이스라엘, 법적 명령 회피 위해 구글·아마존에 비밀 ‘윙크 코드’ 사용 요구

 (theguardian.com)
2P by GN⁺ 5일전 | ★ favorite | 댓글 1개
  • 2021년 12억 달러 규모의 클라우드 계약(Project Nimbus) 체결 과정에서 이스라엘 정부가 구글과 아마존에 비밀 신호 체계(‘윙크 메커니즘’) 사용을 요구
  • 이 체계는 외국 사법 당국이 이스라엘 데이터를 요구할 경우, 기업이 이를 전달했음을 암호화된 결제 신호로 이스라엘 정부에 알리는 구조
  • 계약 문서에 따르면, 국가 전화번호 코드에 해당하는 금액(1,000~9,999셰켈) 을 24시간 내 송금해야 하며, 국가를 밝힐 수 없을 경우 10만 셰켈을 지불
  • 계약에는 또한 이스라엘 정부의 클라우드 접근을 제한하거나 중단할 수 없다는 조항이 포함되어, 인권 문제나 정책 변경에도 서비스 제공이 유지됨
  • 전문가들은 이 메커니즘이 법적 의무를 우회할 위험한 관행이라 평가했으며, 구글과 아마존은 법적 의무 회피를 부인

Project Nimbus 계약 개요

  • 2021년 체결된 Project Nimbus는 이스라엘 정부가 공공 및 군사 데이터를 구글과 아마존의 상업용 데이터센터에 저장하는 7년 계약
  • 계약은 이스라엘 재무부 문서에 기반하며, 구글과 아마존이 내부 절차를 수정하고 표준 계약 조건을 이스라엘 요구에 종속시키는 내용 포함
  • 이스라엘 정부는 “기업들이 정부의 민감성을 이해하고 요구를 수용했다”고 내부 메모에서 평가

‘윙크 메커니즘’의 작동 방식

  • 외국 법원이 이스라엘 데이터 제공을 요구하고 비밀 유지 명령(gag order) 을 내릴 경우, 기업은 결제 신호를 통해 이스라엘 정부에 알림
    • 예: 미국(+1) → 1,000셰켈, 이탈리아(+39) → 3,900셰켈 송금
    • 국가를 밝힐 수 없을 경우 10만 셰켈(약 3만 달러) 송금
  • 이 체계는 ‘특별 보상금(special compensation)’ 형태로 명시되어 있으며, 정보 전달 후 24시간 내 지급해야 함
  • 법률 전문가들은 이 방식이 미국 내 비밀 유지 의무를 위반할 소지가 있다고 지적
    • 전 미 정부 변호사: “법적으로 귀엽지만 위험한 발상”
  • 이스라엘 문서에서도 미국법과 충돌 가능성을 인정, 기업이 계약 위반과 법 위반 중 선택해야 할 상황이 발생할 수 있다고 명시

구글·아마존의 입장

  • 두 회사 모두 법적 명령 회피를 부인
    • 구글: “미국 정부나 다른 국가의 법적 의무를 회피한다는 주장은 완전히 틀림”
    • 아마존: “법적 명령을 우회하는 절차는 존재하지 않음”
  • 구글은 “Nimbus 계약은 기존 서비스 약관과 허용 가능한 사용 정책에 따라 운영된다”고 재확인
  • 이스라엘 재무부 대변인은 “기업이 법을 위반하도록 강요한다는 주장은 근거 없다”고 반박

접근 제한 금지 조항

  • 계약은 구글과 아마존이 이스라엘 정부의 클라우드 접근을 제한하거나 중단할 수 없도록 명시
    • 정책 변경, 인권 침해 논란, 서비스 약관 위반 여부와 관계없이 접근 유지
  • 단, 저작권 침해나 기술 재판매를 제외하면 이스라엘 법이 허용하는 모든 서비스 사용 가능
  • 이 조항은 인권 단체나 주주 압력으로 인한 서비스 중단 위험을 방지하기 위해 삽입됨
  • 이스라엘 관계자: “군사·정보 데이터를 포함해 클라우드에 올릴 정보에 제한이 없다”
  • 계약 위반 시 금전적 벌금 및 법적 조치 가능

