GDPR는 의미 없었음: 채팅 감시로 EU의 프라이버시가 종말 맞음

 (youtube.com)
2P by GN⁺ 8일전 | ★ favorite | 댓글 1개
  • GDPR이 도입되었지만, EU 내 사생활 보호에 실질적 효과 없음
  • Chat control 정책을 통해 유럽 내 온라인 커뮤니케이션 감시가 시행됨
  • 사생활 약화와 함께 감시 기술 도입이 빠르게 진행 중임
  • 사용자 데이터 보호보다 정부의 인터넷 제어 우선 순위로 변화함
  • 이에 따라 유럽 기술 업계와 스타트업에 프라이버시 저하 우려 증가 추세임

GDPR의 한계와 채팅 감시 정책 도입

  • EU에서 GDPR(개인정보 보호법)을 시행하며 사생활 보호를 약속하였으나, 실제 온라인 프라이버시 보호 효과에 한계 존재함
  • 최근 Chat control로 불리는 정책이 도입되며, 유럽 내 주요 온라인 서비스 및 메신저 대화 내용에 대한 정부 차원의 감시가 확대됨
  • 이러한 정책은 아동 보호 등 공익 목적으로 홍보되었으나, 모든 사용자에 대한 메시지 스캔 등 광범위한 정보 감시로 이어짐

감시 강화와 프라이버시 영향

  • Chat control 정책에 따라 AI 기반 자동 필터링과 감시 솔루션이 적용되어, 개인 간 비공개 메시지 역시 분석 대상으로 포함됨
  • 데이터 보호를 위한 본래의 법적 틀과 달리, 공공의 안전이라는 명분 아래 개인 프라이버시 보호 약화 현상 나타남
  • 이로 인해 민간 기업 및 스타트업들도 서비스 구조 변화와 법적 준수를 요구받는 상황임

유럽 기술 및 스타트업 업계의 우려

  • 온라인 사생활 침해와 감시 강화가 유럽 내 혁신 환경과 스타트업 생태계 경쟁력에도 장기적인 영향을 미침
  • 많은 기업들이 고객 신뢰 저하 및 데이터 관리 부담 증가 문제를 겪고 있음
  • 궁극적으로, 개인정보 보호와 정부 통제 간 균형 논의가 IT 업계 핵심 이슈로 부상함
GN⁺ 8일전  [-]
Hacker News 의견

  • 누군가 개인적으로 숨길 게 없어서 Signal로 채팅한다고 하면, 나는 항상 그 사람에게 자신의 폰 잠금을 해제해서 내게 넘겨보라고 요청함. 이 농담을 해도 사람들이 잘 못 알아듣는 경우가 많음. (관련 글)

    • 이 논리는 잘못된 것임. 사람들은 정부와 서로를 신뢰하는 방식이 다름. 투표가 비밀인 것에도 이유가 있음. 만약 정부가 채팅과 소셜 네트워크만으로 국민의 투표 경향을 80% 이상 예측할 수 있고, 새로운 정당의 결성을 미리 알고, 친구들의 비밀까지 파악해서 언론에 흘리거나, 모호한 죄목으로 기소할 수 있다면, 우리는 정부를 실질적으로 변화시킬 수 있는 기회를 잃게 됨. 지식이 곧 힘임. 지금 힘의 균형이 개인에게 너무 기운 것처럼 느껴지는지 자문해 보기 바람
    • 나는 아예 개인적인 부분에서 벗어나서, 사람들이 가장 두려워하는 권력이 모든 비밀스러운 조율을 미리 알 수 있다고 생각해보라고 권함. 나 자신은 숨길 게 거의 없지만, 누군가는 비밀을 가질 수 있어야 한다고 간절히 바람. 그래야만 우리가 권력 남용에 더 효과적으로 저항할 수 있음
    • 만약 그들이 정말 폰을 내민다면, 그 다음엔 뭘 하려는 건지 궁금함. 사진이나 연인과의 대화를 뒤져보고, 뭐라도 찾아서 웃으려는 건지? 이런 상황이 현실에서 어떻게 이어질지 이해가 잘 안 감

