Proton Mail이 FBI의 ‘Stop Cop City’ 시위자 신원 확인을 도운 사건

 (404media.co)
1P by GN⁺ 11시간전 | ★ favorite | 댓글 1개
  • 개인정보 보호 중심 이메일 서비스 Proton Mail이 미국 FBI의 요청과 관련해 스위스 정부에 결제 데이터를 제공, 이를 통해 익명 시위자의 신원이 확인됨
  • 법원 기록에 따르면 Proton Mail은 ‘Stop Cop City’ 운동 관련 계정의 결제 정보를 스위스 당국에 넘겼고, 스위스 정부가 이를 FBI에 전달
  • 해당 계정은 Defend the Atlanta Forest(DTAF) 단체와 연계되어 있었으며, 방화·기물 파손·신상공개(doxing) 혐의로 수사 대상이 되었음
  • ‘Stop Cop City’ 운동은 애틀랜타 경찰 훈련센터 건설 반대 시위로, 일부 참가자들은 숲에서 캠핑하거나 소송을 제기하는 등 다양한 활동을 진행함
  • 이번 사례는 Proton Mail이 종단간 암호화와 스위스 프라이버시 법 적용을 강조하면서도, 법적 요청 시 제3자에 데이터를 제공할 수 있음을 보여줌

Proton Mail의 데이터 제공과 FBI 수사 협력

  • 법원 기록에 따르면 Proton Mail이 ‘Stop Cop City’ 관련 이메일 계정의 결제 데이터를 스위스 정부에 제공, 이후 FBI가 이를 이용해 계정 소유자를 특정
    • Proton Mail은 개인정보 보호 중심 서비스로 알려져 있으며, 스위스 프라이버시 법률의 적용을 받는다고 홍보
    • 그러나 이번 사건에서 결제 정보가 제3자에게 전달된 사실이 확인됨
  • 이 사건은 Proton Mail이 어떤 유형의 데이터를 외부 기관에 제공할 수 있는지를 보여주는 사례로 언급됨

‘Stop Cop City’ 및 DTAF 단체 관련 수사

  • 문제의 Proton Mail 계정은 Defend the Atlanta Forest(DTAF)Stop Cop City 운동과 연계되어 있었음
    • 당국은 이 단체들을 방화, 기물 파손, 신상공개(doxing) 혐의로 조사 중이었음
  • ‘Stop Cop City’ 운동은 애틀랜타 Intrenchment Creek Park 인근 경찰 훈련센터 건설 반대 시위로,
    • 일부 참가자들은 숲에서 캠핑하거나 소송을 제기하는 등 다양한 방식으로 항의함
    • 이후 60명 이상에 대한 혐의가 취하됨

Proton Mail의 프라이버시 정책과 한계

  • Proton Mail은 종단간 암호화와 스위스 법률 준수를 강조하지만,
    • 이번 사건은 법적 요청 시 결제 데이터 등 일부 정보가 제공될 수 있음을 보여줌
  • 기사에서는 Proton Mail이 어떤 데이터가 실제로 제3자에게 제공될 수 있는지에 대한 이해를 돕는 사례로 제시됨

사건의 맥락과 후속 조치

  • FBI는 스위스 정부로부터 전달받은 결제 데이터를 이용해 익명 계정의 신원을 확인
  • Proton Mail의 데이터 제공은 법원 명령에 따른 절차적 협조로 이루어진 것으로 기록됨
  • 기사에서는 추가적인 법적 세부 내용이나 Proton Mail의 공식 입장은 언급되지 않음

요약적 의미

  • 이번 사건은 프라이버시 중심 이메일 서비스라도 법적 요청 시 사용자 정보가 제공될 수 있음을 보여주는 사례
  • Proton Mail의 신뢰성과 법적 의무 간 균형 문제가 다시 주목받게 됨
  • 암호화 서비스 이용자들이 법적 관할권과 데이터 제공 범위를 인식해야 함을 시사함
GN⁺ 11시간전  [-]
Hacker News 의견들

  • Proton Mail 팀으로부터 받은 공식 피드백을 공유함
    그들은 FBI에 직접 정보를 제공하지 않았음을 명확히 밝힘
    데이터는 스위스 연방 법무부가 MLAT(국제사법공조조약) 절차를 통해 얻은 것임
    Proton은 스위스 법률만 따르며, 스위스 당국의 법적 명령이 있을 때만 응함
    이번 사건은 2024년 폭발물과 총격 사건이 포함된 중범죄였기 때문에 법적 기준이 충족되었다고 함
    공개된 정보는 신용카드로 결제한 사용자의 결제 식별자뿐이며, 이메일 내용이나 메타데이터는 제공되지 않았음
    이는 Proton의 엔드투엔드 암호화 설계가 실제로 얼마나 제한된 데이터를 보유하는지를 보여주는 사례라고 설명함

