민주·권위주의 국가들이 대규모 감시 경쟁을 벌이고 있음

 (mullvad.net)
1P by GN⁺ | ★ favorite | 댓글 1개
  • 국가 대규모 감시는 민주주의와 권위주의를 가리지 않고 확산됐으며, 인권과 사생활 침해뿐 아니라 실제 문제 해결에도 비효율적이라는 비판을 받음
  • 미국의 감시 체계는 FISA Section 702, PRISM, Upstream, XKeyscore를 축으로 법원 판단 없이 방대한 인터넷 활동과 메타데이터에 접근할 수 있게 했음
  • 유럽과 영국에서는 Tempora, Fourteen Eyes 협력, EU의 chat control, 프랑스의 AI 영상 감시, 헝가리의 ISP 접근 장비처럼 감시 확대와 개인정보 보호 압력이 충돌함
  • 권위주의 국가는 검열과 감시를 노골적인 통치 수단으로 활용하며, Iran의 SIAM, Russia의 SORM·Safe City, China의 Great Firewall·Police Cloud·Sharp Eyes·Skynet이 시민 통제에 쓰임
  • 자유 사회를 지키려면 범죄 의심자에 대한 표적 감시와 인구 전체를 겨냥하는 대규모 감시의 경계를 분명히 해야 함

대규모 감시에 대한 기본 입장

  • 대규모 감시는 상업적 감시와 국가·통치자에 의한 감시로 나뉘며, 둘 다 개인의 인권과 자유 사회의 기반인 사생활을 침해함
  • 감시는 범죄 의심이 있을 때 독립된 법원 결정과 비례성에 따라 표적 감시로 이뤄져야 하며, 인구 전체나 다른 나라 시민을 대상으로 한 대규모 감시는 피해야 함
  • 인권은 국가로부터 개인을 보호하기 위해 존재하며, 정부가 바뀌고 권력이 잘못된 결정을 내릴 수 있기 때문에 국가가 통제 불가능한 권력을 가져서는 안 됨
  • 오늘날 대규모 감시는 국가별로 기원과 형태가 다르지만, 상당 부분은 전 세계적 인터넷 인프라를 통해 작동함

미국: Section 702와 전 세계 감시 인프라

  • Snowden의 2013년 폭로로 미국 당국이 전 세계 수억 명을 감시했다는 사실이 드러남
  • FISA Section 702는 미국이 5년마다 갱신해 온 법으로, 외국인 감청을 명분으로 만들어졌지만 인터넷 구조상 외국인과 미국 시민 모두의 감시로 이어질 수 있음
  • Snowden 문서는 NSA가 세계 각지에서 하루 2억 건의 문자 메시지를 수집했고, 사실상 지구상의 거의 모든 사람을 감시할 능력을 갖췄음을 보여줌
  • XKeyscore는 이메일, 채팅, Facebook 비공개 메시지, 검색 기록, 방문 사이트 등 “일반 사용자가 인터넷에서 하는 거의 모든 것”을 다루는 데이터베이스였음
    • 분석가는 IP 주소나 이메일 주소 같은 강한 검색어로 특정인의 온라인 활동을 볼 수 있었음
    • 키워드나 문구 같은 약한 검색어로 특정 인터넷 행동을 보인 사람 목록을 만들 수 있었음
    • 검색은 법원이나 NSA 내부 상급자의 판단 없이 가능했음

PRISM, Upstream, TURMOIL, TURBINE

  • Section 702는 PRISM과 Upstream을 통해 FBI, CIA, NSA가 대량의 데이터에 접근할 수 있게 함
  • PRISM은 Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL, Apple 같은 미국 기업의 데이터에 접근하는 구조였음
    • Snowden은 Permanent Record에서 PRISM이 이메일, 사진, 영상·음성 채팅, 웹 브라우징 콘텐츠, 검색 쿼리, 클라우드 저장 데이터를 수집할 수 있게 했다고 썼음
    • 해당 기업들은 FBI, CIA, NSA가 시스템과 서버에 직접 접근했다는 점을 부인했지만, 법 때문에 관여 사실을 인정하는 것이 불법일 수 있다는 설명도 있었음
  • Upstream은 미국 전화·인터넷 사업자의 백본에 직접 연결해 인터넷 트래픽을 수집하는 방식이었음
    • AT&T 같은 미국 통신사가 포함됐고, 일부 라우터 제조사가 NSA용 감시 기능을 제품에 넣었다는 폭로도 있었음
    • Snowden은 Upstream이 위성, 해저 광케이블, 스위치, 라우터를 지나는 트래픽을 직접 포착한다고 설명함
  • TURMOIL과 TURBINE은 대규모 트래픽을 선별하고 공격하는 데 쓰였음
    • TURMOIL은 이메일 주소, 신용카드, 전화번호, 지리적 출발지·목적지, “anonymous internet proxy”, “protest” 같은 키워드를 기준으로 트래픽을 표시함
    • TURBINE은 표시된 요청을 NSA 서버로 보내고, 알고리듬이 어떤 악성코드형 익스플로잇을 쓸지 결정함
    • 익스플로잇이 컴퓨터에 들어가면 메타데이터뿐 아니라 데이터 자체에도 접근할 수 있음

