1P by GN⁺ | ★ favorite | 댓글 1개
  • 미국 연방 수사기관이 두 건의 법원 명령으로 Google에 특정 YouTube 영상·라이브 스트림 시청자 정보를 요구하면서, 무고한 시청자까지 수사망에 들어갈 수 있다는 우려가 커짐
  • 켄터키 사건에서는 “elonmuskwhm” 사용자를 찾기 위해 보낸 YouTube 튜토리얼을 본 Google 계정 정보와 비로그인 시청자의 IP 주소가 요청됨
  • 뉴햄프셔 사건에서는 폭발물 위협 이후 경찰이 YouTube 라이브 스트림으로 감시됐다고 보고, 특정 시간대 8개 스트림을 시청하거나 상호작용한 계정 목록을 요구함
  • Google은 모든 법 집행 요청에 대해 법적 유효성과 사용자 프라이버시를 검토하며, 과도하거나 부적절한 데이터 요구에는 이의를 제기한다고 밝힘
  • 온라인 시청 기록은 정치 성향, 관심사, 종교적 믿음 같은 민감한 정보를 드러낼 수 있어, 법원 명령이 디지털 그물망 수사로 확장될 위험이 있음

특정 YouTube 시청자 정보를 요구한 두 건의 법원 명령

  • 미국 연방 수사기관은 법원 명령을 통해 Google에 특정 YouTube 영상과 라이브 스트림을 본 사람들의 정보를 제출하라고 요구함
  • 시민권 단체의 프라이버시 전문가들은 이 방식이 무고한 YouTube 시청자를 범죄 용의자처럼 다룰 수 있어 위헌적 과잉 수사에 가깝다고 우려함
  • 법원 기록만으로는 Google이 실제로 데이터를 제공했는지 확인되지 않음

켄터키 사건: “elonmuskwhm” 추적을 위한 시청자 정보 요청

  • 공개된 켄터키 사건에서 잠입 수사관들은 “elonmuskwhm”이라는 온라인 별칭을 쓰는 인물을 식별하려 함
    • 수사관들은 이 사용자가 현금으로 비트코인을 구매했으며, 자금세탁법과 무허가 송금 관련 규정을 위반했을 가능성이 있다고 봄
  • 1월 초 대화 중 잠입 수사관들은 드론 매핑과 증강현실 소프트웨어 관련 YouTube 튜토리얼 링크를 사용자에게 보냄
  • 이후 수사기관은 Google에 해당 영상들을 본 사람들의 정보를 요청함
    • 해당 영상들은 합산 3만 회 이상 조회됨
    • 요청 대상 기간은 2023년 1월 1일부터 1월 8일까지였음
    • Google 계정 사용자에 대해서는 이름, 주소, 전화번호, 사용자 활동을 요구함
    • 비로그인 시청자에 대해서는 IP 주소를 요구함
  • 수사기관은 이 기록이 진행 중인 범죄 수사에서 가해자 식별에 도움이 된다고 판단함

뉴햄프셔 사건: 폭발물 위협과 YouTube 라이브 스트림

  • 뉴햄프셔 포츠머스 경찰은 한 남성으로부터 공공장소 쓰레기통에 폭발물이 설치됐다는 위협을 받음
  • 현장 수색 뒤 경찰은 지역 사업체와 관련된 YouTube 라이브 스트림 카메라를 통해 자신들이 지켜지고 있었다는 사실을 알게 됨
  • 연방 수사기관은 미국 전역에서 비슷한 사건이 발생했으며, 폭탄 위협이 이뤄지고 경찰이 YouTube로 관찰되는 방식이었다고 봄
  • 수사기관은 Google에 특정 시간대 8개 YouTube 라이브 스트림을 “시청 및/또는 상호작용”한 계정 목록과 관련 식별 정보를 요청함
    • 여기에는 구독자 13만 명의 Boston and Maine Live가 올린 영상도 포함됨
    • 해당 계정 뒤의 회사 IP Time Lapse를 세운 Mike McCormack은 이 명령을 알고 있었고, 당시 카메라 화면을 겨냥한 swatting 사건과 관련됐다고 말함

