- 네덜란드의 데이터 보안 기업 Zivver가 미국의 Kiteworks에 인수되면서, 유럽 시민의 민감한 건강 및 행정 데이터가 미국 기업의 통제하에 놓임
- Kiteworks의 경영진 다수가 이스라엘 군 정보부대 출신으로, CEO 조너선 야론 역시 이스라엘군의 사이버 전문 부대에서 복무한 경력 보유
- Zivver는 EU와 영국의 병원, 법원, 이민 당국 등이 기밀 문서를 송신할 때 사용하는 서비스로, 암호화 기능을 제공하지만 회사 내부에서 문서 내용을 열람할 수 있음이 조사로 확인됨
- 사이버보안 및 정보기관 전문가들은 이번 인수가 사전에 차단되거나 엄격히 심사됐어야 한다고 경고
- 유럽인의 민감 데이터가 미국 법률과 이스라엘 정보 네트워크의 영향권에 들어간 점에서, 데이터 주권과 보안 측면의 심각한 우려 제기
Zivver 인수와 데이터 이전
-
Kiteworks가 2025년 6월 Zivver를 인수, CEO 야론은 이를 “모든 이들에게 자랑스러운 순간”이라 표현
- 그는 인수를 통해 “모든 커뮤니케이션 채널의 민감 데이터를 보호하는 사명에서 중요한 이정표를 세웠다”고 언급
- 그러나 이 거래로 인해 유럽 및 영국 시민의 개인 정보가 미국 기업의 손에 들어감
- Zivver는 네덜란드, 독일, 벨기에, 영국 등에서 병원, 보험사, 정부기관, 이민 당국이 사용하는 주요 보안 메시징 서비스
- 기사에 따르면, Zivver의 암호화된 문서도 회사가 열람 가능한 구조로 되어 있음
Kiteworks 경영진의 배경
- Kiteworks의 최고경영진 다수가 이스라엘 방위군(군 정보부대) 출신
- CEO 조너선 야론을 포함해 여러 임원이 암호 통신 해독 및 도청 전문 부대에서 근무한 경력 보유
- 이러한 인적 구성으로 인해 이스라엘 정보기관과의 연계성이 명확히 드러남
전문가들의 우려
- 사이버보안 및 정보기관 전문가들은 이번 인수가 사전에 차단되거나 철저히 검토됐어야 함을 지적
- Zivver가 처리하는 데이터는 범죄조직이나 외국 정보기관에 매우 가치 있는 정보로 평가됨
- 인수 이후 해당 데이터는 미국의 감시 법률 적용 대상이 되었으며, 이스라엘 정보기관과 연계된 기업의 관리하에 놓임
조사 방식
-
Follow the Money는 Zivver 인수 과정과 Kiteworks 경영진의 배경을 조사
- 정보기관 및 사이버보안 전문가들과의 인터뷰를 통해 사실관계 확인
- 이번 보도는 EU 내 데이터 주권 문제를 다루는 ‘The EU Files’ 시리즈의 일부로 포함됨
유럽 내 파급 의미
- 유럽 공공기관이 사용하는 보안 커뮤니케이션 인프라가 외국 정보 네트워크와 연결될 위험이 드러남
- 데이터 보호 규제와 국가 안보 간의 충돌이 현실화된 사례로, EU 내 디지털 주권 논의의 핵심 이슈로 부상 가능성 있음
Hacker News 의견들
-
미국 기술회사의 CEO가 이스라엘 군의 정예 사이버 부대 출신이라며, 기사에서 Unit 8200을 언급한 것 같음
이 부대가 단순히 총 대신 컴퓨터를 잡는 선택지처럼 묘사된 건 다소 이상한 프레이밍 같음. 기사에 더 많은 맥락이 필요하다고 생각함- Unit 8200은 단순한 사이버 보안 부대가 아니라 신호정보 수집과 분석을 담당함
만약 Jack Ryan이 이스라엘인이었다면 CIA 대신 이 부대에 있었을 것임
목표 선정 등 분석 업무도 수행하며, 관련 내용은 972mag의 기사에 잘 나와 있음 - 실제로는 ‘면제’ 개념이 아님. 모든 국민이 징집되고, 능력에 따라 부대가 배정됨
재능이 있다면 가자지구 순찰보다는 이런 부대에 들어가고 싶을 것임 - 8200 복무도 결국 의무 군복무의 일환임
- Unit 8200은 단순한 사이버 보안 부대가 아니라 신호정보 수집과 분석을 담당함
-
예전에 Zivver의 초기 엔지니어(Scala 개발자)와 어울린 적이 있어서 조금 아는 부분이 있음
핵심 아이디어는 종단 간 암호화였고, 따라서 새로 인수한 조직이 고객 데이터를 직접 볼 수는 없어야 함
코로나 시기 네덜란드에서 디지털 보고서 전송이 필수화되며 큰 성공을 거뒀음
