Proton Mail, 사이버보안 기관 요청으로 언론인 계정 정지

 (theintercept.com)
3P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • Proton Mail이 한국 정부 시스템 해킹 취재 중이던 언론인 계정을 사이버보안 기관 요청에 따라 일시적으로 정지함
  • 언론인들은 계정 복구 후에도 Proton의 정지 결정 과정과 근거에 대해 명확한 해명을 요구함
  • 전 세계 다수의 언론사들이 Gmail 대안으로 Proton Mail을 사용하는데, 이번 사태로 프라이버시와 신뢰성에 대한 우려 제기됨
  • Proton은 외부 기관의 신고로 계정을 조치했다고 인정했으나, 정확한 기관명이나 근거는 밝히지 않음
  • 이번 사건은 기자, 내부 고발자, 보안 연구자 등 취약한 사용자를 위한 보호 정책 강화 필요성을 시사함

Proton Mail, 사이버보안 기관 요청으로 언론인 계정 정지 사건

Proton의 정체성과 언론인 계정 정지

  • Proton은 "개인 데이터를 보호하는 중립적이고 안전한 공간, 자유 수호에 헌신"을 내세우는 이메일 서비스임
  • 지난 달, 한 사이버보안 기관의 요청으로 한국 정부 컴퓨터 시스템 해킹 취재 중이던 언론인 두 명의 Proton 메일 계정이 비활성화됨
  • 여론의 반발과 오랜 시간이 지난 후 계정이 복구되었지만, 언론인들과 편집진은 Proton의 계정 정지 결정 과정에 대해 명확한 설명을 요구함

언론인 보호와 이번 사태의 파장

  • Freedom of the Press Foundation 소속 Martin Shelton은 다수의 언론사들이 Proton Mail을 Gmail 등의 대안으로 선택하며, 이번과 같은 상황을 피하기 위해 해당 서비스를 활용하고 있음에 주목함
  • 언론인이 Proton 서비스 사용 시, 정지 조치 등 민감 이슈에는 비공개 소통을 우선해야 한다는 의견 제기됨
  • Reddit에서 Proton 공식 계정은 이번 사안이 "과장되었다"며, 고의로 언론인 계정을 차단하지 않았다고 주장함

언론인 계정 정지의 배경

  • 계정이 비활성화된 언론인들은 Phrack 8월호에 한국 정부기관 해킹과 관련한 APT 공격(고도 지속적 위협) 취재 기사를 작성한 Sabercyb0rg
  • 이들은 북한 소행으로 알려진 "Kimsuky"와 유사한 해킹을 추적했고, 책임 있는 공개 절차(Responsible Disclosure) 에 따라 취약점이 발견된 관련 기관과 보안 단체(Korea Internet and Security Agency, KrCERT/CC 등)에 사전 통보함
  • KrCERT는 이들에게 고마움을 표시하는 회신을 남김

CERT와 사이버보안 신고 체계 설명

  • CERT(Computer Emergency Response Team)는 보안 사고 대응을 전문으로 하는 조직임
  • CERT는 70개국 이상 존재하며, 정부 또는 민간에서 운영되고 여러 분야로 특화됨
  • 미국에서는 Cybersecurity and Infrastructure Agency가 대표적임

계정 정지 과정과 가치 논란

  • Phrack 인쇄판 출간 약 일주일 후, 언론인들이 취약점 공개를 위해 개설한 Proton Mail 계정이 정지
  • "정책 위반 가능성"을 이유로 계정이 정지되었고, Proton Abuse Team은 계정 간 연결성과 "악의적 사용"을 근거로 계정 복구를 거부하는 답변 제공함
  • Phrack 편집진은 해킹 데이터가 Proton 계정으로 오고 간 적이 없다고 항변하며, 정보 오남용 우려가 불필요함을 강조했으나 답변을 받지 못함