  • 이런 정책을 도입하려면, 우선 5년 동안 모든 정치인과 공무원, 그 가족들, 심지어 자녀까지 대상으로 먼저 시험해 보아야 한다고 생각함. 보안 연구자들에게 그 시스템을 자유롭게 해킹할 수 있도록 허용해야 하며, 형사처벌은 없어야 함. 데이터에 접근한 기록은 모두 공개 블록체인에 가명으로 기록되어야 함. 5년 후에는 통계와 보고서를 공개해서, 얼마나 범죄가 줄었는지, 누가 왜 처벌받았는지 어려 로그와 함께 공개하고, 마지막엔 국민이 이 시스템 시행 여부를 투표로 결정하도록 하는 게 맞다고 봄

    • 이 제안의 문제는, 정치인들은 행동을 바꾸지 않을 것이라는 점임. 최적의 정치인은 도덕성이 없는 철저한 현실주의자이어야 하며, 연방적 민주주의에서 성공하려면 어쩔 수 없음. Chat Control을 적극 추진하는 로비 세력이 누군지 알아야 함. 언론이 이들의 비리를 파헤치고 널리 알려야 함
    • 이런 방식은 누구에게도 공정한 대우가 아니라고 생각함. 이런 전면 감시는 결국 모든 비밀, 불법이든 합법이든 다 드러나게 되어 심각한 피해를 주게 됨. 국가가 국민을 감시하는 걸 허용하는 순간, 그 국가는 존재하지 않았으면 하는 형태로 변화하게 됨. 감시 국가에서 좋은 결과는 기대할 수 없음
    • 이런 시스템이 있었다면 Ursula von der Leyen과 Pfizer 간 SMS도 볼 수 있었을 거라는 점에서 아이러니함
    • 진짜 문제는, 모든 범죄를 다 막거나 해결한다는 목표 자체가 자유에 있어 최악의 시나리오라는 것임. 저항 자체가 불가능해지므로, 결국 권력 남용과 독재로 무너질 확률이 0%가 아님. 실제로 독재에 저항한 수많은 혁명과 피비린내 나는 역사, 민주주의로의 전환이 얼마나 많은 폭력과 협박, 희생을 동반했는지 생각하면, 우리는 언제든 저항할 수 있는 권리와, 심지어 폭력과 증오를 조직적으로 이야기할 공간도 필요함. 이런 자유는 나쁜 사람도 이용할 수 있겠지만, 우리가 치러야 할 대가임

  • '채팅'이라는 말을 빼고 'Control'만 남기는 게 맞다고 생각함. 지금 논의되는 ChatControl 법안은 너무 애매해서, 온라인에서 공유나 동기화가 가능한 모든 서비스에 적용될 수 있음. 채팅, 이메일, 파일 공유, 투두 리스트 등 다 해당됨

    • 나는 ChatControl이 EU가 미국 NSA/Echelon 같은 은밀한 대규모 감시 시스템을 구축하는 데 실패한 결과물이라고 느낌. 유럽 검색엔진이나 클라우드처럼 실패했고, 결국 노골적으로 법을 만들어 밀어붙이려는 것임. 시행이 실질적으로 비효율적이길 바라는 마음임. 우리는 1984나 Brave New World에서 사는 게 아니라, 영화 Brazil처럼 '1985년 EU식' 디스토피아임
    • 사전적 의미로 따지면 wiretap(도청)도 있는데, 이젠 'wireless tap(무선 도청)'이라고 부르자는 의견임

  • 서구 민주국가의 사람들은 이 현상을 어떻게 받아들이는지 궁금함. 나는 거의 독재에 가까운 국가에서 살아왔기에 이런 통제가 당연하다고 느껴옴. 근데 EU와 미국은 다르다고 생각했음. 이런 뉴스들이 계속 나오는데도 별다른 반응이 없는 게 이해가 안 감

