구글, ICE의 요구에 따라 학생 기자의 은행 및 신용카드 정보를 제공

 (theintercept.com)
2P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • 미국 이민세관단속국(ICE)이 발부한 소환장(subpoena) 에 따라 구글이 한 학생 기자의 은행·신용카드 번호 등 개인 정보를 제공함
  • 해당 인물은 2024년 코넬대 취업박람회에서 이스라엘 무기 공급 기업을 규탄하는 시위에 참여했다가 캠퍼스 출입이 금지된 Amandla Thomas-Johnson
  • ICE는 구글에 사용자명, 주소, IP 마스킹 서비스, 전화번호, 구독자 정보, 결제 정보 등 광범위한 데이터를 요구했으며, 구글은 이를 사전 통보 없이 이행
  • 전자프런티어재단(EFF)과 ACLU는 구글·아마존·애플 등 주요 기술기업에 법원 명령 없는 정부 요구에 저항하고 사용자에게 통보할 것을 촉구함
  • 전문가들은 이번 사례가 디지털 개인정보 보호법 개정과 빅테크의 정부 협력 제한 필요성을 보여준다고 지적함

ICE 소환장과 구글의 대응

  • ICE는 Amandla Thomas-Johnson의 Gmail 계정 관련 세부 정보를 요구하는 소환장을 발부함
    • 요구 항목에는 사용자명, 주소, 서비스 이용 내역, IP 마스킹 서비스, 전화번호, 구독자 식별 정보, 신용카드 및 은행 계좌 번호 등이 포함됨
    • ICE는 이 소환장의 존재를 무기한 비공개로 유지할 것을 구글에 요청함
  • 구글은 Thomas-Johnson에게 이미 국토안보부(DHS)에 메타데이터를 제공했다는 짧은 이메일만 보냈으며, 사전 대응 기회는 주어지지 않음
  • Thomas-Johnson은 자신의 계정에 앱 구매를 위해 결제 정보가 연결되어 있었다고 확인함
  • 구글 측 변호인은 “기본 구독자 정보만 제공했다”고 밝혔으나, 제공된 정보의 전체 범위는 여전히 불명확

학생 기자의 배경과 사건 경위

  • Thomas-Johnson은 2024년 코넬대에서 열린 이스라엘 무기 공급 기업 항의 시위에 약 5분간 참여 후 캠퍼스 출입 금지 조치를 받음
  • 이후 도널드 트럼프 대통령이 취임하며 팔레스타인 지지 시위 학생들을 겨냥한 행정명령을 발표하자, 그는 친구 Momodou Taal과 함께 은신 생활에 들어감
  • Taal은 변호사를 통해 구글과 메타의 소환장에 법적 이의를 제기해 성공적으로 대응했으나, Thomas-Johnson은 그런 기회를 얻지 못함
  • 그는 현재 세네갈 다카르에 거주 중이며, ICE의 정보 요청이 자신을 추적·구금하기 위한 목적이었다고 언급함

시민단체의 대응과 기술기업 비판

  • EFF와 ACLU 북캘리포니아 지부는 구글, 아마존, 애플, 디스코드, 메타, 마이크로소프트, 레딧 등 주요 기업에 향후 유사한 DHS 소환장에 법원 명령 없이 응하지 말 것을 요구하는 서한을 발송함
    • 서한은 기업들이 사용자에게 사전 통보를 제공해 법적 대응 기회를 보장해야 한다고 강조함
    • 또한 비밀유지 명령(gag order) 에 저항해 소환장 발부 사실을 사용자에게 알릴 것을 촉구함
  • 서한은 “정부가 비판자 식별을 위해 기술기업의 데이터를 반복적으로 요구하고 있다”며, 기업들이 불법 감시에 맞서 사용자 프라이버시와 표현의 자유를 방어하지 못하고 있다고 지적함
  • 메타의 다른 사례에서는 이민 단속을 기록한 사용자들의 신원 공개 요구가 있었으나, 해당 사용자들은 사전 통보를 받아 소송으로 대응 가능했음