하지만 지금의 인수는 네덜란드의 디지털 주권 논의에 부정적 영향을 줄 수 있음- 암호화가 메타데이터까지 포함하는지 궁금함. 예를 들어 누가 누구에게 보냈는지 같은 정보까지 보호되는지 알고 싶음
-
EU 기반 서비스라 해도 외국 기업이 인수하면 민감한 데이터가 다른 관할권에 노출될 위험이 있음. 꽤 우려스러움
-
혹시 이걸 거부(opt-out) 할 방법이 있는지 궁금함. 유럽위원회가 국민 의견 없이 일괄 계약을 체결한 건 아닌지 의문임
-
미국 빅테크가 Google 이후로 프라이버시의 기준선을 계속 낮춰왔음
결국 “프라이버시는 존재하지 않는다”는 인식을 자본 이익을 위해 정상화시켰음
유럽에도 대안 서비스가 있지만, 시민들이 의식적으로 선택하지 않으면 부작용이 생길 것임- HN의 데이터도 Y Combinator 스타트업들과 공유 및 라이선스된다는 점을 상기해야 함
계정을 삭제해도 데이터는 완전히 지워지지 않음. 이런 사실이 가입 시 명확히 고지되지 않음 - 대부분의 사람들은 Google 서비스를 수십 년간 무료로 써왔으면서도, 유료 모델이 나오면 분노함
“공짜 인터넷”에 대한 집착이 결국 프라이버시 악몽을 만든 셈임
유럽이 세금으로 운영되는 EuroTube나 EuroGram 같은 공공 서비스를 만들지 않는 이상, 현실적으로 대안이 어려움 - Apple은 프라이버시 옹호자로서 꽤 잘하고 있음에도, 종종 케이블 규격이나 UI 문제로 비난받음
어떤 기업을 미워하는 게 ‘유행’이 된 듯한 이중잣대가 흥미로움 - EU 정부들은 GDPR 미비를 넘어, 시민들에게 미국 기업에 개인정보를 강제로 제공하게 만들고 있음
Proton 같은 유료 대안이 있지만, 대부분의 사람들은 무료 서비스를 선호함
정부가 직접 ‘주권 채널’을 구축하지 않는 한, 결국 FANG 의존이 심화될 것임
지금은 조금 싸게 느껴질지 몰라도, 결국 재앙으로 끝날 구조임 - 특히 아일랜드의 느슨한 GDPR 집행은 유럽 기업들만 피해를 보고, 실제 프라이버시 개선은 거의 없었음
그래도 정보 접근 요청권(subject access request)을 써보는 건 흥미로운 경험이었음
- HN의 데이터도 Y Combinator 스타트업들과 공유 및 라이선스된다는 점을 상기해야 함
-
이 기사 페이지는 계정 생성을 강요함
HTML에서"quickSubscribe"클래스를 삭제하면 무료로 스크롤 가능함- 혹은 댓글에서 아카이브 링크를 찾아보는 게 더 간단함
-
요약하자면, EU의 한 헬스데이터 회사가 전직 군 암호 전문가들이 운영하는 웹 포털을 통해 문서를 암호화함
하지만 이런 구조는 결국 미국 법 적용을 받을 수 있고, 업로드 시 기술적으로 접근 가능성이 있음
이스라엘 출신이라는 이유로 신뢰성을 의심하는 건 과도한 프레이밍 같음- 근본적으로 이런 모델은 브라우저 코드 변조만으로도 보안이 깨질 수 있음
나도 의료진이 내 동의 없이 이 서비스를 통해 서신을 보낸 적이 있어서 불쾌했음 - 기사 제목에 ‘이스라엘’을 강조한 건 의도적인 자극으로 보임. 작성자가 클릭을 노린 듯함
- 근본적으로 이런 모델은 브라우저 코드 변조만으로도 보안이 깨질 수 있음
-
예전에는 의료기관으로부터 Zivver 메시지를 자주 받았는데, 인수 발표 이후 한 통도 오지 않음
-
독일 의료 시스템에서는 Zivver를 본 적이 없음
독일은 이미 Matrix 기반 메신저와 S/MIME 메일을 의료용으로 도입 중임
오히려 전 보건부 장관이 OpenAI 등에게 의료데이터를 제공하려 한 게 더 문제였음
관련 내용은 Heise 기사 참고- 장기적으로는 전자건강기록에서 완전한 옵트아웃이 불가능할 것 같음
그래서 디지털 시대의 ‘Neuland’를 이해하고 기술 감각이 있는 정치인을 뽑는 게 중요함 - 겉으로는 Zivver를 안 쓰는 것처럼 보여도, 보험사 내부에서는 Office 365나 SAP처럼 백엔드에서 사용 중일 가능성이 있음
사용자가 모든 내부 소프트웨어를 알 수는 없기 때문임
- 장기적으로는 전자건강기록에서 완전한 옵트아웃이 불가능할 것 같음