    • 시민단체, 프라이버시 단체, 법원, EU 의회 등에서 꽤 강한 반대가 있음. 비판 사례
    • 나는 미국에 살고 있고 나 역시 이 현상이 어이없음. 예전엔 인터넷 커뮤니티가 훨씬 더 디스토피아와는 거리가 먼 규제에도 강하게 반응했는데, 요즘은 아무리 상황이 나빠져도 모두 무덤덤함. 희생이 따르는 어떤 일에도 적극적으로 행동하는 사람이 줄었고, 나조차도 뭘 해야 할지 모르겠음. 얼마 전만 해도 SOPA 얘기하며 다들 분노했는데, 지금은 정말 다들 무감해진 느낌임
    • 서방에서는 주로 '아이들을 지켜야 한다'는 명목으로 여론 몰이를 많이 함. 소아성애, 마약, 자살, 자해, 사이버불링 등 미디어에 끔찍한 사례를 가져와서 반대 의견을 잠재우는 전략이 통용됨
    • EU와 미국은 분명 다름. 프라이버시는 주로 규정 준수와 민사소송을 통해 지켜짐. 예전에 일어난 3억 명 규모 데이터 유출사건의 경우도 건당 0.25달러 수준의 벌금이 부과되는 수준임. 대신 EU는 기업 정책 위반 등으로 훨씬 더 많은 벌금을 부과함. 예시로 아일랜드 DPC가 Facebook의 EU-미국 데이터 이전 위반에 12억 유로(약 1.3억 달러) 벌금을 부과한 적 있음. 관련 링크
    • 내 나라는 겨우 35년 전에 공산주의에서 벗어난 나라임. 내가 아는 사람들 중엔 모두가 해당 정책에 반대함. 큰 나라들이 다수를 내세워 결정하려는 시도가 계속 있었지만, 여전히 각국 모두 동의해야 하는 '만장일치 원칙'을 따름. 한 나라만 반대해도 도입이 어려움

  • 최근 I2P를 사용해 봤는데, 설계나 기술 품질이 정말 인상적이었음. 분산 네트워크에 필요한 거의 모든 기능을 갖추고 있는 멋진 소프트웨어임. 다만 네트워크 효과 때문에 실질적으로는 커뮤니티가 가장 부족함. 안정적인 라우터가 많을수록 빠르고 신뢰성 있는 네트워크가 되지만 현재는 느림. 그래도 한번쯤 써보길 추천하고, 보안이나 익명성 관심이 없어도 hole punching, 공개키로 글로벌 주소 부여 등 재미있는 점이 많음. SAM 인터페이스와 라이브러리도 제공해 다른 앱에 적용 가능함

    • I2P 공식 사이트
    • I2P를 20년 넘게 좋다는 말만 들었는데, 실제로 써보면 Tor 노드처럼 남이 이상한 사이트에 접속했다가 내게 불똥 튀는 위험이 있는 건지 궁금함
    • 이 댓글 덕분에 나도 I2P에 입문하게 됨. 내 라즈베리파이 라우터와 여러 서버가 이제 I2P floodfill 노드가 됨
    • 구체적으로 이야기하는 게 뭔지 궁금한데, 관련 링크를 공유해 줄 수 있는지 요청함

  • 중앙 서버 없이 암호화 메신저 앱 만들 수 있을지 궁금했음. BitTorrent 마그넷 링크처럼 모두가 메시지 중계에 대한 대역폭을 분담하지만, 자신과 관련된 메시지만 볼 수 있는 구조. 초보적 수준의 지식으론 가능해 보이고, 미래의 프라이버시 지향적 솔루션이 될 것처럼 보임. 찾아보니 Briar라는 게 실제로 있음

