캐나다의 Bill C-22는 지난해의 감시 악몽을 재포장한 버전

 (eff.org)
1P by GN⁺ 22시간전 | ★ favorite | 댓글 1개
  • 캐나다의 Bill C-22는 Bill C-2의 일부 문제를 손봤지만, 디지털 권리 약화라는 핵심 우려는 대부분 남아 있음
  • Bill C-22는 통신사와 메시징 앱 같은 디지털 서비스에 메타데이터를 1년간 기록·보관하도록 강제할 수 있음
  • 공공안전부 장관은 기업에 법집행기관 접근용 감시 백도어 생성을 요구할 수 있고, 기업은 명령 존재도 공개할 수 없음
  • “시스템적 취약점”과 암호화 정의가 불명확해 앱뿐 아니라 운영체제까지 암호화 우회 요구 대상이 될 수 있음
  • 영국의 Apple Advanced Data Protection 철회와 2024년 Salt Typhoon 해킹은 백도어 위험이 현실적임을 드러냄

Bill C-22의 핵심 변화와 우려

  • 캐나다 정부는 지난해 “국경 보안” 명목으로 디지털 권리를 약화시킬 수 있는 Bill C-2를 추진했지만, 개인정보 보호 커뮤니티의 반발로 위원회 단계에도 가지 못함
  • 새 법안인 Bill C-22, 즉 The Lawful Access Act는 일부 문제 요소를 조정했지만 대체로 Bill C-2와 같은 우려를 남김
  • Bill C-22는 통신사, 메시징 앱 등 디지털 서비스가 메타데이터를 1년 동안 기록하고 보관하도록 강제할 수 있음
  • Bill C-22는 미국을 포함한 외국 정부와의 정보 공유도 확대함
  • 메타데이터는 누구와 소통하는지, 어디에 가는지, 언제 그렇게 하는지를 드러낼 수 있음
  • 메타데이터 수집 확대는 기업이 지금보다 더 많은 사용자 정보를 저장하게 만들고, 악의적 행위자가 그 정보에 접근하려는 유인도 키움

백도어와 암호화 약화 위험

  • Bill C-22의 핵심 문제는 공공안전부 장관이 기업에 서비스 백도어 생성을 요구할 수 있는 메커니즘을 제공한다는 데 있음
  • 이 요구는 법집행기관이 데이터에 접근할 수 있도록 하는 것이며, “시스템적 취약점(systemic vulnerability)”을 도입하지 않는다는 조건이 붙음
  • 이런 광범위한 감시 백도어는 이미 발생하는 데이터 침해를 더 늘릴 가능성이 큼
  • Bill C-22는 기업이 이런 명령의 존재 자체를 공개하는 것도 금지함
  • C-22에서 “시스템적 취약점”과 “암호화(encryption)”의 정의는 충분히 명확하지 않음
  • 정의가 불명확하면 정부가 기업에 암호화 우회를 요구할 여지가 생김
  • 법안의 지나치게 넓은 정의는 앱뿐 아니라 운영체제까지 포함할 수 있음
  • 캐나다 당국자들은 시스템적 취약점을 만들지 않고도 감시 기능을 추가할 수 있다고 봤지만, 암호화된 통신 감시는 근본적으로 시스템적 취약점임

영국 Apple 사례와 기업·미국 의회의 반대

  • Bill C-22의 구조는 지난해 영국 정부가 Apple에 선택 기능인 Advanced Data Protection 백도어 구현을 요구한 상황과 닮아 있음
  • 영국 정부는 Apple에 이런 유형의 백도어를 구현하라고 요구했고, Apple은 요구를 따르는 대신 영국 사용자에게 해당 기능을 철회함
  • 영국 사용자는 지금도 iCloud에 저장된 데이터를 더 강하게 보호하는 이 개인정보 보호 기능에 접근할 수 없음
  • Meta와 Apple은 C-22가 캐나다 정부에 비슷한 권한을 줄 수 있다고 우려하며, 두 회사 모두 법안에 반대함
  • 미국 하원 법사위원회와 외교위원회도 캐나다 공공안전부 장관에게 공동 서한을 보내 암호화 시스템 백도어에 대한 우려를 전달함

백도어 위험은 이론이 아님

  • 이런 백도어의 위험은 추상적인 가능성에 그치지 않음
  • 2024년 Salt Typhoon 해킹은 인터넷 서비스 제공업체가 법집행기관에 사용자 데이터 접근권을 제공하기 위해 만든 시스템을 악용함
  • 이런 시스템을 만들면 해커가 찾아오게 됨

결론과 추가 자료

  • 캐나다인은 강력한 개인정보 보호, 기업의 사용자 데이터 처리 방식에 대한 투명성, 암호화된 데이터에 대한 명확한 보호 장치를 받을 필요가 있음
  • Bill C-22는 이런 보호를 제공하지 않고, 기술 기업의 디지털 영역에 더 깊이 들어가 광범위한 합법적 접근 메커니즘을 만들려 함
  • Full text of C-22: C-22 전문
  • Canadian Civil Liberties Association statement and letter: Canadian Civil Liberties Association 성명과 서한
  • Open Media blog on C-22: C-22에 대한 Open Media 블로그
  • EFF’s blog on bill C-2: Bill C-2에 대한 EFF 블로그

