VPN 기업이 인도 정부와 현지 사업 운영 방식 변화로 이어지도록 설계된 규정을 두고 갈등을 빚고 있다. 4월 28일, 인도 정부 관료는 새로운 국가 명령에 따라 VPN 기업에 다량의 고객 데이터 수집 및 5년 이상 유지를 요구했다. VPN 공급사가 규정에 동의해 데이터 수집을 시작하기까지 2개월이라는 시간이 남았다.
인도 컴퓨터 비상 대응팀(CERT-In)은 사이버 범죄 발생 가능성 조사라는 명분으로 데이터 수집을 합리화했다. 그러나 VPN 공급사를 설득하지 못했으며, 일부 기업은 이미 인도 정부의 명령 거부를 선언했다. 해롤드 리(Harold Li) 익스프레스VPN(ExpressVPN) 부사장은 “VPN 기업을 대상으로 사용자 개인 정보를 공유하라는 인도 정부의 명령은 인도 국민의 디지털 권리 침해 시도라는 점에서 우려스럽다”라고 말했다. 리 부사장은 익스프레스VPN은 절대로 사용자 정보나 활동을 기록하지 않았으며, 앞으로 필요할 때마다 사용자 정보와 활동을 수집할 의도로 사업 운영 및 인프라를 변경할 일이 없을 것이라고 밝혔다.
다른 여러 VPN 공급사도 인도 정부의 명령에 따른 선택 방법을 고려 중이다. 기티스 마리나우스카스(Gytis Malinauskas) 서프샤크(Surfshark) 법무 총괄은 서프샤크가 현재 인도 정부의 사용자 정보 기록 요구사항을 준수하지 않는다고 밝혔다. 사용자 관련 데이터를 자동으로 덮어쓰는 RAM 전용 서버를 사용하기 때문이다. 마리나우스카스 총괄은 “서프샤크는 데이터 수집 및 공유를 요구하는 새로운 규제와 함께 규제 준수 시 사업에 미칠 영향을 조사 중이다. 다만, 전체적인 목표는 모든 사용자를 위해 기록을 남기지 않는 서비스를 제공하는 것이다”라고 설명했다. 프로톤VPN(ProtonVPN)도 마찬가지로 규제를 우려하며, 이를 시민 자유 침해라고 말한다. 프로톤VPN 대변인 매트 포센(Matt Fossen)은 “프로톤VPN은 현재 상황을 계속 지켜보고 있지만, 궁극적으로 기록을 남기지 않는 정책을 유지하면서 사용자 프라이버시를 보호할 것이다”라고 말했다. 노드VPN(Nord VPN) 개발사인 노드시큐리티(Nord Security) 공공 관계 총괄 로라 티리라이트(Laura Tyrylyte)는 “프로톤VPN 관계자는 인도 정부 명령을 조사하면서 가장 좋은 대응 방법을 모색 중이다”라며, “노드시큐리티는 인도 정부의 명령에 따라 사용자 데이터를 건네야만 한다면, 인도 현지 서버를 제거할 수 있다”라고 밝혔다.
VPN 업계의 강경 대응은 인도 명령 준수 위험성을 나타낸다. 인도는 자유로운 공개 민주주의에서 급속도로 멀어지며, 대부분 VPN을 사용해 소통하는 비정부 단체와 언론인, 사회 운동가를 단속하기 시작했다. 국제 인권감시기구(Human Rights Watch)는 최근, 인도의 언론의 자유가 공격받고 있으며, 여러 법률과 정책 변화가 인도 소수 민족의 권리를 위협한다고 경고했다. 국경 없는 기자회(Reporters Without Borders)는 전 세계 180개국 중 인도의 언론 자유 순위를 이전보다 8단계 하락한 150위로 평가했다. 인도 당국이 언론인을 겨냥한 공격을 개시하며, 민족주의 집단의 폭력 행위를 촉발하면서 나렌드라 모디 인도 총리 비판 성향의 현지 기자를 향한 괴롭힘을 유도했다. 인도의 모든 VPN 사용자 데이터를 수집하여 저장한다면, 정부가 VPN을 사용하는 기자에게 접촉해, VPN 사용 이유를 추궁하기 더 쉬울 것이다.