여론과 사회적 논란

  • Phrack의 X(구 트위터) 계정에서 Proton의 소통과 도덕적 기준에 대한 비판성 게시글이 확산되며, 15만 회 이상의 조회수를 기록함
  • Proton 공식 계정은 CERT의 신고를 근거로 다수 계정을 정지했고, 이후 각각의 사례를 개별적으로 검토 중임을 설명함
  • "언론인들과 함께 한다"면서도, 계정 접근 자체가 불가해 오탐 방지가 한계임을 인정함
  • 어떤CERT가 신고를 했는지, 구체적 기관명은 공개하지 않음

계정 복구와 이후 대응

  • Proton 설립자이자 CEO인 Andy Yen이 계정 복구 사실만 알렸고, 정지 및 복구의 구체적 사유나 절차에 대해 추가 해명은 내놓지 않음
  • Phrack 측은 이번 계정 정지 사태로 인해, "언론인이 다른 언론사와 협업 및 기사 대응이 불가능해지는 등 실제 피해가 발생"했다고 설명함
  • 또한, 이 사태가 앞으로 내부 고발자나 기자 등 취약 그룹에게 어떤 메시지를 남기는지, 강한 우려 표명
  • "Proton은 적어도 법원 명령이나 명백한 범죄, 서비스 약관 위반이 입증된 경우에 한해 계정 정지 조치가 이뤄져야 마땅"하다는 요구 제기
GN⁺ 1일전  [-]
Hacker News 의견

  • X/Twitter에서 관련 이슈를 쭉 지켜보고 있는데, Phrack 쪽에서 몇 차례 Proton에 비공개 연락을 했지만 무시당했다는 점이 정말 심각한 문제라고 생각함, Proton은 Phrack이 공개적으로 이슈를 제기하고 X/Twitter에서 바이럴된 후에야 피드백을 주고 계정을 복구해줬음, 그 전에는 한 작가가 Proton에 직접 항소했지만 거부당했고, 이 사건이 X/Twitter에서 화제가 되기 전까지 아무런 조치도 없었음, 즉 Proton은 CERT에서 문제 제기가 있기만 했어도 계정을 바로 막았고, 사회적으로 논란이 불거지기 전엔 전혀 신경 쓰지 않았음을 강조하고 싶음

    • Proton은 실제 사람이라는 증거조차 요구하지 않고 이메일 계정을 개설해 줌, 개인정보 보호 도구로서 필요하다고 생각하기 때문에 이 점을 비난하려는 건 아님, 하지만 내가 단 몇 초 만에 수백 개의 Proton 메일 주소를 자동으로 만들 수 있었을 정도로 보안이 허술하다는 사실이 꽤 무서웠음, captcha도 너무 간단해서 스크립트로 쉽게 뚫릴 수 있음, 전 세계 스팸 차단 리스트에 올리지 않은 게 신기할 정도임, 적어도 스팸 방지 시스템은 더 강화할 필요성을 느낌, 이번처럼 민감한 사안에 신속히 대응하지 못한다면 오히려 조심스럽게 운영하는 게 맞다고 생각함

    • 조금 위험한 주장을 하자면, 난 이번 이슈에서 미국 사이버보안 기관이 연루됐다고 생각함, Proton CEO가 현 미국 행정부를 매우 지지하는 모습이었고(Peoton 공식 Reddit 계정의 삭제된 글 참고, 관련 기사 여기), 구체적인 증거는 없지만 CEO의 공개 발언만 봐도 Proton이 21세기판 Crypto AG가 아니었을까 상상해 보게 됨

    • Reddit의 팬들은 이 상황을 기묘하게 돌려서 변명하거나 두둔하려고 끊임없이 설명함, 하지만 사실을 둘로 나눌 수 없음

    • 그래도 긍정적으로 보면 이제는 소셜미디어 파워로 문제를 해결할 수 있는 시대라는 점이 흥미로움

    • Proton 측 공식 Reddit 답변을 보면, Phrack이 8번이나 법무팀에 연락했다는 것은 사실이 아니고, 실제로 받은 이메일은 두 통뿐이며 마지막 건은 토요일에 법무팀 인박스로 보내져 48시간 답변을 원했다는데, Proton 같은 큰 회사에선 현실적으로 힘든 요구라고 주장함, 게다가 고객지원 공식 채널이 아닌 법무팀 인박스로 보냈다는 점도 지적함, 원문 답변(링크)

