- 영국 의회의 Online Safety Bill은 House of Lords 통과 전 마지막 단계에 있으며, 메시징 서비스에 백도어를 강제할 수 있어 전 세계 이용자의 프라이버리에 영향을 줄 수 있음
- 법안의 핵심 충돌 지점은 아동학대·테러 관련 콘텐츠 탐지를 위한 메시지 스캔 요구가 종단간 암호화와 양립하기 어렵다는 데 있음
- WhatsApp, Signal, Element 등은 2023년 4월 공개서한에서 개인 메시지에 대한 일상적·일반적·무차별 감시로 이어질 수 있다고 경고했고, Apple도 6월 반대에 합류함
- 영국 정부는 클라이언트 측 스캔으로 안전과 프라이버리를 함께 지킬 수 있다고 하지만, EFF는 암호화 백도어가 선의의 목적에만 쓰일 수 없다고 반박함
- 종단간 암호화를 보호하는 수정안이 없으면 적대적 환경에서 일하는 인권 활동가, 언론인, LGBTQ+ 이용자처럼 비공개 메시징에 의존하는 사람들이 직접 위험을 떠안게 됨
Online Safety Bill이 암호화에 주는 압박
- 영국 의회는 광범위한 인터넷 규제 법안인 Online Safety Bill을 추진 중이며, 현재 House of Lords 통과 전 마지막 단계에 있음
- 이 법안은 영국 정부가 메시징 서비스에 백도어를 강제할 수 있는 권한을 부여해 종단간 암호화를 무너뜨릴 수 있음
- 법안의 가장 위험한 요소를 완화하는 수정안은 아직 받아들여지지 않았음
- EFF는 법안이 영국 안에 그치지 않고 전 세계 프라이버리와 민주주의에 후퇴를 가져올 수 있다고 경고함
인터넷 규제 범위와 핵심 쟁점
- Online Safety Bill은 4년 이상 된 “online harms” 백서에서 출발했으며, 매우 광범위한 인터넷 규제로 다뤄짐
- 요구 사항에는 콘텐츠 필터링, 성인 콘텐츠 접근을 위한 연령 확인, 정부에 제출하는 온라인 활동 상세 보고가 포함됨
- 그중에서도 종단간 암호화를 깨뜨릴 수 있는 메시지 스캔 권한이 가장 치명적인 쟁점으로 꼽힘
메시지 스캔은 종단간 암호화와 충돌함
- 사적인 대화는 기본적 인권이며, 디지털 환경에서 이를 실현하는 가장 강한 기술적 수단은 종단간 암호화임
- 정부가 승인한 메시지 스캔 기술을 강제하면, 메시지를 송수신자만 읽을 수 있게 하는 암호화 모델과 충돌함
- 암호화 백도어가 “좋은 사람”에게만 쓰이는 방식은 없다는 것이 EFF의 핵심 반박임
- 암호화를 금지하는 방식
- 기업이 암호화에서 물러나도록 압박하는 방식
- 클라이언트 측 스캔을 요구하는 방식 모두 악의적 행위자와 권위주의 국가에 이익이 될 수 있음
기업·시민사회가 낸 경고
- 영국 정부는 아동학대나 테러 관련 콘텐츠를 찾기 위해 모든 온라인 메시지를 스캔할 권한을 원하면서도 이용자 프라이버리를 보호할 수 있다고 말함
- EFF는 두 목표를 동시에 만족시키는 방식은 불가능하다고 반박함
- 영국 시민사회 단체, 기술 전문가, 전 세계 인권 단체도 이 법안을 비판함
- WhatsApp, Signal, 영국 기반 Element 등 암호화 메시징 제공사는 2023년 4월 공개서한에서 OSB의 위험을 경고함
- 법안이 종단간 암호화를 깨뜨릴 수 있음
- 친구, 가족, 직원, 임원, 언론인, 인권 활동가, 정치인의 개인 메시지까지 일상적·일반적·무차별 감시 대상이 될 수 있음
- Apple은 2023년 6월 반대 흐름에 합류하며, 법안이 암호화를 위협하고 영국 시민을 더 큰 위험에 놓을 수 있다고 공개적으로 밝힘
영국 정부가 내세운 기술적 논리
- 영국 문화·미디어·스포츠 장관은 House of Lords에 보낸 답변에서, 종단간 암호화 플랫폼에서도 메시지를 스캔하면서 프라이버리를 유지할 수 있다는 입장을 반복함
- 답변은 기업들이 이전에도 종단간 암호화 플랫폼용 솔루션을 개발한 적이 있으며, Ofcom이 그런 기술 사용을 요구할 수 있어야 한다고 밝힘