관련 맥락 및 비교 사례

  • 마이크로소프트는 2025년 9월 팔레스타인 민간인 감시 시스템 운영에 사용된 기술을 차단, 이스라엘군의 Azure 접근을 중단
    • 이유: “민간인 대규모 감시를 지원하지 않는다”
  • Nimbus 계약상 구글과 아마존은 이와 같은 조치를 취할 수 없으며, 이를 “이스라엘 정부에 대한 차별”로 간주
  • 이스라엘 재무부는 “계약은 국가의 핵심 이익을 보호하는 엄격한 의무로 구성되어 있다”고 언급

전문가 및 후속 논의

  • 전직 미국 검사와 보안 관계자들은 윙크 메커니즘이 법의 형식은 지키지만 정신은 위반할 수 있다고 평가
  • 이스라엘 정부 문서에 따르면, 기업들이 법적 명령과 계약 의무 사이에서 충돌 가능성을 인식하고 있음
  • 구글과 아마존은 해당 메커니즘 사용 여부에 대한 질문에 답변하지 않음
  • 아마존은 “법적 명령에 따른 데이터 요청에 대응하는 엄격한 글로벌 절차를 보유”하고 있다고만 언급
GN⁺ 5일전  [-]
Hacker News 의견

  • Microsoft가 Azure 사용 방식이 서비스 약관 위반이라며 “민간인 대규모 감시에 협조하지 않는다”고 한 반면, Google과 Amazon은 Nimbus 계약상 이스라엘 정부를 차별하는 행위를 금지당했음. 이를 어기면 법적 제재와 벌금이 발생함. 이 상황이 너무 모순적임

    • 기사 내용만 보면 그렇게 미친 일은 아님. 실제로 유출 문서를 본 적도 없고, 단순히 “비밀 코드”가 있었다는 주장뿐이라 구체적 근거가 부족함
    • 미국 법 체계상, 미국 정부가 아닌 다른 나라가 이런 계약을 맺는 건 위험함. 결국 Amazon과 Google은 워싱턴의 의지에 따를 수밖에 없는 구조임
    • 이런 계약은 자살 행위임. 플랫폼을 해킹당해도 막을 방법이 없고, 상대가 “계약상 허용된 접근”이라 주장하면 끝임
    • 이스라엘에 대한 끝없는 굴복은 사회적 실패의 상징임. 어떤 나라든 법을 넘어선 행동을 제재받지 않는다면 그건 이미 실패한 사회임

  • 기사 중간쯤에 숨겨진 부분이 흥미로움. 유출된 이스라엘 재무부 문서에 따르면, Google과 Amazon은 특정 국가의 전화 국가번호에 맞춘 금액을 이스라엘 정부에 송금해야 함. 예를 들어 미국(+1)은 1,000세켈, 이탈리아(+39)는 3,900세켈, 심지어 국가를 밝힐 수 없을 경우엔 100,000세켈을 내야 함

    • 하지만 이 방식은 캐나다도 +1을 쓰는 등 코드 충돌이 많아 버그투성이임
    • 이런 구조는 오히려 사기성 송금이라는 또 다른 범죄 가능성을 만듦
    • 이런 조항이 법무팀 모르게 들어갔을 리 없음. 이런 계약은 반드시 법무·운영·재무팀의 검토를 거침
    • 외국 정부 상대 계약을 영업직원이 임의로 승인했을 가능성은 거의 없음
    • 이런 조항을 문서로 남겼다는 건 범죄 공모를 문서화한 셈임. 상식적으로 말이 안 됨

  • 이 구조는 워런트 캐너리(warrant canary) 보다 더 위험한 방식임. 특정 금액 송금 자체가 이미 비밀 명령 위반 신호로 해석될 수 있음

    • 변호사들이 이런 “귀여운” 장치를 계약에 넣었다는 게 놀라움. 법 위반 소지가 큰데도 허용된 이유가 궁금함
    • 마치 탐정 영화에 빠진 비전문가가 만든 설정 같음. 법적으로 통과될 리 없음
    • 캐너리는 ‘정상 상태를 주기적으로 알리는’ 구조인데, 이건 단순히 “요청 받으면 3번 깜빡여라” 수준의 얕은 암호임
    • 굳이 돈을 보낼 필요도 없음. 그냥 이메일로 “1,000”이라고 쓰는 게 더 간단함. 결국 비밀 통신 행위 자체가 금지 대상임