인도 정부 관료는 VPN 공급사에 적용하는 명령이 언론의 자유를 더 악화할 의도로 데이터를 수집하는 것이 아니라 사이버 범죄 감시 수준 향상 노력이라고 주장했다. 지난 몇 년간 인도의 데이터 공격 피해 건수가 급격히 증가하면서 2021년 기준 데이터 공격 피해 수준이 세계에서 세 번째로 심각한 국가가 되었다. 인도 기술 법률 지원 서비스 공급사인 소프트웨어 자유 법률 센터(Software Freedom Law Center) 창립자이자 기술 전문 변호사인 미시 쵸다리(Mishi Choudhary)는 “인도에서는 데이터 공격이 매우 만연해, 더는 이전처럼 언론이 중요한 뉴스 보도 내용을 전달할 수 없는 수준이다”라고 말했다. 2021년 5월, 도미노 피자 고객 100만여 명의 이름과 이메일 주소, 위치, 연락처 탈취 후 온라인에 공개되는 사례가 발생했다. 같은 해 디지털 결제 플랫폼 모비키윅(MobiKwik) 고객 1억 1,000만 명의 정보가 다크웹에 유출됐다. 이제 심각한 데이터 공격 피해 사례가 계속 증가하자 인도 정부는 사이버 범죄 급증 사례를 억제하려는 수단으로 VPN 공급사 규제를 선택했다.
인도 자유 소프트웨어 운동(Free Software Movement) 소속으로 인도 디지털화를 집중적으로 연구하는 스리니바스 코다리(Srinivas Kodali) 연구원은 “CERT-In는 모든 사이버 보안 사건 대응이라는 의무를 지니고 있다”라고 언급했다. 다만, 코다리 연구원은 효율성에 의문을 제기했다. 이론상 CERT-In가 정보를 보유한다면, 사실 확인 후 사건을 더 빨리 조사해야 한다. 그러나 많은 이들이 전체 상황을 믿지 않는다. 코다리 연구원은 “CERT-In의 사이버 보안 관리 과거 이력에 문제가 있으며, 실제로 사용자 프라이버시를 보호하지 않는다. 인도 정부가 새로 제정한 법률은 실제 사이버 범죄 조사에 필요할 때만 사용자 정보 기록을 요청할 것이라고 명시한다. 그러나 인도에서는 실제 법률 위반 사항을 예측할 수 없다”라고 주장했다.
인도 정부의 과도한 사용자 정보 접근 우려는 이미 발견되었다. 2022년 4월, 인터넷 자유 로비 활동을 펼치는 디지털 권리 옹호 단체 액세스 나우(Access Now)는 2021년 인터넷 폐쇄 기록 사건 182건 중 106건은 인도 정부 탓이라고 입증한 데이터를 공개했다. 인도는 4년 연속 전 세계 인터넷 폐쇄 건수 1위라는 불명예를 기록했다. 그와 동시에 인도 정부는 의회에 이스라엘 기업이 개발한 스파이웨어 페가수스(Pegasus)를 자국 정치인과 변호사, 사회 운동가 160명을 감시할 의도로 설치하여 사용하도록 지시했다는 의혹을 받고 있다.
[사진=Unsplash]
다른 측면에서도 법률 집행 기관의 ‘데이터 수집 후 동의 요청’이라는 접근방식을 우려할 수 있다. 아누팜 찬더(Anupam Chander) 조지타운대학교 워싱턴DC 캠퍼스 법학 교수는 “모든 데이터를 수집하고 사용자 감시 상태를 유지할 심각한 문제가 있는 접근 방식이다. 이는 인도 정부가 법률 집행 기관이나 정보 수집 혹은 다른 여러 목적으로 데이터가 필요하다면, 추후 데이터를 얼마든지 수집할 수 있다는 의미이다”라고 지적했다. VPN 데이터 수집은 VPN 기술에 의존하는 인도 국민 수백만 명의 정보 수집으로 이어질 수 있다. VPN 서비스 공급사 아틀라스VPN(Atlas VPN)은 2021년 인도 국민 5명 중 1명꼴로 VPN 서비스를 이용하며, 전년 대비 인도 이용자 비율이 3% 증가했다고 발표했다. VPN 사용 증가는 베네수엘라와 코스타리카, 캄보디아 등과 같은 국가에서도 인도와 비슷한 양상을 기록했다. 또한, 인도 사용자가 정보 보안 목적으로 VPN 서비스를 사용하고자 하면서 인기 웹사이트의 지리적 차단 우회 방법을 모색한다는 사실도 반영한다.
