1P by GN⁺ | ★ favorite | 댓글 2개
  • 스위스가 감시법 개정을 추진하면서 VPN·메신저·소셜 네트워크까지 사용자 식별과 데이터 보관 의무 대상이 될 수 있고, Proton은 법 통과 시 스위스를 떠나겠다고 밝힘
  • 개정안은 모바일 네트워크와 인터넷 서비스 제공자에 한정된 현행 의무를 파생 서비스 제공자로 넓히고, 새로운 정보 유형 3가지와 감시 유형 2가지를 추가하려 함
  • Proton CEO Andy Yen은 이 법안이 프라이버시권의 중대한 침해이며, EU와 미국에서 불법으로 판단된 방식과 유사하고 유럽에서 비슷한 법은 러시아뿐이라고 비판함
  • 법이 시행되면 Proton Mail과 Proton VPN은 암호화 처리 방식과 엄격한 노로그 정책을 바꿔야 할 수 있으며, NymVPN도 같은 이유로 스위스 이탈 가능성을 언급함
  • 공개 협의는 2025년 5월 6일 끝났고, 정당·스위스 기업의 반발과 일부 주의 디지털 무결성 권리 논거가 정부 결정의 변수로 남아 있음

감시 의무 확대가 겨냥하는 서비스

  • 스위스의 감시법 개정안은 온라인 익명성과 암호화 보안을 약화시킬 수 있다는 우려를 낳고 있음
  • 모든 VPN 서비스, 메시징 앱, 소셜 네트워크에 사용자 식별과 사용자 데이터 보관 의무가 부과될 수 있음
  • 현재 이 의무는 모바일 네트워크와 인터넷 서비스 제공자에 한정돼 있음
  • Proton은 1억 명이 넘는 사용자 프라이버시를 지키기 위해 대응하겠다는 입장임
  • 스위스 기반 기업인 NymVPN도 정부 계획에 공개적으로 반대하고 있음

Proton이 “떠날 수밖에 없다”고 보는 이유

  • Proton CEO Andy Yen은 2025년 5월 13일 RTS 인터뷰에서 제안된 개정안을 프라이버시권의 중대한 침해라고 비판함
  • 개정안은 스위스의 평판과 국제 경쟁력에도 악영향을 줄 수 있다고 봄
  • Yen은 이 개정이 EU와 미국에서 불법으로 판단된 방식을 구현하려는 시도이며, 유럽에서 대략 동등한 법을 가진 국가는 러시아뿐이라고 말함
  • 개정안은 대상 서비스 제공자를 이른바 파생 서비스 제공자까지 확대하려 함
    • 새 조항은 새로운 정보 유형 3가지와 감시 유형 2가지를 도입함
  • 변화가 통과되면 Proton MailProton VPN은 암호화 처리 방식과 엄격한 노로그 정책을 수정해야 할 수 있음
  • Yen은 법이 러시아에서 현재 시행 중인 법과 거의 동일해지고, 스위스에 있는 Proton이 미국 기반 Google보다 덜 기밀성 있는 회사가 되는 상황은 사업 모델상 불가능하다고 말함

NymVPN도 같은 압박을 받음

  • VPN 분야의 신규 플레이어인 NymVPN은 초기부터 스위스 정부 계획에 반대해 왔음
  • Nym 공동창업자이자 COO인 Alexis Roussel은 새 감시 규칙이 시행되면 Nym도 스위스를 떠나겠다고 TechRadar에 밝힘
  • 두 회사 모두 새 규칙이 자사의 프라이버시·보안 인프라를 약화시키는 방향이라고 보고 있음

공개 협의 이후의 쟁점

  • 공개 협의는 2025년 5월 6일 종료됐고, 현재는 스위스 정부의 결정을 기다리는 단계임
  • Roussel은 정당들과 스위스 기업들에서 상당한 반발이 있었다고 밝힘
  • Geneva를 포함한 일부 주는 새 규칙에 반대하는 논거로 디지털 무결성 권리를 들었음
  • Roussel은 시민의 온라인 프라이버시와 데이터를 보호하기 위한 이 새 권리 도입 이니셔티브의 주요 발의자였음
    • 이 권리는 Geneva에서 2023년, Neuchâtel에서 2024년에 도입됨
    • 두 경우 모두 90%가 넘는 합의를 얻었음

Proton이 스위스에 남기 위한 조건

  • Yen은 더 낙관적인 가능성도 열어두면서, 새 법에는 더 균형 잡힌 접근이 필요하다고 봄
  • Bern이 Proton 같은 회사가 스위스와 전 세계에서 경쟁할 수 있게 하는 상식적인 규칙을 채택한다면, Proton은 스위스에 남아 계속 투자하겠다고 밝힘

댓글과 토론

개인 정보가 그나마 잘 보호되는 유럽에서조차 매년 이런 뉴스가 나오는 것 같네요.

Hacker News 의견들
  • 이 법 개정은 절차 초반의 Vernehmlassung 단계에서 이미 좌초됐고, 정치권 전반의 반대로 가능성이 없었음
    https://www.inside-it.ch/vupf-revision-faellt-in-der-vernehm...