- 즉시 쓸 수 있는 솔루션이 없을 때는 정부가 기술 탐색을 주도하는 것이 옳다는 입장도 담김
-
Safety Tech Challenge Fund
- 영국 정부가 이용자 프라이버리를 보호하면서 파일을 스캔한다고 주장되는 소프트웨어 개발을 위해 소액 보조금을 지급한 프로그램임
- 수상작 프로토타입 설명에는 암호화 채널로 파일을 보내기 전에 AI로 파일을 살펴보는 여러 형태의 클라이언트 측 스캔이 담겨 있음
- EFF는 기술기업이 이용자를 지키는 “마법 같은 백도어”를 만들지 못하면 더 열심히 기술을 개발하라는 식의 오류가 반복된다고 봄
아직 가능한 수정안과 영향을 받는 사람들
- 영국 의원들은 대규모 감시로 이어질 수 있는 결정을 막을 기회를 아직 갖고 있음
- House of Lords의 위원회 단계나 보고 단계에서 종단간 암호화는 충분히 검토되고 표결되지 않았음
- Lords는 개인 메시징을 보호하고 종단간 암호화가 약화되거나 제거되지 않도록 명시하는 단순 수정안을 추가할 수 있음
- EFF는 영국 시민사회 단체들과 함께 2023년 7월 House of Lords에 브리핑을 보냈음
- 현 법안의 암호화 관련 문제를 설명함
- 종단간 암호화를 보호하는 수정안 채택을 제안함
- 수정안이 채택되지 않으면 적대적 환경에서 일하기 위해 비공개 메시징에 의존하는 인권 활동가와 언론인, 자유로운 표현을 위해 프라이버리에 의존하는 LGBTQ+ 이용자 등이 대가를 치르게 됨
여론과 참고 문서
- EFF는 보편적 스캔과 감시가 영국 시민들이 원하는 방향이 아니므로 의회가 법안을 거부해야 한다고 봄
- 최근 영국 시민 대상 설문에서는 83%가 Signal, WhatsApp, Element 같은 메시징 앱에서 가능한 최고 수준의 보안과 프라이버리를 원한다고 응답함
- 관련 문서:
- U.K. Online Safety Bill에 대한 EFF 정보 페이지
- OSB가 표현의 자유와 암호화를 공격하는 방식 — 2022년 8월 EFF Deeplinks
- 영국 Online Safety Bill 초안의 표현의 자유 우려 — 2021년 7월 EFF Deeplinks
- Online Safety Bill에 대한 시민사회 공개서한 — 2022년 11월
- 암호화 메시징 제공사의 공개서한 — 2023년 4월
- EFF와 협력 NGO의 House of Lords 브리핑 — 2023년 7월
댓글과 토론
Hacker News 의견들
-
영국 정부는 인터넷에 국경이 없고, 전체주의 정권 수준의 극단적 제한 없이는 국경을 만들 수 없다는 점을 반복해서 이해하지 못함
폭넓은 국제 공조 없이 조치를 밀어붙이면 엄청난 수의 사람을 인터넷의 더 어두운 구석으로 몰아넣고, 목표를 완전히 무너뜨릴 뿐 아니라 문제를 더 악화시킬 것임
Meta만 해도 이 법을 처참한 실패로 만들 힘이 있음. 사람들은 WhatsApp을 쓰고 싶어 하고, 정부 자신들도 광범위하게 사용함. Meta가 거부하면 정부가 할 수 있는 일은 거의 없음. Facebook은 영국에 직원 한 명 없이도 운영을 계속할 수 있고, 사업에 일부 타격은 있겠지만 충분히 가능함
정부가 Apple과 Google에 압박해 영국 앱스토어에서 WhatsApp을 내리게 할 수는 있겠지만, 이런 지역 제한은 쉽게 우회되고 WhatsApp은 사람들이 시도해볼 만큼 충분히 인기 있음. 그러면 사이드로딩·탈옥·지역 제한 우회 같은 관행이 정상화되고, 사이버 범죄자들은 기회를 보고 손을 비빌 것이며, 막으려던 소아성애자와 테러리스트들도 그 흐름에 올라탈 것임- Apple은 이 법을 따르느니 영국에서 자사 시스템을 철수하겠다고까지 위협했음