  • 기업의 진짜 가치는 소통 능력에서 나타남, 사회적 파장이 커질 때만 소통한다면 그 회사에 대해 어떤 인상을 갖게 됨?<br>진지하게 궁금한 점이 있음: 이메일 서비스를 제공하는 회사 중 Proton Mail이 가장 괜찮은 회사인지?<br>난 직접 이메일을 호스팅하고 계속 그럴 계획이지만, 남들을 위해 이메일 서비스가 필요하다면 Proton Mail이 가장 양호한지 알고 싶음, 다른 분들 의견이 궁금함

    • 내 경험이 제한적이긴 하지만, 아니라고 답하고 싶음, Fastmail, Runbox, Purelymail(1~2인 개발), Mailbox(고객지원은 별로지만 시스템은 안정적, 내가 사용 중), Migadu(이름만 들어봄), Tuta(개인적으로 꺼림칙함, Proton처럼 IMAP/POP 비활성화, Proton은 약간 꼼수로 허용), MXRoute도 LET 포럼 등에서 평이 괜찮음, Zoho도 이메일만 쓸 거라면 괜찮은데, 어차피 Zoho를 쓸 거라면 Google이나 MSFT와 차이가 비용 정도일 뿐임, 선택지는 다양함<br>참고로 나는 VPS에서 씨드박스조차 제대로 셀프 호스팅 못하는 상황이라 이메일은 아예 시도도 못하겠음

    • 20년간 셀프 호스팅하며 아무 문제 없이 썼는데, 보안 문제로 포기했음, 언젠가는 돌아가고 싶음<br>질문: 이런 서버에서 보안을 어떻게 관리하는지 궁금함, 난 패치가 많아서 관련 없는 것 때문에도 시스템이 자주 문제를 일으켰고, 하루 이틀 메일이 안 되는 경우가 많았음

    • 기업 소통 능력을 가치로 보는 관점에 공감함, 하지만 많은 사람은 이를 신경 쓰지 않는 듯함, Claude에 한달에 돈을 팍팍 쓰면서도 Antrhopic(Claude)의 지원팀에는 도저히 접근 못하는 사례와 같음<br>Tutanota도 한 번 고려해 볼 만함

    • 어서 이메일 셀프 호스팅 스택을 공유해 주면 좋겠음, 이 글을 보고 갑자기 셀프 호스팅에 관심이 생김

  • Proton의 Reddit 공식 답변<br>우리 팀은 해커에 의해 악용된 몇몇 계정이 있다는 CERT의 알림을 받아 ToS 위반으로 여러 계정을 비활성화하게 되었음, 우리는 계정 내용을 볼 수 없는 zero-access 구조이기 때문에 반남용 시스템이 정당한 활동에도 영향을 미칠 수 있음을 인지함, 계정 복구 가능성이 있는 사례를 개별적으로 검토 후 2개 계정을 복구했고, 명백한 ToS 위반이 있는 계정은 복구할 수 없음<br>Phrack에서 8번 법무팀에 연락했다는 주장도 사실이 아님, 실제로 법무팀 이메일로 받은 것은 두 통 뿐이고, 마지막 이메일은 9월 6일 토요일에 48시간 내 답변 요청이라 현실적으로 큰 회사에선 대응이 어려움(고객지원 공식 채널도 아님)<br>이 사안이 과하게 확대되어서 적절한 답변 기회가 없었다고 생각함, 양해해 주길 바람<br>— Proton Team

    • 정확히 이해가 안 되는 부분이 있음, 정책 위반 여부를 알 수 없다면서 어떻게 CERT 요청만으로 계정 정지 결정을 하고, 결국 두 계정은 무슨 기준으로 복구했는지 궁금함

    • 이 답변은 오히려 더 실망스러움, CERT는 법적 강제력이 없는 단체임, 사건에 대한 신속하고 세밀한 사후 분석 없이 이런 조처를 한 것은 Proton의 주력 고객들에게 매우 우려스러운 일임, 유저가 많아질수록 경계심이 풀리기 쉬운데, 이런 태도가 바로 잘못된 예임, 소셜 미디어 이슈화가 없었으면 해당 계정들은 어떻게 됐을지 궁금함