    • 예전 Skype가 그런 시스템이었음. 중앙 서버(슈퍼노드)가 있어 발견 기능만 제공하고, 사용자는 직접 연결해서 대화함. 오래 실행되고 자원이 넉넉한 클라이언트도 슈퍼노드가 될 수 있었음
    • Delta Chat은 웹버전은 없지만 설치가 필요 없는 앱 중 최고라고 생각함. Chatiwi는 설치 필요 없는 유일한 e2e 암호화 채팅 서비스인 듯함 (순수 자바스크립트라 소스코드/네트워크를 확인 가능), BriarTox는 앱을 설치해야 하고 iOS에서 동작 안 함. Briar는 중단된 것 같음
    • 여러 가지 분산화 수준의 솔루션이 존재함. Briar는 완전 p2p임. Matrix는 서버가 있지만, 각 서버가 자체적으로 관리하는 연합 모델임
    • 중앙 노드 없는 p2p 암호화 메신저는 충분히 만들 수 있지만, 일반 사용자에게 쉽고 인기 끌게 만드는 건 거의 불가능함. 친구 추가나 멀티 디바이스 동기화, 푸시 알림 등이 매우 어려움. 반면, Matrix나 Jabber 같은 것을 개인 서버로 돌리고, Wireguard로 접근제어하는 것이 훨씬 현실적임. 셋업도 자동화된 앱이 있음(Amnezia Proxy 참고). 이런 서버는 공개 서빙이 아니므로 일반인은 접근 불가, 가족이나 프로젝트 등 작은 그룹에는 충분함. 하지만 페이스북이나 트위터 같은 대규모는 UX 마찰 때문에 불가능함
    • 정치적인 문제를 기술 솔루션만으로 해결하려고 하면 이미 진 것임

  • EU에서는 사용자 추적 같은 개인정보 수집은 허용하면서, 사용자가 직접 삭제하거나 조작 가능한 로컬 쿠키에 익명 데이터를 저장하는 건 오히려 더 엄격하게 제한함. 항상 성가신 경고까지 붙이고 있음

    • EU는 이전부터 인터넷 감시를 꾸준히 추진했고, 이제야 정치 환경이 무르익은 것 같음. 이런 변명과 정당화 논리를 오랜 기간 유지한 걸 보면 수십 년 동안 조직적인 배후가 있었다고 예측함. 단순히 'EU가 무능하다'는 식으로 치부하는 건 순진하다고 봄
    • EU 논리는 '정부만 개인정보를 추적할 수 있다'는 것이고, 미국 논리는 '대기업만 개인정보를 추적해야 한다'는 것임. 개인적으로 정부가 추적하는 게 더 나음. 어차피 정부가 대기업에게서 데이터를 사갈 거고, 대기업은 요구사항 때문에 더 많은 돈을 벌 테니
    • EU는 실제로 고유 식별자 같은 정보가 포함되지 않은 완전 익명 쿠키는 허용함. "익명화된 데이터"라 말하는 게 실제로는 그렇지 않은 경우가 많음
    • GDPR은 로컬 쿠키에 저장되는 익명화된 데이터를 규제하는 법이 아님

  • 내 나라(현재 국무총리가 EU의 총애를 받는 인물임)에서는 절대 해당 정책이 통과되지 않을 것임. 소수 여당 정부라 대통령과 국민 모두 반대하고 있음. 이번엔 통과 안 되고, 2년 후에 재논의될 걸로 봄. 근데 덴마크 사람들은 이런 일이 벌어지는데도 대규모 반대 시위가 없는 게 이해가 안 감

    • 이유는 돈을 따라가면 됨. 최근 급등하는 인터넷 검열 역시 AI 기업들이 신제품 팔려고 로비하면서 발생한 일임

  • ChatControl 이니셔티브의 실제 배후가 누군지 궁금함. 이름이 검은색으로 가려졌던 걸로 기억함

    • DSA를 강하게 추진한 사람은 매우 논란 많은 Thierry Breton임. Atos의 전 CEO, 유럽 내수시장 커미셔너, 지금은 Bank of America 자문위원임. Atos는 유럽 보안 인프라 구축의 최대 수혜 기업임. 하지만 실제론 기독교, 사회주의, 자유주의, 녹색당 등 폭넓은 EU 의회 지지로 통과됨. 투표 내역 참고
    • 덴마크와 스웨덴이 선두에 있음
    • 사람들은 스웨덴이 주도한다고 하지만, 실제론 NSA가 운영하는 Thorn이라는 자선단체가 2012년부터 로비해왔음
    • Thorn 공식 정보

  • ECJ(유럽사법재판소)가 ChatControl 같은 법안에 무효소송을 걸 가능성에 대해 궁금함. 만약 통과된다 하더라도, 정부 구조가 반대하건 말건 사적으로 영향받는 개인은 법안 무효를 재판소에 청구할 수 있음. 그래서 여전히 법정으로 끌고갈 수 있음

    • ECJ가 이전에 그런 결정을 내린 적이 있는지 궁금함
답변달기