함께 보면 좋은 글 β

GN⁺ 22시간전  [-]
Hacker News 의견들

  • 의무 데이터 보관암호화 백도어 요구 때문에 Signal, WhatsApp, iMessage, Matrix 같은 암호화 메시징 서비스들이 캐나다인과 캐나다 기업을 서비스에서 차단하게 될 것임
    캐나다에 살거나 이 법안의 영향을 받는다면, 지역 하원의원과 캐나다 공공안전부 장관에게 이 법안을 거부하라고 요구해야 함
    CCLA는 일주일 조금 전에 Bill C-22 관련 정보를 여기에 공개했음: https://ccla.org/privacy/coalition-to-mps-scrap-unprecedente...
    Bill C-22의 포괄적 메타데이터 보관과 암호화 백도어 요구는 유럽연합에서는 불법임
    지역 하원의원과 다른 정부 인사에게 이 끔찍한 법안을 현 형태로 거부하라는 이메일을 쉽게 보낼 수 있는 도구들도 있음: Internet Society 도구 https://www.internetsociety.org/our-work/internet-policy/kee..., OpenMedia 도구 https://action.openmedia.org/page/188754/action/1, ICLM 도구 https://iclmg.ca/stop-c-22/
    캐나다 공공안전부 장관 Gary Anandasangaree(gary.anand@parl.gc.ca)와 법무부 장관 Sean Fraser(sean.fraser@parl.gc.ca)에게도 이메일 보내는 것을 추천함

    • 지역 하원의원과 장관에게 말해도 LPC는 늘 자기 뜻대로 밀어붙인다는 냉소가 듦

  • 인기 없는 말이겠지만, 정부가 전체주의적 면모를 드러낼 때 어느 정도는 좋게 보기도 함
    현실을 부정하던 사람들에게 경종이 되고, 내가 좋아하는 종류의 혁신, 즉 검열을 우회하는 기술을 촉진하기 때문임
    많은 사람은 아니겠지만 거대 중앙화 플랫폼에서 떨어져 나오는 분파들이 생길 것이고, 대개 큰일은 아니어도 완전히 무의미하지는 않으니 그 정도면 괜찮다고 봄
    과거 미국에서도 2000년대 초 John Ashcroft 법무장관과 9/11 공포를 이용하던 시기에 비슷한 일이 있었고, 그 무렵 새 프로토콜과 애플리케이션이 많이 나왔음

    • 일단 그런 정책 장치가 구현되면 되돌릴 수 있는지 의문임
      정부 안의 모두가 그 장치를 받아들이는 것처럼 보이고, 아마 지출과 지인·가족이 얽힌 정부 계약업체의 이익 때문일 것 같음
    • 모든 전체주의 국가에서 의미 있는 반검열 혁신은 거의 없다는 걸 알아야 함
      불장난을 하는 셈이고, 불장난의 끝은 구석의 먼지나 마음에 안 드는 고장 난 장난감만 타는 게 아니라 좋아하는 것까지 전부 재가 되는 것임

  • 법안은 계속 다시 가져오면 결국 통과됨

    • 맞음, 올해 실패하면 내년에 새 이름으로 다시 돌아올 것임
      한 번만 통과시키면 되고, 우리는 매번 반복해서 막아야 함
    • 입법 절차에는 체크 밸브가 있음
      통과될 때까지 투표하고, 한 번 통과되면 다시는 되돌릴 수 없음
    • 이제 과반이 있으니 정부가 발의하면 확실히 통과될 것임
    • 이런 시도로 선거에서 쫓겨나지 않는다면 계속될 것임
      안타깝게도 기본권을 파괴하는 것만으로는 부족하고, 유권자가 반응하려면 노년층 재산세 인상 같은 정말 터무니없는 일을 해야 하는 듯함

  • 지난 몇 주 동안 HN에서 디지털 권리에 나쁜 일들이 많이 보였음
    연령 확인 압박이 더 강해지고, 종단 간 암호화 공격이 있고, 이제 이것까지 나옴
    시기상 이유가 있는지 궁금함. 월드컵이 다가와서 사람들이 산만해질 때를 노린 걸지도 모름

    • 그중 일부는 Meta, 정확히는 Zuck이 연령 확인 책임을 플랫폼이 아니라 운영체제에 지우도록 입법자들에게 로비하면서 선수를 치려는 흐름임
    • 엔지니어와 월드컵 팬의 교집합이 생각만큼 크지는 않을 것 같음
    • https://www.bbc.com/news/articles/c9q3x19ddl7o가 의도치 않게 이 상황을 잘 요약한 기사일 수도 있음
    • 내 고향에서는 월드컵 공간을 만들려고 인권을 짓누르고 있음
      이건 연막이 아니라 정당화 명분임
      https://www.pivotlegal.org/city_of_vancouver_s_new_fifa_byla...