Google의 입장과 공개되지 않은 부분

  • Google 대변인 Matt Bryant는 법 집행기관의 모든 요구에 대해 사용자 프라이버시와 헌법상 권리를 보호하면서 법 집행 업무를 지원하기 위한 엄격한 절차가 있다고 밝힘
  • 각 요구의 법적 유효성을 검토하고, 발전 중인 판례와 일관되게 판단한다는 것이 Google의 입장임
  • 과도하거나 부적절한 사용자 데이터 요구에는 반대하며, 일부 요구에는 전면 이의를 제기한다고 밝힘
  • 법원 기록만으로는 Google이 두 사건에서 실제로 데이터를 제공했는지 확인되지 않음
  • 법무부는 기사 발행 시점까지 논평 요청에 답하지 않음

프라이버시 전문가들의 위헌성 우려

  • 프라이버시 전문가들은 이 명령이 표현의 자유와 불합리한 수색으로부터의 자유를 보장하는 수정헌법 제1조와 제4조 보호를 약화할 수 있다고 봄
  • Surveillance Technology Oversight Project의 Albert Fox-Cahn은 정부 기관이 수색영장을 디지털 그물망으로 바꾸는 추세가 나타나고 있으며, 이는 위헌적이고 두렵다고 말함
  • Fox-Cahn은 YouTube 알고리듬이 띄운 콘텐츠를 봤다는 이유만으로 경찰 방문을 두려워해서는 안 된다고 말함
  • 그는 이 명령이 범죄 현장 인근 사용자 데이터를 요구하는 geofence warrant만큼 위축 효과가 크다고 봄
    • Google은 12월 업데이트를 통해 geofence 명령에 응답해 위치 정보를 제공하는 일을 기술적으로 불가능하게 만들겠다고 발표함
    • 그 전에는 캘리포니아 법원이 로스앤젤레스의 인구 밀집 지역 여러 곳을 포괄한 geofence warrant를 위헌이라고 판단함
  • Electronic Privacy Information Center의 John Davisson은 온라인에서 무엇을 보는지가 정치, 열정, 종교적 믿음 등 민감한 정보를 드러낼 수 있다고 말함
  • Davisson은 상당한 이유 없이 법 집행기관이 그런 정보에 접근하지 못할 것이라는 기대가 공정하지만, 이번 명령은 그 전제를 뒤집는다고 봄

댓글과 토론

Hacker News 의견들
  • 여기에는 서로 다른 사건들이 섞여 있음
    첫 번째처럼 경찰이 동영상을 올리고 시청자 정보를 요구한 건 정말 심각하고, 법원이 어떻게 그런 걸 허가할 수 있었는지 의문임
    다음 건 완전히 이해하진 못했지만, 스와팅 사건의 범인이 특정 카메라 생중계를 봤다고 의심되고 경찰이 시간대나 다른 특징 등 상당히 좁힌 조건을 제시한 것으로 보여 훨씬 더 정당해 보임