메타데이터와 상업 데이터 구매

  • 국가들은 “메타데이터만 수집한다”는 식으로 대규모 감시를 축소하지만, 메타데이터에는 웹사이트 방문 기록과 검색 기록이 포함될 수 있음
  • Bruce Schneier는 메타데이터가 친밀한 친구, 업무 관계, 관심사, 중요한 대상을 드러낸다고 설명했으며, Stewart Baker 전 NSA 법률고문은 충분한 메타데이터가 있으면 콘텐츠가 필요 없다고 말함
  • 메타데이터는 미국 감시 장치를 비판한 언론인을 식별하는 데도 쓰일 수 있음
    • Snowden이 접촉한 Laura Poitras와 Glenn Greenwald는 NSA를 비판했고 개인적 불이익을 겪었음
    • GCHQ는 New York Times, Le Monde, Washington Post 등 언론인의 이메일을 가로챘고, 탐사보도 기자를 테러리스트·해커와 같은 위협으로 분류했음
  • 미국 감시 장치는 테러리스트와 범죄자뿐 아니라 산업 스파이 활동, Amnesty와 Human Rights Watch 같은 인권단체, 프랑스 월 7천만 건 통화, 정치인과 세계 지도자 감시에도 사용됐음
  • 최근에는 FBI 등 미국 기관이 데이터 브로커에게서 수집 데이터를 구매한 사실도 드러남
    • 기관이 직접 수집하면 헌법상 문제가 되는 데이터도 상업적으로 구매하면 별도 경로로 확보할 수 있음
    • 한 미국 정부 컨설턴트는 광고 기술 생태계를 “인류가 고안한 가장 큰 정보 수집 기업”이라고 표현함
    • Michael Morell 전 CIA 국장은 상업적으로 이용 가능한 정보가 전통 정보 방식으로 수집됐다면 최고기밀 민감 정보로 취급됐을 것이라고 말함

Section 702 갱신 논쟁과 2024년 확장

  • Section 702는 2023년에 다시 갱신 논쟁의 중심이 됐고, 하원은 연장 법안을 세 차례 통과시키지 못해 결정을 2024년 봄으로 미룸
  • 제안된 주요 수정안에는 미국 시민 감시에 법원 승인을 요구하는 방안과, 감시 대상이 단지 언급된 통신까지 겨냥하는 abouts collection을 막는 방안이 포함됨
  • 최종적으로 하원과 상원은 Section 702 연장을 통과시켰지만, 일반적인 5년이 아니라 2년 연장으로 줄어듦
  • 동시에 법은 확장됐고, 정부 기관의 대규모 감시에 협력하도록 강제될 수 있는 기업·조직의 범위가 넓어짐
    • 새 정의는 라우터 같은 대상 통신 인프라에 물리적으로 접근할 수 있는 주체까지 포함할 수 있음
    • Ron Wyden 상원의원은 이를 “극적이고 끔찍하다”고 불렀고, Edward Snowden은 “NSA가 인터넷을 장악하고 있다”고 말함