https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov... - 중국에 가본 적이 있나? 인터넷에는 분명 국경과 경계가 있음. 때로는 몰래 넘거나 비자를 받을 수 있지만, 개별 국가는 자기 규칙을 만들고 대부분의 사람은 따르거나 아예 모른 채 지냄. 대형 다국적 기업도 좋은 표적이 되기 때문에 보통 현지 법을 따름
영국에서 이 법에 반대하는 기업들은 시장 철수를 위협하고 있음. 그건 영국 사용자가 법을 어기는 방법을 찾도록 돕는 게 아니라, 자사 서비스에서 영국 사용자를 차단한다는 뜻임 - 전체주의 정권이어도 나머지 세계가 암호화를 쓰는 건 막을 수 없음. 기업은 영국에서 철수할 수 있고, 영국은 국경 밖에 관할권이 없음
내가 종단 간 암호화 메신저 앱을 만든다면 영국 말을 들을 필요가 전혀 없음. 중국이 내게 지시할 수 없는 것처럼 영국도 마찬가지임. 중국이 원하면 내 앱을 차단할 수는 있지만, 차단은 그들의 몫이지 내 몫이 아님. 영국도 원하면 방화벽을 세우면 됨. 하지만 내가 영국에 발을 들이지 않는다면 앱을 바꿀 필요는 없음 - 극단적 제한이 왜 그들을 멈추게 하겠나? 그런 제한을 두는 데 아무 문제를 느끼지 않는 듯함
넓은 국제 공조가 없다는 걱정도 덜어도 됨. 다른 정부들도 똑같이 형편없고 같은 헛소리를 원함 - 영국 정부가 실행 불가능한 일을 밀어붙이는 건 예전에도 별로 신경 쓰지 않았음. 영국인으로서 가끔 ISP가 해적 사이트를 차단한 결과를 마주치는데, “이 사이트는 차단됨” 같은 문구가 뜨면 버튼 한두 번 눌러 다른 연결로 바꾸거나 VPN을 켜면 끝임
암호화 금지도 비슷하게 피하기 “어려울” 것 같음. 실제로 뭔가를 달성하기보다는 유권자에게 고상해 보이려는 목적에 더 가까워 보임
- Apple은 이 법을 따르느니 영국에서 자사 시스템을 철수하겠다고까지 위협했음
-
영국에 산다면 영국 정부와 의회 웹사이트에서 이 청원에 서명해주면 좋겠음: https://petition.parliament.uk/petitions/634725
현재 서명은 6,327명이고, 정부 답변을 받으려면 3,673명이 더 필요하며, 토론 검토까지 가려면 그 뒤로 90,000명이 더 필요함- 하원의원에게 직접 편지를 쓰는 편이 더 효과적임. 템플릿은 쓰지 않는 게 좋음. 이런 청원이 무시 이상의 결과를 낸 걸 아직 못 봤고, 훨씬 더 인기 있던 청원도 마찬가지였음
하원의원에게 보내는 편지도 거의 항상 형식적 답변으로 끝나지만, 그래도 최소한 신경은 씀. 아주 가끔은 템플릿이 아닌 답변을 받기도 함 - 서명 6천 명은 흥미로울 정도로 적고, 검색해도 중복 없는 청원이 하나뿐이라면 더 낮아 보임. 이런 청원을 큰 숫자로 끌어올리는 Facebook 대량 공유권에는 아직 이 사안이 많이 알려지지 않은 듯함
- 하원의원에게 직접 편지를 쓰는 편이 더 효과적임. 템플릿은 쓰지 않는 게 좋음. 이런 청원이 무시 이상의 결과를 낸 걸 아직 못 봤고, 훨씬 더 인기 있던 청원도 마찬가지였음
-
지금 영국 정부가 진심으로 싫음
현실이 마지막에 방망이를 휘두른다는 걸 법원이 확인한 뒤, 이 엉성한 법안들이 법정에서 무너졌으면 좋겠음
아마 그 안에는 앞으로 원주율을 4로 정한다는 조항도 있을 것 같음- 어떻게 법원이 무너뜨릴 수 있나? 영국 법원은 의회 법률을 무효화할 수 없고, 미국과 달리 법원이 의회 아래에 있는 구조라고 알고 있었음
- 현 정부만의 문제가 아님. 의회 전체와 여러 위원회가 정보·보안기관이 암호화는 나쁘다고 하면 그대로 따라가려는 분위기임
- Labour도 이것에 찬성하지 않나? 그렇다면 어차피 망한 셈임
- “현” 정부라고 하지만 이미 10년 넘게 집권 중임
-
우리 정부도 싫지만, 그들을 떠받치는 데 언론도 엄청난 역할을 함