  • Proton이 일정 기간 로그인하지 않은 계정을 삭제한다는 발표 이후, 내 리스트에서 “사용자 우선” 이메일 플랫폼 1위에서 탈락시켰음, 이메일/메시징/커뮤니케이션 제공자가 1년, 2년, 20년 등 내가 원하는 기간 동안 안정적으로 서비스 연결을 보장하지 못한다면 쓸 이유가 없음, 만약 유료 서비스라면 프라이버시를 지키는 결제수단을 받아들여야 하는데, 그 경우라도 여전히 꺼려짐<br>Proton은 예전엔 VPN, 비즈니스 서비스 등으로 무료 계정 유지비를 충당했기에 신뢰를 줬지만, 삭제 정책 발표는 그 신뢰를 스스로 깬 것이라고 봄<br>비합리적인 요구를 하는 것도 아닌데, 최소한 저장용량에 따라 차별화된 정책을 적용한다든지 발전된 접근이 필요하다고 생각함, 지금 같은 구조에서는 몇년마다 한 번 사용하는 정부계정 메일조차 남겨둘 수 없음, 만약 복구용 메일을 등록하면 알림을 줄 수도 있겠지만, 그럼 개인정보 보호메일 서비스란 의미가 퇴색함<br>(참고로 비슷하게 Google Voice도 꾸준히 사용하지 않으면 번호를 삭제함, 2FA용 번호도 마찬가지인데, 계정에 $4 크레딧이 들어가 있는 상태에서도 마찬가지임)

    • 삭제 기간이 애매하다고 했는데, 사실 1년임(공식 안내)

    • 무료 계정에 한해서 12~24개월간 로그인하지 않으면 삭제되는 정책임, 유료 서비스의 경우 현금(지폐) 우편 송금도 지원함, 원칙은 이해하지만, 요청하는 방식을 보면 다소 비현실적인 고객처럼 보임

    • 누가 1위 자리를 대체했는지 궁금함

    • 나도 Proton 무료 계정을 여러 개 갖고 있는데, 4년 넘게 사용 안 해도 아무 문제 없이 유지되고 있음, 고작 이 말만으로 Proton을 비난하는 분위기가 좀 과도하다고 느낌, 먼가 집단적 반감이 퍼진 느낌도 있음, 물론 완벽한 회사는 아니지만 미국계 빅테크 이메일 서비스에 비해 프라이버시는 비교 불가라고 생각함, 너무 부정적으로만 보지 않았으면 함, 그리고 “불안정하다”는 평가도 많은데, 나는 데스크탑·모바일 모두에서 문제를 못 느꼈음

    • 돈 내지 않으면 고객이 아니고, 그저 호의를 받는 셈임, 너무 공짜만 바라는 건 지양해야 함

  • 2018년부터 Proton 유료 구독자였는데, 서비스가 너무 버그가 많고 불안정해서 최근 구독 취소함(11월에 만료), 대안 이메일, VPN 업체 추천이 있으신가 궁금함, Fastmail과 mailbox.org 소문은 좋게 들었음(최근에 mailbox로 리브랜딩하고 서비스도 개편했음), 또 SimpleLogin으로 생성한 수많은 가상 이메일 주소를 새 서비스에 쉽게 이전할 법이 있을지 궁금함, 하나하나 수동 변경은 고역임

    • Fastmail 문제없었음, 다만 UI는 약간 제한적이지만 기술적으로 완벽하게 동작하고 빠름, 장애도 거의 없음, 캘린더·주소록·서드파티 연동도 잘 됨, 개인 사용자에게는 충분, 최근에는 오프라인 지원도 추가됨, VPN의 경우 프라이버시에 민감하면 에스토니아 같은 곳에 VPS 또는 직접 집에 Wireguard 설치·DDNS 등으로 터널 구축하는 게 가장 좋음