    • 개정안이 지금은 “죽었다”고 해도, 스위스 정부가 핵심 프라이버시 보호를 허물 수 있다는 선례를 검토했다는 사실만으로도 그곳에 본사를 둔 프라이버시 중심 제공자의 위험 계산이 바뀜
      인프라를 비보관 원칙에 맞춰 설계했다면, 일시적으로 막힌 법안만으로도 다른 곳에서 미래 대비를 시작해야 한다는 신호임
    • 정부는 원하는 걸 얻을 때까지 10~20년이 걸리더라도 더 “부드러운” 버전으로 계속 시도할 것 같음
      결국 “아이들을 생각하라” 같은 식으로 정당화해도 놀랍지 않음
    • 이런 법안이 몇 년마다 계속 올라오지 못하게 막는 법을 왜 더 강하게 요구하지 않는지 이상함
    • Proton의 용기는 실탄도 없는 Glock 부품 앞에 있는 유아에게, 머리에 사과를 올리고 눈가리개를 한 수준으로 보임
      그냥 보여주기식 행동에 가깝다고 봄
  • Proton은 단순히 “스위스 프라이버시”를 마케팅한 게 아니라, 로그도 추적기도 소환할 데이터도 없는 비보관 설계를 실제 엔지니어링으로 구현했음
    스위스가 그 기반을 훼손한다면, 진짜 프라이버시를 만드는 쪽의 방어 가능한 선택지는 법이 기술 현실과 맞는 곳으로 떠나 다시 배치하는 것뿐임
    법이 통과되고 Proton이 떠난다면 중요한 건 보도자료가 아니라, 엔지니어들이 코드와 하드웨어 위치로 투표하는 일임

    • 공정하게 보면 ProtonMail은 “프라이버시 친화적 법제” 말고도 제공하는 게 많음
      무료 웹메일 클라이언트는 기능이 충분하고, 오래 검증됐고, 광고도 없음
      Proton Bridge, VPN 등도 있어서 주요 메일 제공자 중에서도 앞선다고 봄
      결국 개인의 위협 모델과 직접 구축하려는 의지에 달려 있고, 가장 큰 불만은 GPG와의 상호운용성이 나쁘다는 점임
      이보다 덜한 방식이 어떻게 종단 간 프라이버시에 도움이 되는지는 잘 모르겠음
  • TechRadar에서 브라우저 뒤로 가기를 누르자 “you may also want to read...” 같은 전체 화면 팝업이 떴음
    엔시티피케이션은 계속됨

  • 그럼 어디로 가나? 네덜란드나 스웨덴? 거기는 EU 규제가 적용됨
    세이셸이나 파나마로 가야 할 텐데, 서버는 어차피 다른 곳에 있어야 할 것임
    스위스가 안전한 피난처로 남지 못한다면 쓸모가 없어짐

    • 스웨덴은 사회민주주의와 더 강한 국가 통제의 전통 때문에 프라이버시를 싫어하는 편임
      https://www.techradar.com/vpn/vpn-privacy-security/a-dangero...
      종단 간 암호화 채팅을 금지하려 하고 EU에 관련 제안을 여러 번 가져간 것도 스웨덴 출신 EU 집행위원이었음
    • “이번 개정은 EU와 미국에서 불법으로 판단된 것을 구현하려는 시도다. 유럽에서 대략 동등한 법을 가진 나라는 러시아뿐이다”라고 Yen이 말했음
      그런 유형의 감시는 불법으로 보이니 유럽 어디로든 갈 수 있음
    • 해상 데이터센터, 시스테딩, 해적 라디오 같은 아이디어는 어떻게 됐나? 다시 꺼낼 때가 된 건가?
    • 프라이버시 서비스 제공자가 어디서든 로그를 보관해야 한다면, 파나마든 네덜란드든 화성이든 기술적 신뢰성을 잃음
      애초에 준수가 불가능하고 데이터가 기본적으로 존재하지 않는 시스템을 설계해야 할지도 모름
    • 노르웨이도 이런 서비스들이 자주 선택하던 목적지였음
  • 이건 누가 후원한 건가? 스위스인이 아닌 입장에서 찾은 최선은 다음 내용이었음
    SRF 일일 뉴스에서 연방 우편·통신 서비스 부국장 Jean-Louis Biberstein은 서비스 제공자 요구사항이 강화되는 게 아니라 구체화될 뿐이며, Threema 같은 회사는 개정 후에도 기존과 같은 의무를 진다고 말함
    하지만 Threema는 4월 말 성명에서 Vüpf 개정이 “기술적으로 필요한 만큼만 데이터를 수집한다”는 원칙을 포기하게 만들 것이라고 반박함
    여기서 Federal Post가 기관인지, 개인인지, 아니면 정보에 대한 권한을 얻으려는 스위스 정부 내 집단인지 궁금함

    • 번역이 직책을 제대로 옮기지 못한 것 같음
      이 정부 페이지 https://www.li.admin.ch/en/ptss를 보면 그 인물은 “Post and Telecommunications Surveillance Service”의 “Legal Affairs and Controlling” 부서를 맡고 있고, 이어서 그 부서가 하는 일을 설명함
    • 작은 논리적 질문인데, Proton이 아무것도 저장하지 않는다면 어떻게 메일을 전달할 수 있나?
  • “우리는 스위스를 떠나는 것 말고 선택지가 없을 것 같다”고 Yen이 말했는데, 어디로 가나?
    EU의 종단 간 암호화 백도어 계획에 대한 VPN 업계 반응인 “Weakening encryption would make European security worse”도 봐야 함
    https://www.techradar.com/vpn/vpn-privacy-security/weakening...

  • Proton CEO가 한 말을 그대로 지키는지 보겠음
    Proton이 떠나지 않으면 그의 말에 무게를 싣기 위해 내 유료 계정도 해지할 것이고, 스위스는 모든 온라인 서비스에서 차단 목록에 올릴 것임

  • 그러면 앞으로 내세울 차별점은 뭘까? “전 스위스 프라이버시”인가?

  • 또 하루가 가고, 또 한 명의 디지털 문맹 정치인이 디지털 세계를 규제하려 듦