법적·정책적 쟁점

  • Cardozo Law의 Lindsay Nash 교수는 구글이 사전 통보를 하지 않아 개인이 자신의 정보 보호 권리를 행사할 기회를 박탈했다고 비판함
  • Stored Communications Act연방거래위원회법(FTC Act) 5조가 기술기업의 데이터 공유를 규제하지만, 소비자 기만 행위 여부는 여전히 논란임
  • Neil Richards 교수(워싱턴대 세인트루이스) 는 기업이 데이터 처리 방식을 잘못 알릴 경우 기만적 상행위로 간주될 수 있다고 설명함
    • 그는 Cambridge Analytica 사건을 예로 들어, 데이터 수집·공유의 투명성 문제는 수십 년간 법적 분쟁의 대상이었다고 언급함

데이터 프라이버시 개혁 필요성

  • 구글의 공개 프라이버시 정책은 “** 법적 효력이 있는 정부 요청**”에 따라 정보를 제공할 수 있다고 명시하며, 과도하거나 절차상 문제가 있는 요청에는 대응을 거부할 수 있다고 밝힘
  • 그러나 구글의 투명성 보고서에 따르면 지난 10년간 정부의 사용자 정보 요청이 수백만 건에 달하며 최근 5년간 급증
    • 이러한 요청 중 사용자에게 사전 또는 사후 통보가 이루어진 비율은 불명확
  • Richards 교수는 정부의 디지털 데이터 접근 기준을 강화하기 위한 법 개정빅테크의 정보 공유 제한 규제가 필요하다고 강조함
  • 그는 최근 1년간 빅테크와 정부 간 관계가 한층 밀접해졌으며, 국가 권력에 우호적인 태도로 전환되고 있다고 평가함

기자의 반응과 언론 자유의 맥락

  • Thomas-Johnson은 이번 사건이 언론인으로서 외부에서만 보던 감시 구조를 직접 경험한 일이라며 충격을 표현함
  • 그는 “정부와 빅테크가 우리를 추적·구금·파괴할 수 있는 시대에 저항이 무엇인지 다시 생각해야 한다”고 언급함
  • 그의 발언은 언론 자유와 디지털 감시의 교차점에서 기술기업의 역할을 재조명하는 계기로 평가됨
  • 기사 말미 업데이트에 따르면, 그의 법률팀은 구글이 ICE에 제공한 정보의 전체 범위를 아직 파악하지 못한 상태
GN⁺ 1일전  [-]
Hacker News 의견들

  • 기사 원문(archive) 링크를 공유함

  • 나는 기업이 유효한 영장이나 소환장이 있을 때 고객 데이터를 제출하는 건 문제없다고 생각함
    문제는 DHS가 행정 소환장(administrative subpoena) 을 남용할 수 있게 된 구조임
    이건 판사의 검토 없이 발부되고, 범죄자 대상도 아님
    과거에는 수사 효율을 높였지만 지금은 ICE가 사법 감독 없이 무차별 체포를 진행하는 수단이 되었음
    결국 프라이버시보다 더 큰 문제는, 이런 ‘그림자 사법 시스템’ 을 의회가 방치하고 있다는 점임

    • 두 가지 모두 사실일 수 있음. 프라이버시 문제이기도 하고 동시에 제도적 문제이기도 함
    • 인간의 불완전함 이 법 절차에 영향을 미칠 여지는 항상 있음
      정부 기관이 ‘이번 주엔 제대로 하고 있을까’를 추측하는 건 헛된 일임
      그들은 항상 한계를 넘으려 하고, 결코 만족하지 않음
    • 이런 상황을 ‘시스템이 의도대로 작동한다’고 볼 수 없음
      자유국가라면 근거 없는 이유로 사람을 추적할 수 없어야 함
    • 판사 검토가 없는 행정 소환장이라면, 판사보(magistrate) 제도에 대해서도 나쁜 소식이 있을 것 같음
    • ‘좋은 시절’에도 이런 제도는 여전히 정부 권력 남용의 형태였음
      다만 대부분의 사람은 직접 피해를 보지 않아 문제의식을 느끼지 못했을 뿐임
      표현의 자유를 옹호하는 태도가 집권 세력에 따라 달라지는 것과 비슷한 현상임

  • 왜 제목을 바꿨는지 궁금함
    원래 제목은 “Google Fulfilled ICE Subpoena Demanding Student Journalist’s Bank and Credit Card Numbers”였음
    HN 가이드라인 참고

    • 아마 게시자가 처음엔 원제목을 썼는데, 출처가 나중에 수정된 걸로 보임
      아카이브 링크 에는 “GOOGLE HANDED ICE STUDENT JOURNALIST’S BANK AND CREDIT CARD NUMBERS”로 되어 있음