    • 9년 전 이슈가 아직도 남아 있어서 mailbox엔 약간 불신이 있음 링크

    • Fastmail과 Mullvad 같이 사용 중, 둘 다 가격도 합리적이고 잘 동작함, 직접 VPS에 호스팅해 보는 것도 추천함

    • Zoho를 4년 넘게 가족과 사용 중인데 매우 만족함, 도메인당 요금이 없어서 12개 도메인을 쓰고 있음, 웹·모바일 앱 설정도 다양하고 서비스도 빠르고 안정적, UI도 자주 바뀌지 않아 예측 가능해서 편리함

    • Posteo.de(맞춤 도메인 지원 안 함), mailbox.org, runbox.com, mailfence, migadu, cranemail 등도 고려해볼 가치 있음, Fastmail보다 저렴하며 모두 IMAP 지원해서 이사나 백업도 쉬움

  • Proton이 이런 상황에서 어떻게 해도 비난을 피하기 어렵다고 생각함, 법원 명령이 없으면 내리지 않는다라고 하면 언론에서 악의적으로 “범죄자가 득실대는 장소” 프레임을 씌울 가능성이 높음

    • 걱정 때문에 더 나쁜 정책을 적용하는 건 옳지 않음, Proton Mail은 이미 그런 비난을 여러 번 받아왔기 때문에 합리적 정책을 꾸준히 지키는 편이 낫다고 봄, 클릭베이트 언론에 흔들려서 무의미한 타협을 하지 말았으면 함

    • 지금의 입장은 그저 책임 회피에 가깝다고 봄, 어차피 지금도 협조하고 가끔은 언론의 비난도 받고 있음, 주장하는 대로 실천해도 별 차이 없을 것임

    • 대부분의 CERT 요청은 유의미하고 이행할 가치가 있지만, 무조건적으로 따르는 것도, 무시하는 것도 모두 잘못임, 특히 항소나 정당한 보안 리포트 관련이라면 반드시 수동 심사가 필요함, 극단적인 선택 대신 합리적 중간지대를 찾아야 함

  • Proton의 Reddit 공식 답변 링크(원문), 그리고 최초 CERT 연락에 대해 더 자세한 정보를 알고 싶음

  • Proton의 침묵은 오히려 불리하게 작용한다고 생각함, 신뢰할 수 있는 안전하고 단호한 서비스라는 이미지가 이번 사태로 약해진 느낌임

    • 한편 라다르 레비슨과 Lavabit이 10여 년 전 대처에서 큰 신뢰를 얻었다고 생각함, 참고로 Lavabit(사이트)은 현재 신규 가입은 중단하고 기존 서비스 개선에 몰두 중이라고 밝힘

  • PSA: Proton은 1년간 로그인하지 않으면 “비활성” 계정으로 간주해 삭제함, 이메일을 받기만 하고 보내지 않더라도 “미사용”으로 분류되는 등 기준이 불명확함, 그 탓에 iCloud 계정 복구가 불가능한 상황에 처했음, 계정 오프보딩에 적잖은 시간 소요 예정임

    • “미사용” 기준이 불명확하다고 했는데, 공식 정책에 따르면 연 1회 로그인만 해도 계정은 유지됨(정책 링크)

    • Proton의 예전 불투명한 결제방식도 여전히 쓰는지 궁금함, 쿠폰으로 업그레이드한 뒤 기간이 끝나면 자동으로 마이너스 잔고로 전환되어 계정이 잠기고, 결제를 해야만 해제된 경험이 있음, 그 후 Proton 사용 안하고 있음

    • 이 정책이 유료 계정에도 해당하는지 궁금함, 예를 들어 5년치 선결제 후 3년간 연락 두절이면 그 계정이 살아있는지 알고 싶음

  • 이메일, VPN 회사가 법을 지키지 않는다는 건 정말 순진한 믿음임, 그렇지 않았다면 결제대행사조차 승인해 주지 않았을 것임, 또한 호스팅 기업이나 상위 네트워크 사업자가 바로 계정·회사를 차단할 가능성도 염두에 둬야 함

    • 그런데 구체적으로 어떤 법을 염두에 둔 건지 궁금함, Proton이 각 단계마다 어떤 법 때문에 그런 행위를 했는지 알고 있음을 전제로 한 말인지 궁금함, 아니면 그냥 의미 없는 얘기인 건지 묻고 싶음
답변달기