영국, Fourteen Eyes, VPN 위치 논쟁

  • 영국 GCHQ의 Tempora는 미국과 유럽 사이 광섬유망에 직접 연결해 대서양 양쪽의 인터넷 트래픽에 접근했음
  • 2013년에는 GCHQ 직원 300명과 NSA 직원 250명이 4만 개의 키 트리거로 들어오는 데이터를 분석했고, NSA 직원 85만 명이 영국 시스템에 접근할 수 있었음
  • Tempora는 하루 6억 건의 전화 이벤트와 기타 트래픽을 200개 광케이블을 통해 처리했으며, Snowden은 이를 “인류 역사상 가장 큰 무혐의 감시 프로그램”이라고 불렀음
  • Five Eyes는 Australia, Canada, New Zealand, UK, USA의 전자 도청 동맹으로 시작했고, Snowden 폭로는 Belgium, Denmark, France, Germany, Italy, Netherlands, Norway, Spain, Sweden이 포함된 Fourteen Eyes 확장을 드러냄
  • VPN 사업자가 Fourteen Eyes 밖에 있다는 이유로 더 낫다고 주장하는 것은 인터넷 트래픽이 여러 국경과 인프라를 통과한다는 점을 무시함
    • VPN의 목적은 당국이 광케이블에 연결하더라도 트래픽을 읽기 어렵게 암호화하는 것임
    • VPN 사업자 위치에서 중요한 것은 정보기관 협정 자체가 아니라 로그 보관과 데이터 제공을 강제하는 해당 국가의 법률임
    • 14개국 목록은 10년 넘은 폭로에 기반하며, 현재 참여 국가 수와 범위를 VPN 사업자가 알 수 없음

유럽의 상반된 흐름

  • 2018년 유럽인권재판소는 Tempora가 불법이며 민주사회에 필요한 조건과 양립하지 않는다고 판단했고, 2020년 미국 법원은 NSA의 수억 명 감시가 위법·위헌이라고 판단함
  • EU 안에서는 대규모 감시를 불법으로 보는 최고 법원 판단과 GDPR 같은 규제로 빅테크를 압박하려는 흐름이 있음
    • GDPR은 지금까지 주로 상징적 과징금과 쿠키 경험 악화를 낳았지만, Meta와 Google 같은 기업에는 실제 압력을 주기 시작함
    • 기술 기업이 새로운 데이터 수집 방식을 만들 위험도 남아 있음
  • 반대편에서는 프랑스가 AI 영상 감시를 도입하려 하고, 헝가리는 법원 결정 없이 ISP 네트워크와 사용자 인터넷 행동에 접근할 수 있는 블랙박스를 설치함
  • EU의 chat control 제안은 사적 통신에 대한 전면 금지에 가까운 대규모 감시로 이어질 수 있음
  • 영국의 Online Safety Bill 초안은 Snowden 폭로 이후 더 널리 쓰이게 된 암호화 트래픽을 약화하려는 움직임으로 다뤄짐
  • Pegasus 스파이웨어는 유럽과 다른 지역에서 반대자, 정치 활동가, 언론인을 겨냥하는 데 사용됨

권위주의 국가의 감시와 검열

  • 전 세계 인터넷 사용자는 45억 명 이상이며, 그중 76%는 정치·사회·종교 문제를 온라인에 썼다는 이유로 사람을 수감하는 국가에 살고 있음
  • 권위주의 국가에서 VPN은 대규모 감시를 줄이는 수단일 뿐 아니라, 검열되지 않은 자유로운 인터넷에 접근하기 위한 도구이기도 함
  • Iran은 인터넷을 완전히 차단하거나 SIAM으로 모바일 네트워크를 통해 휴대전화 사용을 제어·필터링·감시함
  • Egypt 정부는 언론인, 활동가, 변호사를 감시하고, Morocco 당국은 Pegasus로 인권단체를 감시함
  • Russia의 FSB는 SORM으로 전화 통화를 도청하고 이메일·메시지를 읽어 왔으며, Moscow의 Safe City는 수십만 대의 감시 카메라, 얼굴 인식, 모바일 데이터 감시를 결합함
    • Safe City는 시위자, 정치적 반대자, 언론인을 추적하고 수감하는 데 사용됨
    • Probiv라는 디지털 암시장에서는 부패했거나 불만을 가진 관리들이 대규모 감시 데이터베이스의 데이터를 유출함
    • 그 결과 Putin의 최측근 정보도 소액으로 구매할 수 있게 됐고, 야권·외국·탐사보도 기자가 이를 활용함

