GN⁺: 프로톤메일, 사용자 데이터 공개로 스페인에서 체포 이어져

• 스페인 당국의 법적 요청과 관련하여 프로톤메일이 카탈루냐 독립 조직 민주쓰나미(Democratic Tsunami) 회원의 데이터를 공개했음. 이로 인해 해당 회원이 체포됨.

• 프로톤메일은 엔드투엔드 암호화와 엄격한 로그 미저장 정책으로 유명한 스위스 기반의 보안 이메일 서비스임. 2021년에도 프랑스 기후 운동가 체포와 관련된 법적 요청에 응했던 전력이 있음.

• 이번 사건의 핵심은 프로톤메일이 'Xuxo Rondinaire'라는 가명을 사용하는 개인의 계정에 연결된 복구용 이메일 주소를 스페인 경찰에 제공한 것임. 이 개인은 카탈루냐 경찰(Mossos d'Esquadra)의 일원으로 내부 정보를 민주쓰나미 운동에 제공한 혐의를 받고 있음.

• 스페인 당국은 프로톤메일로부터 받은 복구용 이메일을 토대로 애플에 추가 정보를 요청하여 해당 개인을 특정할 수 있었음. 이는 기술 기업, 사용자 프라이버시, 법 집행 기관 간의 복잡한 상호작용을 보여주는 사례임.

• 프로톤메일의 이번 요청 응대는 적절한 경로(스위스 법원 시스템)를 통해 공식화된 국제 법적 요구에 협조하도록 하는 스위스 법의 구속을 받음. 2022년에만 프로톤메일은 5,971건의 데이터 요청에 응했음.

OPSEC의 중요성

• 이번 상황은 엄격한 OPSEC(작전 보안) 유지의 중요성을 상기시켜줌. 복구 정보나 프라이버시 보호 수준이 낮은 2차 서비스(애플 계정 등)와의 연결이 잠재적 취약점이 될 수 있음을 인지해야 함.

• 프라이버시에 우려가 있는 사용자, 특히 민감하거나 정치적인 활동에 관여하는 사용자는 프라이버시 도구 사용 시 OPSEC을 최우선으로 고려해야 함.

• 개인 식별정보나 주요 업무와 직접 연결될 수 있는 복구용 이메일이나 전화번호 사용 자제, 익명성을 제공하는 일회용 이메일이나 가상 전화번호 사용 고려, IP 주소 숨기기 위한 VPN 사용, 익명 결제 수단 활용 등이 권장됨.

프로톤의 입장

• 프로톤은 이번 사건의 주요 내용을 확인하고, 애플로부터 얻은 데이터가 테러 용의자 식별에 사용된 사실은 프로톤이 최소한의 사용자 정보만 보유하고 있음을 보여준다고 언급함.

• 프로톤은 기본적으로 프라이버시는 제공하지만 익명성은 제공하지 않음. 익명성은 적절한 OPSEC을 위한 사용자의 노력이 필요함. 예를 들어 애플 계정을 선택적 복구 수단으로 추가하지 않는 것 등임.

• 프로톤은 복구용 이메일 추가를 필수로 요구하지는 않음. 이는 스위스 법원 명령에 따라 이론적으로 제공될 수 있기 때문임. 테러는 스위스에서도 불법임.

GN⁺의 의견

• 이번 사건은 사용자 프라이버시와 법 집행 사이의 균형을 맞추는 것이 얼마나 어려운 일인지 잘 보여줌. 국가 안보라는 명목으로 암호화된 통신 서비스의 한계가 드러난 사례라 할 수 있음.

• 프로톤메일의 입장에서는 스위스 법의 구속을 받을 수밖에 없지만, 이런 일이 반복되면 사용자들의 신뢰를 잃게 될 것임. 엄격한 로그 미저장 정책을 내세우면서도 매년 수천 건의 데이터 요청에 응하고 있다는 사실 자체가 모순으로 보일 수 있음.

• 민감한 활동에 연루된 사용자들은 이런 사건을 계기로 자신의 OPSEC 수준을 점검해 볼 필요가 있음. 아무리 보안이 강화된 서비스라도 복구용 이메일 등 2차 연결고리를 통해 신원이 노출될 위험이 있음을 잊지 말아야 함.

• 한편 법 집행 당국은 테러 방지라는 명분으로 과도하게 사용자 정보 제공을 요구하는 것은 아닌지 돌아볼 필요가 있음. 민주적 시위 활동과 테러를 구분하지 않는 태도는 감시 사회로 가는 지름길일 수 있음.

• 정부와 기업이 제공하는 프라이버시의 한계를 인식하고, 개인 차원의 OPSEC 노력을 게을리 하지 않는 것이 프라이버시를 지키는 최선의 방법일 것임. 이를 위해 VPN, 익명 결제, 일회용 이메일 사용 등 다양한 방안을 활용해 볼 수 있음.