    • 기사에 이미 이 모든 내용이 포함되어 있다고 덧붙임

  • 이 기사는 완벽하지 않다고 생각함
    Proton은 합법적인 스위스 당국의 요청에 따라 행동했으며, 이는 ToS(이용약관) 에 명시된 절차임
    사용자가 신용카드로 결제한 것이 보안 실수(opsec) 였음
    Proton은 익명성이 필요한 사용자를 위해 Tor 주소도 제공함
    결국 문제의 핵심은 사용자 본인에게 있음

  • Proton Mail이 스위스 법에 따라 제3자에게 어떤 데이터를 제공할 수 있는지 보여주는 사례라고 언급함
    예전에 Proton이 스위스 정부를 신뢰할 수 없다고 하며 서버를 스위스 밖으로 이전하려 했던 걸로 기억함
    하지만 이번 사건은 단순히 결제 정보만 필요했기 때문에 서버 위치는 중요하지 않았음

    • Proton이 독일로 이전하려 한다는 이야기도 있었는데, 프라이버시 측면에서는 오히려 더 나쁠 수 있음이라고 말함
    • 어떤 정부도 완전히 신뢰할 수 없다는 의견도 나옴
    • Proton의 엔드투엔드 암호화는 모든 수신자가 Proton을 사용할 때만 의미가 있으며, 현실적으로 대부분의 이메일은 평문으로 노출됨. 마케팅이 과장되어 있다고 봄

  • 이미 2021년에 ProtonMail이 법 집행기관에 사용자 데이터를 제공하고 TOS를 변경했다는 사실이 공개된 적이 있어 놀랍지 않음

    • 영장(warrant)은 단순한 요청이 아니라 법적 명령이므로, 경찰이 영장을 얻을 수 있다면 데이터를 확보할 수 있다고 봐야 함

  • Proton Mail은 법적으로 거부할 수 없는 요청에 따라 사용자가 자발적으로 제공한 최소한의 정보를 넘겼을 뿐임
    익명성을 원한다면 신용카드나 집 인터넷 연결을 사용하지 말아야 함
    기사 제목은 마치 Proton이 FBI를 도운 것처럼 보이지만, 실제로는 그렇지 않음

    • “Proton이 FBI를 돕지 않았다”는 말과 “법적 요구에 따라 어쩔 수 없이 응했다”는 말이 동시에 언급됨

  • 404 Media 팀이 최근 정말 좋은 보도를 많이 하고 있다며 감사 인사를 전함

  • Proton이 결제 정보를 얼마나 오래 보관하는지, 그리고 암호화폐 결제의 경우에도 동일하게 저장하는지 궁금하다고 질문함

  • 온라인에서 ‘사상범(thought crime)’ 으로 처벌받지 않으려면 점점 더 어려워지고 있다고 주장함
    Tor, Mullvad VPN, TutaMail, Proton 등을 조합해도 완전한 익명성 확보는 어렵다고 설명함
    기술자들이 감시 기술을 발전시키는 현실에 실망감을 표현함

    • Tor 브라우저와 Proton을 일회용 이메일로 인증해 사용하는 방식이 충분히 안전하다고 말하는 사람도 있음
    • “프라이버시를 지키는 법안에 투표했는가, 윤리 기준을 지지했는가, 엔지니어 노조를 만들려 했는가”라며 개발자들의 책임을 되묻는 의견도 있음
    • 실제로 온라인에서 다른 의견을 표현하기 어려운 사례가 있는지 구체적인 예시를 요청하는 사람도 있음
    • Adderall 남용이 공감 능력을 떨어뜨리고, 감시 기술이나 다크 패턴을 무감각하게 만드는 문제라고 지적하는 댓글도 있음
    • “서구 사회에서 실제로 사상범으로 처벌받은 사례가 있느냐”는 반론도 제기됨

  • 다른 이메일 서비스들은 매일같이 전체 메일 내용, 메타데이터, 결제 정보까지 제공하는데 왜 그런 기사들은 없냐고 반문함
    Proton은 익명 결제를 허용하고, 암호화된 콘텐츠를 복호화할 수 없다는 점에서 여전히 드문 서비스라고 강조함

    • Proton이 ‘안전하고 개인적인 이메일’로 대중에게 강하게 마케팅했기 때문에, 스위스 정부를 거쳐 미국 정부로 데이터가 전달된 사실이 뉴스가 되는 것이라고 설명함
    • Proton이 익명 결제를 허용한다고 하지만, 실제로는 계정 등록이 필요했던 것으로 기억한다는 의견도 있음
답변달기