    • 둘 다 헌법적으로 조금이라도 허용될 수 있는지 이해가 안 됨. 적어도 헌법 정신에는 전혀 맞지 않음
      3만 번 시청된 동영상에 대한 정보를 요구했는데, 모든 사람이 그 영상을 10번씩 봤고 대상자가 실제 시청자 중 하나였다고 가정해도 — 그것도 명확하지 않지만 — 한 명을 찾기 위해 2,999명의 권리가 침해된 셈임
      Blackstone이 이와 관련해 할 말이 있을 것 같음[0]. 건국의 아버지들에게 큰 영향을 준 Blackstone 비율의 말 그대로 30배임
      이런 게 정당해 보이지 않음
      수정: 오타
      [0] https://en.wikipedia.org/wiki/Blackstone%27s_ratio
    • 경찰이 그 동영상을 업로드한 게 아님. 함정수사도 아니고, 동영상 내용 자체가 불법인 것 같지도 않음
      대신 대상자와 열린 소통 채널이 있었고, 그들에게 여러 YouTube 링크를 보낼 수 있었던 상황임
      경찰의 가설은 그 링크 전부 또는 대부분을 클릭한 사용자를 찾으면 아마 대상자일 가능성이 높다는 것임. 무작위 사용자가 우연히 그 영상들을 모두 봤을 가능성은 낮으니까
      다만 전체 시청자 원시 목록을 요구한 건 헌법 위반처럼 보임. 너무 광범위하고, 영상 하나만 본 사용자들에 대해서도 경찰에 너무 많은 정보를 줌
      하지만 Google이 대상 사용자를 식별하고 그 사용자 정보만 넘기는 훨씬 좁은 요청이었다면 헌법적으로 가능했을 수도 있어 보임
    • 이 구분에는 확실히 동의함
      한편으로는 많은 사람의 정보를 드러내는 좁은 영장도 헌법적으로 허용되어 왔음. 전형적인 예로 특정 날짜에 체크인했거나 등록된 모든 투숙객 이름을 모텔에 요구하는 영장이 있고, 여러 번 유지된 바 있음
      첫 번째 사건은 이상해 보임
    • rdrama 쪽 누군가가 FBI 피해자의 익명 Reddit 프로필을 공개 정보로 찾아냈고, 겉보기엔 IRS 탈세였던 것 같음: https://rdrama.net/h/slackernews/post/255754/google-ordered-...
    • YouTube에서 조금이라도 수상한 영상을 보면 보지 않는 게 좋겠음. 실제로 미끼로 심어둔 것일 수도 있음
      Google이 조금이나마 맞서는 건 좋음. 다만 미국인이 아닌 영국인에게도 그렇게 해줄지는 의문임, 아마 아닐 듯
  • “법원 명령에 따르면 정부는 Google에 해당 YouTube 영상을 본 모든 Google 계정 사용자의 이름, 주소, 전화번호, 사용자 활동을 제공하라고 지시했다”
    대형 기술/소셜미디어 회사들이 SIM 스와핑 공격이 많은데도 “보안을 위한 2단계 인증”이라며 전화번호를 고집하는 이유가 이걸로 좀 분명해졌으면 함
    VPN을 쓰고 있을 수 있고, 주소나 이름은 Google 계정에 없을 수 있지만 전화번호는 거의 확실히 있음. Android를 쓰면 더 나빠서 앱/브라우징 기록까지 뽑아낼 가능성이 큼

    • 다른 동기가 없다는 말은 아니지만, 정당한 보안 우려도 있음
      대형 제공자에게 크리덴셜 스터핑은 큰 문제이고, 2단계 인증 요구는 큰 완화책임. 표적 공격이라면 SIM 스와핑을 하겠지만, 일반적인 크리덴셜 스터핑보다 난이도가 크게 올라감
    • Google에서는 가상 WebAuthN 장치를 쓰면 피할 수 있음. 아이러니하게도 Chrome 개발자 도구로 가능하고, 이후 OTP URL용 QR 코드로 다중 인증을 등록할 수 있게 됨
    • 그게 그런 식으로 뭔가를 “분명히” 해주진 않음. Google이 요청받은 계정 일부의 전화번호를 갖고 있지 않다면, 법 집행기관에 대한 회신에서 그냥 그렇게 명시하면 됨
      YouTube의 모든 사용자 전화번호를 보유해야 할 법적 의무가 현재 Google에 있는 것도 아니고, Sundar가 그 때문에 감옥에 가는 것도 아님
      “10년 전 Google의 어떤 제품 관리자가 ‘언젠가 있을지 모르는 법 집행기관의 대량 감시 요청에 대비해 사용자 전화번호 데이터베이스를 만들고, 사용자에게는 보안을 위한 것이라고 하자’고 결정했다”는 식의 말은 생각해보면 꽤 터무니없는 음모론
    • “여러분, 우리는 사용자 이름, 주소, 모든 이메일, 브라우징 기록, 위치 기록, 연락처를 알고 있습니다… 그런데 핵심 정보가 빠졌네요! 전화번호요! 이걸 요구할 보안 명분을 누가 만들어볼 수 있나요?”
      — 그런 사람은 없었음
      제발 좀 생각해보길. 더 작은 조직이라 원래 이름과 이메일 정도만 갖고 있는 경우라도, 왜 전화번호를 원하겠음? 그들은 신원 식별에 관심이 없음. 설령 관심이 있어도 이미 이메일과 이름이 있음
      은박모자는 벗는 게 좋음
  • “법원 명령에 따르면 정부는 Google에 2023년 1월 1일부터 1월 8일까지 해당 YouTube 영상을 본 모든 Google 계정 사용자의 이름, 주소, 전화번호, 사용자 활동을 제공하라고 지시했다”
    흥미로운 여담으로, Viacom도 2008년에 YouTube를 초창기에 거의 망하게 만들 뻔한 소송에서 비슷한 광범위한 요청을 쓴 적이 있음[1]
    이번에는 정부가 요청하고 있고, Google은 잠재적으로 제공할 데이터가 훨씬 많음
    [1]: https://web.archive.org/web/20100702111029/http://afp.google...