  • Google이 실제로는 이런 “특별 송금”을 하지 않을 수도 있음. 대부분의 계약에는 법 위반 금지 조항이 있으니까, 그냥 무시할 가능성도 있음

    • 하지만 이스라엘은 이미 미국으로부터 비식별 데이터 피드를 받는다는 스노든 유출 문서가 있음. 겉으로는 “신사협정”이라 하지만 실상은 다 알고 있을 수도 있음
    • 이스라엘 법원이 자국 내 손해를 평가할 때 정보자산 손실을 포함하면, Google은 거액의 손해배상 위험에 놓임. 결국 현지 자산 압류가 가능하다는 점이 핵심임
    • 이스라엘은 내부 직원 중 누군가를 첩보 자산으로 포섭해 감시할 수도 있음. “알리지 말자”는 논의 자체가 이미 정보 신호가 됨
    • 단순히 계약 위반일 뿐이라면 형사 처벌보다는 민사 문제로 끝날 수도 있음
    • 하지만 애초에 계약 서명 자체가 형사 공모라는 주장도 있음. 다만 실제 기소 가능성은 낮음

  • 국가별 송금 금액을 다르게 설정한 이유가 궁금함. 단순히 “어느 나라가 요청했는지”만 알 수 있을 뿐인데, 혹시 국가별 첩보 대응을 위한 장치일 수도 있음

  • 처음엔 단순한 정부용 클라우드 계약이라 생각했지만, 어쩌면 국제 감시·사이버 작전용 인프라일 수도 있음. 클라우드는 빠르고 전 세계적으로 접근 가능하니까

  • 요즘은 정부조차 자체 서버를 운영하지 못하고 AWS, Azure, GCP에 의존하는 현실이 씁쓸함

    • 직접 구축하면 주식 투자 이익을 얻을 수 없으니, 대형 클라우드에 맡기는 게 더 유리함
    • 서버를 다룰 줄 아는 사람보다 클라우드 구매 담당자가 더 영향력 있음
    • 미국의 대외 원조금은 대부분 미국 기업에 재투자되므로, 이스라엘도 예외가 아님. 관련 기사: The Intercept 보도

  • 만약 미국 정부가 비공개 명령(FISA, NSL 등)으로 데이터를 요청했는데 Google이나 Amazon이 이스라엘에 알린다면, 이는 징역형 수준의 범죄

    • 하지만 Google이 미국보다 이스라엘을 우선할 가능성은 낮음. 아마 다른 국가용 장치일 가능성이 큼
    • 법을 엄격히 지키는 나라라면 당연히 처벌받음
    • 어떤 나라의 명령이냐, 비공개 명령의 범위가 어디까지냐에 따라 다름. 미국 연방 명령이라면 이런 “윙크 송금”은 명백히 금지될 것임
    • 이 구조는 특정 국가의 국가번호 기반 송금이라, 단순한 지역 명령에도 대응 가능하도록 설계된 듯함

  • 이스라엘을 빼고 생각하더라도, 어떤 정부든 자국 데이터는 자체 암호화 키로 보호해야 함. 클라우드 사업자 키에 의존하는 건 위험함

    • 하지만 민주국가가 이런 식으로 비밀 통신 조항을 요구한다면 매우 충격적임. 이스라엘이 민주주의가 아니라면, Microsoft가 그런 정부와 거래하는 것도 문제임
    • 이스라엘은 국제형사재판소(ICC) 수배와 UN의 집단학살 판결을 받은 나라라, 단순 비교가 어렵다는 의견도 있음
    • 또한 이런 계약은 미국법상 명백히 불법이며, 다른 나라가 이런 특혜를 누릴 수 없다는 점이 문제임

  • Alphabet 법무팀이 “미국 정부의 법적 의무를 회피하지 않는다”고 발표했지만, 이 문구는 법정에서 충분히 다툴 수 있는 표현

답변달기