인도 사용자가 일상에서 VPN 서비스를 원하는 또 다른 이유는 인도 전역에서 논란이 되는 전국적 신원 확인 데이터베이스 때문이다. 아드하르(Aadhaar)라는 이름으로 알려진 신원 확인 제도는 2009년 등장한 뒤 진화했다. 아드하르는 인도 국민 개인의 생체 정보와 인구 집단 정보를 기준으로 12자리 숫자로 구성된 신원 코코드를 부여한다. 아드하르 지지 세력은 인도 경제 디지털화의 일부 전략이자 한층 더 원활한 정부 서비스 접근을 지원한다고 주장한다. 반면, 아드하르 반대 세력은 은행 계좌 개설, 구급차 호출, 세금 납부 시 사용 의무화 등 보편적인 아드하르 사용 요구가 원활한 시민 서비스 지원이라는 명목으로 부적절한 감시를 시행하는 국가 존재 시도로 이어질 수 있다고 비판한다. 쵸다리 변호사는 VPN 공급사를 겨냥한 법률이 인도 전 지역 국민을 위한 광범위한 영역에서의 소름 끼치는 미션의 한 부분이라고 주장한다. 그는 “VPN 공급사의 데이터 수집 및 공유 명령은 단순히 관료주의 문제가 아니다. 인도 정부가 인터넷 통제 접근성과 감시 강화를 위해 모든 기회를 이용할 것이라는 의미이다”라고 진단했다. CERT-In은 와이어드의 문의에 답변하지 않았다.
사용자 데이터 수집 및 공유는 인도에서만 발생하는 문제가 아니다. 파키스탄 변호사이자 인터넷 운동가인 니가트 다드(Nighat Dad)는 “남아시아 여러 국가는 기본적으로 경쟁하듯이 자국민의 디지털 권리를 침해한다”라고 말했다. 파키스탄 정부는 2021년 10월, 자국 SNS 플랫폼에 게재된 모든 콘텐츠 감시와 검열 권리를 부여하는 법률을 도입했다. 과거에는 공공 질서를 유지하려 페이스북과 트위터, 유튜브, 왓츠앱, 텔레그램을 차단한 적이 있다. 다드 변호사는 파키스탄 정부의 법률 도입을 우려한다. 그는 “파키스탄뿐만 아니라 인도에도 위험에 처한 소외 집단이 있다. 디지털 권리 침해 법률 제정과 도입은 매우 우려스러운 상황이다”라는 견해를 피력했다. 인도네시아에서도 비슷한 우려가 제기된 적이 있다. 인도네시아는 통신부에 디지털 플랫폼을 등록하고 정부가 요청할 때, 시스템과 데이터 접근 권한 제공에 동의하도록 한다. 방글라데시 상황도 다르지 않다. 비영리단체 프리덤하우스(Freedom House)가 경고한 바와 같이 방글라데시의 인터넷 자유는 역사상 최악에 이르렀다. 방글라데시 집권 여당은 각종 법률을 동원하면서 SNS를 통해 반정부 인사를 단속한다.
인도에서 기술 개발 혹은 서비스 운영 중인 모든 VPN 기업은 CERT-In의 명령 동의 혹은 인도 서비스 지원 중단 중 하나를 선택해야 한다. 코다리 연구원은 사용자 보호와 인도 정부 명령 준수 사이에 있는 중간 수준의 해결책을 선택해, 신규 사용자의 VPN 사용료 인도 계좌 결제를 거부할 수 있다고 설명했다. 인도 은행 계좌로 VPN 서비스 사용료를 결제할 수 없다면, 이론상 인도 국민의 VPN 서비스 가입이 불가능하지만, 실질적으로 정부 제한을 우회할 수단을 얼마든지 찾을 수 있다. 그러나 인도의 VPN 서비스 제한 시작이 현재 수준에서 끝나지 않을 것이다. 인도가 중국의 엄격한 인터넷 검열 선례를 따른다고 확신하는 찬더 교수는 “인도 정부의 VPN 서비스 규제가 전 세계적인 여파를 낳을 수 있다”라고 언급했다. 또, 비교적 자유 보장 수준이 높은 정부도 인도와 중국의 검열 사례를 따를 수 있다는 우려도 제기되었다. 영국에서는 최종 암호화 기술 공격이 보편적이며, 미국도 인도와 영국, 일본, 호주, 뉴질랜드의 뒤를 이어 암호화 표준 저하로 이어질 수 있는 백도어 접근 요청을 위한 국제 공식 성명에 서명했다. 찬더 교수는 “각국 정부가 데이터 보호 수준 저하로 이어질 행동을 정당화하면서도 시민 자유 위협을 설명하지 않는다는 사실이 중요하다고 본다”라고 밝혔다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202205/3913_5202_1048.jpg)
뉴스레터 신청