China: Great Firewall, Police Cloud, Sharp Eyes, Skynet

  • China는 7억5천만 인터넷 사용자의 접근 가능한 사이트를 통제하고, VPN 서비스를 차단하며, 콘텐츠 게시에 실명 등록을 요구함
  • 소셜미디어와 메시징 앱은 국가 감시를 받고, 외국 앱은 금지되며, China에서 창업된 TikTok도 국제 콘텐츠를 차단하는 별도 버전이 있음
  • 모든 이동전화는 위치 데이터로 지속 감시되고, 인터넷 서비스 제공자는 국가와 협력해야 함
  • Great Firewall of China는 중국인의 인터넷 경험을 통제·검열하며, 2013년에도 200만 명의 “인터넷 여론 분석가”가 온라인 메시지를 수작업으로 검열했음
  • “public opinion analysis software”는 데이터를 수집하고 AI로 “민감한 자료”에 반응함
    • 온라인에서 China를 비판한 활동가, 언론인, 일반 시민이 수감된 사례가 이어짐
    • “영웅과 순교자”를 모욕하면 3년형 위험이 있음
  • Police Cloud는 빅데이터 기반 시스템으로 숨은 흐름과 관계를 시각화하고, 관계 지도를 만들며, “극단적 의견”을 기록함
  • China는 음성 지문을 수집하고, 전 세계 100만 대 감시 카메라 중 절반 이상을 설치했으며, 얼굴 인식뿐 아니라 감정 식별 기술도 도입함
  • 다큐멘터리 Total Trust는 450만 명의 “grid officers”가 구역별 주민 행동 기록을 유지하는 방식을 다룸
    • Sharp Eyes는 정부 감시 카메라와 “자원봉사자”의 이웃 신고를 결합함
    • Skynet은 수많은 감시 카메라를 통해 거리, 감시 대상으로 분류된 사람의 집 주변, 계단, 현관까지 감시함
    • 얼굴·눈·음성 인식 같은 생체 AI와 온라인 행동 감시가 물리적 세계의 이동과 결합됨
  • 2015년 709 Crackdown에서는 수백 명의 인권 변호사가 수감·고문당했으며, 수감되지 않은 사람들도 계속 감시됨

대규모 감시와 자유 사회의 경계

  • 권위주의 국가는 대규모 감시를 반대자 박해, 정보 검열, 시위 억압을 위한 통제 도구로 사용함
  • 민주주의 국가는 대규모 감시를 덜 과시하고 피해 결과도 덜 가혹하지만, 선거와 언론인·반대자 감시에 쓰인 사례가 있음
  • 대규모 감시는 통제이며 자유의 반대편에 있음
  • 자유 사회는 어느 지점에서 자유 사회로서의 지위를 잃을 수 있기 때문에, 자유로운 인터넷을 지키기 위한 싸움이 필요함

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 일방향 래칫이 닫히기 전의 인터넷은, 권력자들이 다시는 반복되길 원하지 않는 병 속의 번개처럼 점점 느껴짐
    지난 몇 년간 모든 흐름은 소수 서비스로의 중앙집중화, 둘러싸인 황무지 같은 폐쇄형 공간, 브라우징만 하려 해도 익명성을 포기해야 하는 구조, 운영 국가와 강하게 결합된 서비스로 향해 왔음
    특히 기술 대기업은 PRISM 비슷한 프로그램을 통해 사실상 감시기관의 확장처럼 되어가고 있음
    곧, 혹은 이미 운 나쁜 사람들에게는 지금도, Google이 승인하고 상시 감시하는 휴대기기를 통해 접근하는 모든 웹사이트에서 Google 추적을 명시적으로 허용하지 않으면 인터넷을 탐색조차 못 하게 될 것임
    상업용 VPN은 해결책이 아니라 문제를 뒤로 미루는 것뿐이고, 결국 그들에게도 칼날이 올 때 항의할 사람 수만 줄여줄 뿐임
    먼저 제공자에게 엄격한 책임성과 연령 확인을 요구하고, 이후 따르지 않는 VPN은 전면 금지하는 식으로 갈 것임

    • 반대로 감시되는 폐쇄형 정원은 늘었지만, 전체 콘텐츠도 더 많아졌음
      초기 인터넷보다 지금이 더 다양하고 종종 익명인 관점을 더 많이 보게 되는 것 같음

  • 스포일러를 하자면, 싱가포르는 이미 몇 년 전에 이 경쟁에서 이겼음
    카메라가 어디에나 있고, 무엇보다 싱가포르 시민들은 서로가 무례한 행동을 하지 않도록 감시하게 교육받음
    관련 글은 여기 있음: https://gcctvms.com/smart-city-surveillance-singapore-camera...