모든 기술 기업이 함께 서서 서비스 접근 차단까지 준비해야 함. 영국에서 iMessage는커녕 WhatsApp 하나만 못 쓰게 돼도 어떤 일이 벌어질지 상상해보면 됨. 무책임하거나 안전하지 않은 것도 아님. 정부가 완전히 통제할 수 있는 SMS는 항상 남아 있음
이런 기업들이 경쟁자를 두려워할 필요도 없다고 봄. 이 서비스들은 너무 깊이 자리 잡아서 몇 주, 길어도 몇 달의 항의로는 아무것도 바뀌지 않음. 정부가 결국 굴복하면 복구는 쉽고, 수치도 금방 정상으로 돌아올 것임- 최근 Sun의 전 편집장 David Yelland 인터뷰를 봤는데, 영국 뉴스 미디어는 대체로 spads[1]로 일하는 것과 같은 소수 계층이 운영한다고 했음. 그러면 언론이 정부를 떠받친다는 말과 잘 맞음. 이제 언론과 정치가 동질적이고 촘촘한 공동체가 됐기 때문임
[1] https://www.theguardian.com/politics/2015/apr/19/spads-speci... - 맞음. WhatsApp 없는 영국은 반란 상태가 될 것임. 내가 아는 10대부터 노년층까지 모두 WhatsApp으로 생활을 꾸림. WhatsApp 부재만으로도 우리처럼 무기력하고 게으르며 시위 안 하는 사람들까지 거리로 끌어낼 만큼 충분함
- 최근 Sun의 전 편집장 David Yelland 인터뷰를 봤는데, 영국 뉴스 미디어는 대체로 spads[1]로 일하는 것과 같은 소수 계층이 운영한다고 했음. 그러면 언론이 정부를 떠받친다는 말과 잘 맞음. 이제 언론과 정치가 동질적이고 촘촘한 공동체가 됐기 때문임
-
이건 정말 터무니없이 어리석음. 훨씬 더 분열된 인터넷을 만들고, 모든 나라가 더 갈라지기 시작할 것이며, 서구/영국/미국 제품에 대한 신뢰도 잃게 됨
그러면 나머지 세계가 왜 계속 iPhone, MacBook, Google, Amazon 등을 쓰겠나. 대기업 모두가 잃는 매출 측면에서 막대한 비용을 치르게 될 것임
반면 필요한 일을 하면서도 프라이버시를 존중하고 기업에 불필요한 경제적 피해를 주지 않는 더 똑똑한 방법들이 있음. 다만 정부에 똑똑한 사람들이 있어야 가능한데, 정부는 그렇지 않은 사람들로 가득함
또 다른 측면은 대다수 개인에게 집행이 불가능하다는 것임. 우회 방법은 널렸고, 여러 기업은 영향받지 않는 지역이나 역외 지역에 회사를 세워 Viber, Skype, Google 등의 대안을 제공하기 시작할 것임. 이미 존재하는 것들도 있음- 인터넷이 더 갈라지는 게 앞으로의 미래라고 봄
-
이런 일이 벌어지는 동시에 영국은 모든 가정에 광섬유를 깔고 있음. 아주 외진 시골길에 사는 사람들 여럿이 나무 사이로 36x fibre COF215 인입 케이블이 걸리거나 진흙길 옆에 매설되는 걸 보고 있음
EE는 지난 10년대 말 1·2선 도시에서 LTE Cat16을 선도했고, iPhone X가 기가비트 트래픽 지원과 함께 출시되던 시기와 맞아떨어졌음. 곧 당신 근처 들판에서도 가능해질 것임. 모두에게 낮은 지연시간의 대역폭이 풍부해지려는 중임
이런 연결성이 있으면 누가 전송을 제공하고 누가 IP 연결성을 제공하는지 훨씬 더 창의적으로 나눌 수 있음. VPN은 이미 주류가 되고 있음. 긍정적인 방향처럼 들림. 인터넷은 피해를 우회해 라우팅하고, 무엇을 할 수 있고 없는지 제한하는 법도 트래픽을 Dublin이나 Amsterdam에서 종료시키면 “우회 라우팅”할 수 있음
문제는 영국 국민이 트래픽을 해외로 내보내는 게 정상화될수록, 영국 정부 정책의 길은 결국 다시 암호화와의 전면전 말고는 보이지 않는다는 점임 -
약 12명이 쓰는 암호화된 XMPP 서버를 운영 중임. 서버가 메시지를 저장하지 않는다는 점에서 완전히 일시적임. 오프라인이면 메시지를 놓치는 식이라 IRC와 비슷함
이 법이 나에게도 적용되나? 내 서버에 영국 사용자가 없도록 확인해야 하나?