  • 점점 익명성은 보장되지 않는다고 보는 쪽으로 기울고 있음. 모두가 내가 뭘 하고 누구인지 안다고 가정해야 할 듯함
    그러니 그냥 실명을 쓰고 온라인 활동을 훨씬 줄이는 게 나을 수도 있음
    아직 완전히 받아들인 건 아니지만, 피할 수 없어 보이는 느낌

    • 여긴 최고의 인재들이 모여 있고 대형 기술기업들도 찾아오는 기술 포럼임. 누군가 이 문제를 풀 수 있다면 바로 우리임. 우리가 포기하면 누가 바로잡겠음?
      내가 보기엔 선택지는 프라이버시와 익명성을 아주 쉽게 만드는 것뿐임. 기술자용이 아니라 기술에 익숙하지 않은 조부모도 쓸 수 있을 정도로 말임
      Signal처럼 사용자가 암호화를 의식하지 않아도 암호화를 얻을 수 있는 도구를 강하게 밀어야 함. 사람들은 프라이버시와 보안을 원하지만 방법을 모르거나 무엇이 데이터를 새게 하는지 이해하지 못함
      아이러니한 건, 이 문제를 만들어내는 산업이 바로 우리가 핵심적으로 참여하는 분야라는 점임
      난 아직 그 약을 삼킬 준비가 안 됐고, 꼭 그래야 한다고도 납득하지 못했음. 분명 우리는 뭔가 할 수 있음. 그런 것들을 만들지 않거나, 방어책을 만드는 것만으로도 가능함
      무관심은 이런 권위주의적 잠식을 지지하는 것과 다르지 않음. 실제로 그런 일이니까
    • 결국 얼마나 많은 단서를 남기느냐의 문제라고 봄
      JavaScript를 끈 브라우저에서 Tor로만 접속하는 HN 계정을 만들고, 글은 AI 편집 서비스에 한번 통과시킨다면 거슬러 추적하기 꽤 어려울 것임
      반대로 매일 16시간씩 자신을 스트리밍한다면 닉네임은 별 도움이 안 됨. 누군가 “어, 저 사람 알아”라고 하는 순간 비밀은 끝남
      결국 모든 것처럼 균형의 문제임. 누가 나를 노리고 있는지, 온라인에서 뭔가 하는 걸 얼마나 좋아하는지에 따라 달라짐
      숲속 오두막으로 들어가 하루 종일 소설만 쓰기 전에 스스로 물어볼 질문임. 물론 출판은 필명으로 해야 함
    • 여기서는 실용적인 것과 규범적인 것을 구분하는 게 중요함. 그렇지 않으면 받아들이는 순간 그게 더 흔해지는 피드백 함정이 생김
      즉 최악의 경우에 대비해 계획할 수는 있지만, 그것이 너무 흔하고 잘못됐으며 비정상적이라는 판단과 사회적 가치는 놓지 말아야 함
    • 고급 프라이버시 분야에서 일하는 사람이나 정부 밖으로 나온 사람에게 물어보면 결론은 명확함. Snowden식 조치를 하지 않거나, TailsOS 같은 걸 쓰지 않거나, 휴대폰을 어디에 어떻게 들고 다니는지와 브라우저 통제를 정말 재고하지 않는다면 이미 끝난 상태임
      추적과 그걸 수행하는 회사들은 믿을 수 없을 정도로 광범위하고 이기기 어려움. 예를 들어 그냥 스크롤로 지나친 브라우저 광고만으로도 충분히 지문을 만들 수 있음
    • 몇 년 전 Google 전 CEO가 정확히 그런 말을 했던 것 같음
      “누구에게도 알려지고 싶지 않은 일이 있다면 애초에 하지 말아야 할지도 모른다”
      이 말은 끔찍한 “숨길 게 없으면 두려울 것도 없다”식 발언으로 읽을 수도 있고, 현실 상태에 대한 괜찮은 경고로 읽을 수도 있음
  • 아직 모르는 사람이라면 Invidious를 확인해볼 만함: https://invidious.io/
    식별이 걱정된다면 아마 공개 인스턴스를 쓰고 싶을 텐데, 목록은 여기 있음: https://docs.invidious.io/instances/

