올리게 됨
    주요 VPN 제공업체와 Tor 브리지, 외국 호스팅 사이트까지 차단했고, IPsec·WireGuard 같은 프로토콜도 막았음
    VPN 사용이 ‘극단주의 정보 검색’ 범죄의 가중 사유로 지정되면서 많은 사람이 겁을 먹음
    결국 대부분이 감시·검열된 로컬 서비스만 쓰게 되면, 화이트리스트나 국제망 차단도 손쉽게 가능해짐
    • 완전히 러시아식 통제 수준으로 가지 않는 한 이런 정책은 작동하지 않음
      미국은 아직 법치 제도가 남아 있어서, VPN 금지를 실질적으로 시행하려면 여러 기관이 무너져야 함
  • 잔지바르에서 인터넷 검열을 경험했음
    Proton 같은 VPN이 막히고, 허가 없이 VPN을 쓰면 벌금 2000달러나 징역 12개월 처벌을 받았음
    VPN 사용 허가를 받으려면 IP 주소 등 세부 정보를 적은 양식을 제출해야 했지만, 심사는 느리고 불투명했음
    법안의 맥락은 다르지만, 입법자들이 VPN의 본질을 이해하지 못한다는 점은 비슷함
    아이러니하게도 잔지바르는 디지털 노마드 유치를 원하면서도 자유로운 인터넷을 막고 있음
  • 기기 설정에서 부모가 비밀번호로 잠글 수 있는 IP 필터 기능이 훨씬 효과적이고 구현도 쉬움
    이런 게 기본 옵션이 되어야 하는데, 이상하게도 논의조차 안 됨
    아이 보호 명목의 인터넷 검열법은 원칙적으로 잘못된 접근임
    부모가 자녀 교육을 책임져야지, 정부가 대신할 일이 아님
    이런 법은 결국 감시 사회로 가는 문을 열어줌
    • 의도와 상관없이 이런 법은 ‘보호’라는 명분 아래 대규모 감시를 가능하게 함
    • ‘아이 보호’는 명분일 뿐, 실제 목표는 정보 통제
    • 애초부터 목적이 감시였음
      문제는 이런 정책 입안자들이 자신을 권위주의자라 생각하지도 않는다는 점임
      탐욕과 무지, 그리고 윤리 결여가 합쳐져 결국 파시즘으로 흘러감
    • 부모가 통제권을 가지는 게 맞지만, 많은 부모가 실제로는 시간을 들이지 않음
      어떤 법으로도 그 현실은 바꿀 수 없음
    • IP 차단은 현실적이지 않음
      Cloudflare, CloudFront, Amazon, Google IP 대역을 막으면 남는 게 없음
      IP 차단보다 나은 방법이 있음
  • 1990년대 강력 암호화 금지 시도가 떠오름
    정부는 마약상과 아동범죄자가 암호화를 쓴다고 주장하며 HTTPS를 약한 암호로 제한하려 했음
    결국 지금과 같은 선전 논리가 반복되고 있음
    • Clipper Chip 사례가 대표적임
    • 결과적으로 그들은 범죄자들이 평문 이메일로 대화할 만큼 대담할 줄 몰랐던 것 같음
  • 위스콘신이 VPN을 완벽히 차단하는 법을 알아내면, Netflix나 Akamai에도 가르쳐줄 수 있을 듯함
    현실적으로는 지오블로킹은 어느 정도 되지만 VPN 차단은 거의 불가능함
    친구는 NordVPN이 막히면 IP를 몇 번 바꾸면 항상 접속된다고 함
    • 완벽히 차단할 필요는 없음
      살인도 완전히 막지 못하지만 불법이듯, VPN 금지법도 그럴 수 있음
    • 인터넷을 자기들 상상대로 만들려는 사람들을 보는 느낌임
      덕트테이프로 인터넷을 붙잡으려는 시도 같음
    • 정부처럼 네트워크를 통제할 수 있는 주체라면 얘기가 다름
      중국은 최근 VPN 차단을 꽤 잘하고 있음
      하지만 헌법 같은 제약이 없다면 가능하겠지
    • VPN 차단은 고양이와 쥐의 게임
      AWS WAF도 2020년에 VPN IP 차단 기능을 추가했음
      AWS WAF 업데이트 링크
    • 실제로 많은 사이트가 VPN을 막고 있음
      NordVPN에 가입해서 IP를 직접 확인하면 되니까, 그리 어려운 일은 아님
  • 서구 ‘민주주의’의 느린 붕괴와 글로벌 사우스의 부상을 보고 있음
    서방 지도자들은 공황 상태에 빠져 있고, 바이든과 트럼프 모두 약해 보임
    개인 차원에서는 가족, 친구, 평생 학습, 영성, 생산적 노동, 지역사회 지원 등으로 내적 강함을 키워야 함
  • SSH 터널을 쓰면 VPN보다 간단함
    결국 libssl, libcrypto 같은 라이브러리를 규제해야 하는데, 말이 안 됨
    ‘개인 키 쌍 무단 사용죄’로 감옥에 가게 될지도 모름
    • 그건 네가 가난하거나 정치적 적으로 분류될 때만 가능함
      ‘작은 정부’는 어디로 갔는지 모르겠음
    • 터널링은 암호화 기능이 아니라, 암호화가 탐지를 어렵게 만드는 것임
      HTTP, Telnet, DNS, SMS 등으로도 터널링이 가능함
    • 성인이라면 합법적 콘텐츠를 다른 방식으로 접근하는 것뿐임
      이런 법은 아이들이 우연히 유해 콘텐츠를 보지 않게 하려는 목적임
      VPN을 직접 구독하거나 SSH 서버를 운영할 정도면 이미 자율적 판단이 가능한 나이임
  • 나이 인증을 위해 너무 많은 개인정보를 요구함
    이름, 주소, 서명, 얼굴 등은 필요 없음
    단지 ‘21세 이상’임을 증명하면 충분함
    프라이버시 친화적인 인증 방식이 있다면 이런 법도 덜 반감을 살 것임
    • 실제 목적은 나이 인증이 아니라 데이터 수집과 통제일 가능성이 큼
  • 이런 정책을 보면, 아무도 진짜로 통제권을 쥐고 있지 않다는 생각이 듦
    나라 전체가 그냥 흐름에 떠밀려 가는 느낌임
  • 민주국가들이 권위주의 국가의 법을 5년 늦게 복사하는 게 웃김
    • 이런 흐름은 미국 정치에서 반복되어 왔음
      Comstock 법, CDA, 약한 암호화 강제, 그리고 Clipper Chip 같은 사례들이 있었음
      권위주의는 국적과 상관없이 어디서든 나타날 수 있음
    • 중국의 Great Firewall은 2003년에 생겼지만, 영국은 아직 그런 방화벽이 없음
      시차가 더 긴 셈임
    • 단순한 시차가 아니라, 그들이 점점 권위주의로 변해가는 중일 수도 있음
    • 웃긴 게 아니라, 정말 끔찍한 일
답변달기