서버를 만들 때는 이런 일을 전혀 예상하지 못했음. 강한 보안과 프라이버시 조치를 구현하는 건 진지하게 받아들여야 할 책임이라고 생각했음
사람들의 프라이버시를 훼손해야 한다면 서버를 운영할 의향이 없음. 프라이버시가 없다면 거대 기업 서비스에 있는 것과 다를 바 없음- 영국에 있지 않다면 영국 관할권 아래에 있지 않음
-
정부 교체가 도움이 될 거라는 말이 몇 개 보이는데, 이전 Labour 정부(1997~2010)는 Regulation of Investigatory Powers Act 2000을 도입했음: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
그 안에는 키 공개 규칙도 포함됨: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... 키 공개에서는 입증 책임이 뒤집혀 피고인이 키를 갖고 있지 않거나 복호화할 수 없음을 증명해야 하며, 당시 관심 있던 사람들 사이에서 꽤 논란이 됐음. RIPA III 조항의 실제 사용은 2007년에 시작됐음
같은 Labour 정부는 Interception Modernisation Programme도 추진했음: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Snowden 유출에서 나온 “mastering the internet”으로 기억할 수도 있지만, IMP 자체는 비밀이 아니었음. 그 일부를 법제화하려는 법안도 냈음: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... 이건 법이 되지는 못했음
Labour도 이 방향에 동의한다고 봄. 그리고 장관과 직접 일하거나 가까운 고위 공무원층은 미국 행정부처럼 바뀌지 않음. 이 법안이 현 의회에서 시간이 부족해 폐기되고 다음 정부가 이어받지 않을 가능성은 있지만, 같은 정당이 계속 집권해도 그런 일은 생길 수 있음. 그러나 이 발상은 어떤 형태로든 돌아올 것이고, 결국 법이 될 것 같음- Labour도 Suella Braverman이 도입한 시위 제한 법안을 되돌리겠다고 약속하지 않았고, 야당 부대표가 그 질문을 직접 받은 자리에서 “지금은 검토할 때가 아니다”라는 취지로 답했으니, 이 문제에서 진보적인 조치를 할 거라는 기대는 크지 않음
-
이걸 완전히 구현하려면 VPN, SSL/TLS, SSH, WebRTC를 포함해 엄청난 양의 소프트웨어와 프로토콜을 해체해야 함
다른 나라들은 영국만을 위해 이런 프로토콜이 약화되길 원하지 않을 것임. 결국 영국은 “거대한 방화벽”을 갖고 사실상 자기들만의 작은 인터넷을 만들게 되며, 기술에 밝은 사람들은 중국에서처럼 구멍을 뚫고 다닐 것임- 영국의 역할이 이랬으면 좋겠음: “실수: 당신 삶의 목적은 다른 이들에게 경고가 되는 것뿐일 수도 있습니다”
https://despair.com/products/mistakes
- 영국의 역할이 이랬으면 좋겠음: “실수: 당신 삶의 목적은 다른 이들에게 경고가 되는 것뿐일 수도 있습니다”
-
얼마나 많은 회사가 법을 따르기보다 영국을 차단할지 궁금함. 분명 0은 아닐 것임
- WhatsApp(Meta), Signal, Apple이 있음
https://www.politico.eu/article/uk-ministers-lock-horns-with... - 영국 사용자를 꼭 차단해야 하나?
잠재적 법적 문제에서 벗어나기 위해 영국 내 사업 거점만 없애면 되는 것 아닌가? - 이걸 구현하는 게 얼마나 불가능한지 깨닫는 순간 전체가 실패할 것임
- WhatsApp(Meta), Signal, Apple이 있음