인도 정부가 새로 제정할 데이터 수집 법률 규정 준수 기한이 다가오자 전 세계 VPN 서비스 기업이 인도 서버 접속을 중단하였다. 사용자 프라이버시 보호를 위한 시도이다.
인도 정부가 임명한 사이버 보안 및 위협 담당 업무 기관인 인도 컴퓨터 긴급대응팀(CERT)이 9월 25일 자로 VPN 공급사에 사용자가 서비스 구독을 중단하더라도 이름과 이메일 주소, IP 주소를 포함한 모든 사용자 정보를 최소 5년간 수집하고 보유할 것을 요구한다.
2022년 4월, CERT는 사이버 보안 위협 사건 조사 도중 보안 공급사를 통해 특정 정보를 수집할 수 없다는 사실을 발견했기 때문에 모든 고객 정보 수집과 보관 관행이 필요하다고 밝혔다. CERT는 데이터 수집법은 인도의 사이버 보안을 강화하며, 인도의 주권이나 무결성을 위한 규정이라고 주장했다.
VPN 기업과 프라이버시 전문가 모두 데이터 수집법이 사용자 프라이버시와 표현의 자유에 악영향을 미치며, 사용자의 인터넷 활동 암호화와 위치 및 신원을 숨긴다는 VPN의 유일한 사용 목적을 없앤다고 확신한다.
노드VPN(NordVPN) 대변인은 “노드VPN은 디지털 프라이버시와 보안을 옹호하므로 인도 정부의 데이터 수집법 규제가 노드VPN 사용자는 물론이고 온라인 사용자의 데이터에 전반적으로 영향을 미칠 수 있다는 점을 우려한다. 데이터 수집법 규정이 드러난 바와 같이 수백 개 기업 혹은 수천 개 기업을 통해 보관하는 개인 정보의 양이 급격히 증가할 것이다”라고 설명했다. 이어, “보통 독재 정권이 시민 통제 수준을 강화하려 데이터 수집법과 비슷한 규정을 도입했다”라고 덧붙였다.
2021년, 인도의 VPN 사용자 수 증가율은 전 세계 1위를 기록했다. 아틀라스 VPN(Atlas VPN)은 2021년 상반기 기준 인도에서 설치된 VPN 서비스 수는 총 3억 4,870만 개로, 2020년 상반기 대비 671% 급증했다는 분석 결과를 공개했다. 인도 내 VPN 서비스 설치율이 급증한 이유는 계속되는 인터넷 차단과 디지털 스캠 증가, 인도 시민의 온라인 개인 신원 보호 필요성 증가 등이다.
인터넷 자유 재단(Internet Freedom Foundation) 정책 보좌관 테자시 판지아르(Tejasi Panjiar)는 “VPN은 본질적으로 프라이버시 강화 툴이며, 다양한 방식으로 정보 보안을 보호할 능력이 있다. 따라서 개인과 기업이 기밀 정보를 보호하려 VPN을 사용한다. VPN은 헌법상의 디지털 권리 보호를 돕는다. 특히, 언론인과 내부고발자를 보호하는 데 큰 도움을 준다. VPN으로 전송하는 데이터의 본질은 기본적으로 암호화돼, 기밀 문건은 물론이고 사용자 신원도 안전하게 보호한다. 더불어 감시와 검열 위험에서도 안전하게 보호할 수 있다”라고 말했다.
[사진=Unsplash]
인도 정부는 데이터 수집법을 옹호하며, 정보를 조사가 필요한 사건별로 찾는다는 점에서 사용자 프라이버시를 침해하지 않는다고 주장했다. 이는 그동안 인도 정부가 비판 세력과 사회 운동가를 추적해온 기록을 무시한 주장이다. 2022년 8월, 이스라엘 스파이웨어 페가수스를 이용한 정부 기관의 시민 감시 여부 공식 조사를 통해 피해자 최소 5명의 기기에 스파이웨어가 설치된 사실이 드러났다. 그러나 보고서 공개를 거부했다. 대신, 인도 대법원은 기존 감시법에 프라이버시 권리를 포함하고, 시민의 불법 감시 항의 권리를 도입할 것을 권고했다.
CERT는 와이어드의 디지털 수집법 관련 문의에 답변하지 않았다.
2022년 4월, CERT가 처음 데이터 수집법을 발표했을 당시 VPN 서비스 기업 사이에서는 각종 혼란이 이어졌다. 이후 인도 정부는 규정 준수를 위한 3개월간의 시정 기간을 추가했다. 그러나 대다수 VPN 공급사는 3개월 동안 인도의 물리적 서버를 제거했다. 인도 서버를 가장 먼저 차단한 VPN 기업 중 한 곳인 익스프레스VPN(ExpressVPN) 대변은은 “인도는 자국에서 서비스를 운영하는 모든 VPN 기업에 사용자 활동을 기록하고, 5년간 보관하도록 명령했다. 익스프레스VPN의 사용자 프라이버시 보호 약속과는 상반되는 명령이다. 따라서 익스프레스VPN은 인도 VPN 서버 운영 중단이라는 충분히 이해할 만한 결정을 내렸다. 익스프레스VPN 관계자는 “익스프레스VPN은 브라우저 검색 기록이나 트래픽 위치, 데이터 콘텐츠, DNS 쿼리 등을 포함한 사용자 활동 기록을 일절 수집하지 않을 것”이라고 덧붙였다.
월스트리트저널은 프로톤VPN(Proton VPN)도 인도 서버 운영을 중단한다고 보도했다. 반면, 다른 VPN 기업은 사용자에게 미치는 영향을 최소화하면서 프라이버시를 유지할 해결책을 모색하고 있다. 바로 가상 서버를 활용하는 것이다.
영국령 버진아일랜드에 본거지를 둔 익스프레스VPN 대변인단과 각각 미국, 리투아니아에 본거지를 둔 프라이빗 인터넷 액세스(Private Internet Access)와 서프샤크VPN 대변인(Surfshark VPN)은 와이어드와의 인터뷰에서 인도 IP 주소 사용자를 위한 인도 이외 지역에 가상 서비스를 설치했다고 밝혔다. 인도 IP 주소로 서비스를 사용하고자 하는 익스프레스VPN 사용자는 인도에서 싱가포르나 영국을 통해 가상 서버 위치에 접속하면서 서비스를 사용할 수 있다.
서프샤크 대변인은 “가상 위치는 물리적 서버와 같은 기능을 제공한다. 접속 위치가 공개된 국가와 다르다는 점이 큰 차이점이다. 사용자는 가상 서비스를 사용해도 기존 물리적 서버와 같은 기능을 사용할 수 있다. 데이터 수집법이 적용된 인도에서는 인도 IP로 VPN 서비스를 계속 사용할 수 있다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202209/4234_5621_3938.jpg)
뉴스레터 신청