  • EFF 쪽에서 이걸 보고 있다면, 그 글의 프랑스어 번역을 제공해 주면 좋겠음
    내 하원의원에게 보내고 친구와 가족에게도 공유하고 싶음
    이걸 막으려면 대규모 움직임이 필요함

  • 이게 왜 더 큰 뉴스가 아닌지 모르겠음

    • 피로감 때문임. 같은 걸 계속 제안하고 있음
    • 캐나다 언론은 자유당 정부로부터 수십억 보조금을 받고, 그 대가로 눈에 띄는 편향을 보임
      특히 Mark Carney 체제의 현 정부를 비판하는 데 어려움을 겪고 있고, 언론계 내부와 CBC에서도 그런 점이 지적된 바 있음
      이 법안은 방어가 불가능하니 많이 보도하지 않는 것임
      현재 집권당보다 야당 이야기를 더 하고 싶어 함

  • 이런 일은 그걸 추진한 정치인과 공무원의 경력이 망가질 때까지 계속 튀어나올 것임
    멈추려면 조직화해서 행동해야 함

  • 캐나다 정부가 이런 법을 만들려는 동기가 궁금함
    캐나다가 경찰국가가 되려는 것도 아닌데, 대부분의 경우 캐나다 정부는 꽤 느긋해 보임
    다만 코로나 시기에는 코로나 정책 집행에 지나치게 집착하긴 했음
    아니면 유럽식으로 “너희를 위한 것이고 국가는 너희를 돌볼 줄 안다”는 식의 사고방식인지도 모르겠음

  • 지난 6년간 이어진 온라인 검열·감시 법안들과 C-22가 보수당 정부에서 추진됐다면 대중의 반발이 훨씬 컸을 것임
    하지만 자유당이 하고 있고, 공모의 대가로 후한 보조금을 받는 주류 언론은 그냥 넘어가 줌
    이 권위주의적 법안의 진짜 목적이 아동 보호, 조직범죄 단속, 공공안전이라고 믿는다면 속고 있는 것임
    이 정부는 중범죄 의무 최소형을 없애고, 소아성애를 경범죄처럼 다루며, 반복 폭력범을 계속 보석으로 풀어주고, 시민권 취득 가능성에 영향을 줄 수 있으면 이민자를 유죄로 만들지 않으려 하며, 최소한의 심사로 수천 명의 테러리스트를 들여보냈고, 중국의 선거 개입도 공개적으로 용인해 왔음
    공공안전은 우선순위에서 한참 아래이고, 온라인 비판자를 침묵시키는 데는 매우 목말라 있음

    • 주요 정당들은 대개 동전의 양면일 뿐이고, 이게 좋은 예임
    • “언론이 정부가 아니라 야당을 공격하는 나라는 자유가 위협받는 나라다” - Peter Hitchens

  • 왜 이렇게 악을 행하려고 집요한지 모르겠음

    • 선거 책임성이 전혀 없기 때문임
      그리고 그런 상태를 고집하는 투표층은 영연방의 나쁜 부분을 여기로 들여오는 데 너무 집착해서, 당분간은 바뀌지 않을 것임
      그 영연방은 대개 반미주의를 핑계로 삼아, 미국 해안 지역의 문화적 사고방식을 약 5년 늦게 수입하고 지역 문화를 희생시킴
      미국 정치의 소음을 억제하는 미국식 제도는 들여오지 않고 미국 정치만 수입하면 이런 일이 벌어짐
    • 두 가지가 겹친 결과임
      첫째, 캐나다의 정부 정책 커뮤니티는 영국·호주·뉴질랜드의 입법 흐름에 크게 영향받는 경향이 있고, 이번 건은 영국의 잘못된 Online Safety Act를 거의 그대로 들여온 것이며 어떤 면에서는 더 나쁨
      둘째, 특히 2024년 Bykovets 판결을 비롯한 캐나다 대법원 판례들 때문에 캐나다 안보·정보기관은 데이터 수집이 완전히 묶였다고 느끼고 있음
      이 둘이 정부를 어두운 곳으로 이끌었고, 그들은 자신들이 선을 행한다고 생각하고 있음
    • 정말 심각한 시기임. 너무 빠르게 가속하고 있음
      이 모든 연령 확인과 감시가 엄청난 속도로 강화되고 있음
      동시에 개인용 컴퓨팅은 잔혹하게 파괴되고 있고, 소비자가 메모리와 저장장치에 접근하는 통로도 사라지고 있음
      너무 나쁨. 이런 사람들은 처벌받아야 함
      국가가 모든 디지털 시스템에 침투하고 보편적 감시를 구축하려는 세력이 지난 몇 년 사이 너무 멀리 와 버렸음
    • 정치적으로 성공할 수 있는 비악인의 가능성을 없애 버렸기 때문임
    • 보통은 돈 때문임
      새로운 디지털 봉건국가를 만드는 데 엄청난 돈이 걸려 있음
      일상적인 디지털 기술 대부분이 몇몇 강력한 독점 기업 손에 있으니, 실제로 이걸 해낼 기회가 있다고 느끼는 것임
답변달기