    • 영상은 여전히 YouTube에서 제공됨. 내가 모르는 게 있을 수도 있지만, 이걸 YouTube에 대해 절대 익명성을 얻는 방법으로 가정하진 않겠음
  • 몇 년 전의 어느 정도 관련 있는 기사:
    Justice Department withdraws FBI subpoena for USA Today records ID'ing readers - https://news.ycombinator.com/item?id=27408647 - 2021년 6월, 댓글 174개

  • 경찰이 용의자를 찾기 위해 Google 검색을 훑었고, 첫 법적 도전에 직면함
    2022-06-30 https://news.ycombinator.com/item?id=31938350

  • 그 명령은 그저 예의 차원에 가까웠음. 미국 연방정부가 정말 뭔가를 원할 때, 어떤 회사가 맞서서 성공할 수 있을지 상상하기 어려움
    다른 주요 국민국가들도 비슷할 가능성이 큼. 중국 정부도 Google에 언제든 모든 데이터에 접근할 수 있음을 보여줘 협조를 끌어냈을 것 같고, 미국은 어떤 이유로든 언제든 전체 접근권을 받는다고 봄

    • Apple을 좋아하지 않음. 현재 연방정부가 제기한 소송도 응원하고 있음. iPhone을 가져본 적도 없고, Apple이 스스로 팔아온 만큼의 프라이버시 보루라고 보지도 않음
      그래도 공은 공대로 인정해야 함: https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_d...
    • 아니, 그렇지 않음. MUSCULAR를 알고 있음? Snowden 유출에 나왔던 것임
      기본적으로 Google이 NSA에 계속 꺼지라고 했고, 그래서 NSA가 구멍을 파서 광섬유를 도청해 데이터센터 간 평문 통신을 빼냈음. 당시엔 그 안에 중요한 내용이 꽤 많았던 듯함
      MUSCULAR 유출 몇 주 안에 모든 Google 데이터센터는 서로 적절한 SSL 종료를 거쳐 통신하게 됨
      Aurora도 알고 있음? 2009년에 중국 군부 조직이 Google에 침입해 알려진 반체제 인사들에 대한 정보를 뒤지던 사건임. 빠르게 축출됐고, 그 뒤 Google이 보안 수준을 끌어올린 정도는 정보보안 역사상 유례가 없을 정도임
      NSA나 여러 법 집행기관이 적법한 절차를 거치면 Google에서 정보를 받을 수 있고, 정보공유 협정의 일부로 가끔 Google 내부에서 데이터를 넘기는 정보기관 내부자도 소수 있을 수 있음
      하지만 NSA가 원하는 건 뭐든 Google에서 자유롭게 접근한다는 생각은 터무니없음
    • 그 근거가 뭐임? 미국 정부는 정말 원하는 것에 대해서도 실제로 매우 자주 거절당함
      수정: 게다가 이건 연방정부도 아니고, 주와 지방정부는 연방정부가 가진 얼마 안 되는 영향력보다도 더 약함
    1. YouTube에 영상을 올림
    2. 비공개로 만들되 링크가 있는 사람은 볼 수 있게 함
    3. 돈을 받고 나쁜 짓을 해줄 사람들로 가득한 수상한 지하 포럼에 올림
    4. 비공개 링크를 본 사람들을 추적하고 연결망을 만들어, 이 갈취와 절도 세계에서 누가 누구를 아는지 파악함
    5. 범죄자들에게 계속 하려면 YouTube조차 안전하지 않다는 메시지를 보냄
    6. 이득
      솔직히 위가 사실이라면 기쁠 수도 있음. 도둑과 갈취범을 진심으로 싫어해서 편향된 입장이긴 함