  • Google은 정부 요청 통계를 투명성 보고서로 공개함
    나도 몇 년 전 FBI의 국가안보서한(NSL) 에 포함된 적이 있었음
    비공개 기간이 끝난 후 Google로부터 통보받았음

    • 어떤 이유로 NSL을 받았는지, 수색이나 기소로 이어졌는지 궁금함
    • 어떻게 그 명단에 포함됐는지, 이후 어떤 일이 있었는지, 법적 대응을 했는지 설명해줄 수 있는지 묻고 싶음

  • 나는 이 결제 정보가 실제 지출 내역인지, 아니면 YouTube의 성인 인증용 신용카드 확인 절차에서 나온 정보인지 궁금함
    즉, 성인 콘텐츠 노출 여부를 판단하기 위한 YouTube의 연령 검증 과정에서 수집된 정보일 수도 있음

  • “아이들을 안전하게 지키기 위해 운전면허증과 신분증을 꼭 업로드하라”는 식의 풍자적 코멘트를 남김

  • 중앙집중형 은행 시스템, 중앙집중형 인터넷, 중앙집중형 권력 — 이런 구조에서 잘못될 일이 없을까 하는 비꼬는 의문을 제기함

  • Google이 법적으로 제출 의무가 있었는지 궁금함

    • 일반 법원 소환장이라면 ‘예’지만, 행정 소환장이라면 법적 위험을 감수해야 함
      사법 검토는 나중에 이뤄짐. Google이 부당하다고 판단하면 법원에 이의 제기할 수 있지만, 그 사이엔 이행하거나 불복해 법정모욕 위험을 감수해야 함
    • ACLU 문서에 따르면 법적 의무는 없음
      즉 Google은 자발적으로 정보를 넘긴 것임
      행정 소환장은 법적 강제력이 없고, 주거 수색에는 반드시 판사 서명 영장이 필요함
    • 법적으로 기업이 자료를 넘기려면 판사 서명이 필요함
      이번 사건은 DHS 단독으로 발부된 것으로 보이며, 판사 승인 없이 진행된 점이 문제임
      Google이 일부 정보를 넘기면서도 당사자에게 통보한 건, 법적 대응 기회를 주기 위한 조치였음
      특히 이 요청이 시위 참가자 보복 목적이었다면, 이는 법치주의에 대한 심각한 위협임
    • “법적 의무가 있었는가”라는 질문 자체가, 이미 권위주의로 기울어가는 국가에서는 무의미하다는 의견도 있음

  • 이런 상황에서 사용자가 스스로를 보호할 방법이 있을까?

    • 미국 대형 기술기업 제품을 사용하지 않는 것이 최선임
      Apple이 Google보다 조금 낫지만, 결국 미국 기업이라면 ICE가 접근할 수 있음
    • 이런 경우엔 Google이 아니더라도 정부는 다른 기업(유틸리티, 상점 등) 에서 정보를 얻을 수 있음
      정부가 발급하거나 승인한 정보(결제, 신분 등)는 결국 피할 수 없음
      중요한 건 Google이나 클라우드 서비스를 정부 접근 가능 시스템으로 간주하고, 민감한 정보는 올리지 않는 것임
      클라우드는 결국 남의 컴퓨터일 뿐임
    • 중앙집중형 서비스를 피하고, 가능하면 자체 호스팅(self-hosting) 을 권장함
      메일, 연락처, 저장소 등을 직접 운영하는 식임
    • 간단한 프라이버시 실천 가이드를 제시함
      • SNS 사용 금지
      • PC엔 Linux, 휴대폰엔 GrapheneOS 설치
      • 클라우드 서비스는 직접 호스팅
      • Signal 또는 자체 Matrix/XMPP 사용
      • 일회용 SIM, 현금·암호화폐 결제
      • 정부 관련 외엔 가명 사용
      • Tor, VPN, 광고 차단기 활용
    • 데이터 수집에서 ‘옵트아웃’하려 애쓰지 말고, 수집 자체를 차단하거나 서비스를 사용하지 않는 게 낫다고 조언함

  • 제목은 “Google handed over these things”로 써야 함
    그렇지 않으면 Google이 받은 것처럼 읽히는 의미 혼동이 생김

답변달기