    • 가지 말아야 할 나라 목록이 필요함
      지금까지는 영국, 중국, 싱가포르가 있음
      다만 여행할 때는 권리가 줄어드는 걸 받아들여야 할지도 모르겠음
    • 미국보다는 언제든 싱가포르에 살고 싶음
      어느 정도의 감시와 법 집행은 필요하다고 봄
      미국에서는 사람들이 “신이 준 권리”라며 아무 결과 없이 뭐든 해도 된다고 생각함
      거리의 쓰레기만 봐도 그렇고, 누군가에게 주차 공간 두 칸을 차지했다고 말해보면 얼마나 빨리 얼굴을 맞게 되는지 알 수 있음
      모두가 마음대로 해도 된다고 생각하는 사회보다는 카메라와 엄격한 법 집행이 낫다고 봄
      싱가포르에 살아봤는데 훌륭했고, 매우 안전하고 깨끗했으며 한밤중에 혼자 걸어도 전혀 걱정이 없었음

  • Reddit이 어제부터 KYC를 요구하기 시작했음
    우리가 아무리 불평하고 슬퍼해도 Reddit은 그 상황에 잘 대비해 왔고, 아무것도 바뀌지 않을 것임
    내 말 기억해두면 좋겠음: 약 2년 안에 HN에도 KYC가 필요해질 것임
    dang이 원해서가 아니라, 세상이 그 방향으로 가고 있기 때문임

    • dang은 원하지 않을 수도 있지만, 그의 상사는 분명 원할 것임
      YC의 사장 겸 CEO인 Garry Tan은 Flock 지지와 관련해 이렇게 말했음: “중국식 감시라고 생각하겠지만, 미국 기반 감시는 피해자를 돕고 더 많은 피해자를 막는다” [1]
      기술/VC 쪽 사람들은 그걸 원함. 돈이 그쪽에 있을 것이기 때문임
      [1] https://x.com/garrytan/status/1963310592615485955
    • “우리가 불평하고 슬퍼해도 아무것도 바뀌지 않는다”지만, 내게는 Reddit을 끊는 것이 바뀐 일이었음
    • Reddit은 KYC를 요구하고 싶어서가 아니라 법으로 강제받고 있음
      VPN을 써서, 예를 들어 Mullvad나 IVPN으로 더 자유로운 국가나 주에서 접속하는 것처럼 보이게 하면 KYC를 우회할 수 있음
    • 이상한 건 Reddit에서도 HN에서도 내가 고객이 아니라는 점임
      내가 상품
    • 여기가 이용 가능한 곳 중 가장 좋아서 옮겨왔던 것임
      이곳을 이용할 수 없게 되면 다른 곳으로 옮기면 됨

  • 정부가 넓게 그물을 치고 있지만, 전체적으로는 진행 중인 해외 영향력과 첩보 냉전을 겨냥한 것처럼 보임
    대부분 국가에서 범죄 대응에 쓰겠다는 생각은 부차적이고, 이런 시스템을 도입하는 진짜 이유는 각 정부가 너무 부끄러워해서 거의 말하지 않음
    캐나다에서는 최근 큰 누락이 두 가지 있었는데, 하나는 중국 정부의 캐나다 선거 개입이고 다른 하나는 인도 스파이가 캐나다 영토에서 인도계 이민자를 살해한 사건임
    이 모든 것이 임무 확장으로 이어질 수도 있지만, 좋은 점이라면 얼굴로 결제할 수 있게 된다는 것 정도임

    • 미국은 확실히 국내 감시와 해외 감시 사이의 벽을 허물려 하고 있음

  • VPN은 좋지만, 북미에서 광고가 많이 되는 다수 VPN은 공격과 악용의 큰 원천이라 차단하고 싶어지는 것도 당연함
    이들은 차단을 피하려고 가정용 인터넷 제공업체와 계약을 맺기도 함

    • 가장 큰 가정용 인터넷 제공업체 프록시 사업자인 BrightData는 Samsung과 LG가 만든 스마트 TV 수백만 대에 이를 설치했는데, TV를 구매하고 사용하는 사람들은 그 사실을 모름

  • 이 메시지에는 꽤 공감하지만, “Pentagon 직원조차 사생활 존중을 기대할 수 없다”는 말은 말이 안 됨
    입사할 때는 사생활을 포함해 모든 것을 넘기는 것에 동의하는 것임

  • 5년 뒤에는 도난당한 신분증 스캔본을 기본적인 프라이버시와 익명성 도구로 쓰는 일이, 오늘날 VPN을 쓰는 것만큼 흔해질 것 같음
    참 멋진 세상임

  • 영국이 확실히 이길 것임

  • 직접 실리콘을 만들지 않는다면 이미 장악당한 것임

  • 흥미로운 질문은 비서구 국가들이 미국 주도도 아니고 중국식 방화벽도 아닌 자체 인터넷 거버넌스 모델을 만들 수 있느냐임
    .ng 국가 최상위 도메인, 즉 나이지리아 도메인은 .com의 대안이 되는 실제로 작동하는 이름공간임
    인터넷은 원래 분산되어야 했음
    미래는 단일 진영 접근이 아니라 진짜 분산 거버넌스일지도 모름

답변달기