본문 바로가기 주메뉴 바로가기 검색 바로가기
영국의 비밀 웹 감시 프로그램, 소리소문 없이 확장
상태바
영국의 비밀 웹 감시 프로그램, 소리소문 없이 확장
영국 정부의 시민 인터넷 기록 수집 노력은 테스트 단계를 넘어선 단계로 향한다. 그러나 상당수 상세 정보가 여전히 대중적으로 볼 수 없는 상태로 숨겨졌다.
By MATT BURGESS, WIRED UK

영국 정부가 소리소문 없이 논란이 되는 감시 기술 확장과 개발을 추진한다. 영국 정부가 채택하는 감시 기술은 시민 수백만 명의 웹 이력 기록과 저장이 가능하다.

2022년도 정부 관료 보고서와 지출 문건 모두 영국 경찰이 시민의 인터넷 접속 기록 수집 시스템 테스트가 성공적이었다고 보며, 시스템을 전국 단위로 도입할 수도 있는 작업을 시작했다는 사실을 입증한다. 만약, 감시 시스템이 구축된다면, 법률 집행 기관의 강력한 감시 툴이 될 수 있다.

비판 세력은 시스템이 매우 심각한 수준으로 프라이버시를 침해한다고 주장하며, 정부 관료가 시민 데이터를 제대로 보호하지 못한 적이 있다는 사실을 지적했다. 정부의 상당수 기술과 기술 운영은 비공개로 숨겨졌으며, 영국 정부 산하 여러 기관이 시스템 관련 문의에 답변을 거부했다.

2016년 말, 영국의 감시 및 해킹 권한 개정안을 신속하게 도입한 수사권한법(Investigatory Powers Act)이 영국 정부에서 통과됐다. 수사권한법은 법률 집행 기관과 정보국이 할 수 있는 행위와 접근할 수 있는 데이터를 중심으로 규정을 추가했다. 그러나 시민 프라이버시에 미치는 영향 때문에 대대적으로 비판받고, ‘엿보기 헌장(Snooper’s Charter)’이라는 수식어를 얻게 되었다.

유독 논란이 되는 사안은 이른바 인터넷 접속 기록 생성이다. 수사권한법에 따라 인터넷 공급사와 휴대전화 기업은 상급 법원의 승인이 있을 때, 사용자의 12개월간 브라우저 사용 기록을 저장해야 한다는 명령을 받을 수 있다.

인터넷 접속 기록은 사용자가 방문한 모든 페이지 목록을 나열하지 않지만, 사용자의 온라인 활동 정보 상당 부분을 공개한다. 예를 들어, 인터넷 접속 기록은 사용자가 와이어드 웹사이트에 접속한 사실을 포함할 수 있지만, 사용자가 읽은 각각의 기사 정보는 기록하지 않는다. 또한, 사용자의 IP 주소와 고객 연락처, 정보 접속 날짜와 시간, 전송된 데이터양도 포함될 수 있다. 영국 정부는 예시로 인터넷 접속 기록이 사용자가 여행 앱 이지젯(EasyJet)을 휴대전화로 접속한 때를 시사할 수 있으나 앱 사용 방식은 공개되지 않는다고 설명했다.

영국 시민 자유 단체 프라이버시 인터내셔널(Privacy International) 법률 책임자이자 변호사인 누르 하이다르(Nour Haidar)는 “인터넷 접속 기록은 프라이버시 침해 수준이 심각하므로 이동통신사와 정보기관의 과도한 정보 보관으로부터 보호가 필요하다”라고 주장했다. 프라이버시 인터내셔널은 수사권한법 규정에 따른 데이터 수집 및 관리에 맞서 법정 공방에 나선 적이 있다.
 
[사진=Freepik]
[사진=Freepik]

인터넷 접속 기록 생성 및 사용 방법은 거의 알려지지 않았다. 수사권한법이 통과되었을 당시 인터넷 기업은 인터넷 접속 기록 수집 및 저장에 필요한 시스템을 구축하는 데 수년이 걸릴 것이라고 밝혔다. 그러나 일부 문건은 현재 인터넷 접속 기록이 자연스럽게 생성될 수 있다는 사실을 담았다. 2023년 2월, 영국의 보안 및 정책 담당 정부 부처인 내무성은 지금까지 수사권한법 시행 사항을 담은 의무 검토 보고서를 발행했다.

영국 국가범죄수사국(National Crime Agency)은 인터넷 접속 기록 운영, 기능, 기술적 측면을 시험한 뒤 기록 수집 시 운영 이점이 매우 크다는 사실을 발견했다. 아동의 불법 이미지 제공 웹사이트에 집중한 소규모 실험으로 불법 웹사이트 접속자 120명을 찾아냈다. 그러나 불법 웹사이트 접속자 중 정보 검증을 기반으로 법률 집행 기관에 알려진 이는 단 4면이었다.

와이어드는 인터넷 접속 기록 테스트 관련 상세 정보가 훨씬 부족했던 2021년 3월, 인터넷 접속 기록 존재 사실을 최초로 보도했다. 내무성의 보고서는 인터넷 접속 기록 시범 도입은 법률 집행 기관에 유용하며, 영국 전역으로 시스템을 확장하기 위한 준비에 도움이 될 수 있다는 사실을 최초로 시사한 정부 공식 보고서이다. 또한, 내무성은 보고서에 “시범 도입 단계에서 인터넷 접속 기록이 현재 수사의 핵심이 될 수 있는 일부 요소에 도달하지 못할 수도 있는 것으로 나타났다”라고 명시하며, 추후 수사권한법이 개정될 가능성을 제기했다.

2022년 5월, 내무성은 전국 단위의 인터넷 접속 기록 서비스를 생성하기 위한 미래 시범 도입 단계가 진행 중이라고 밝힌 수집 통지 사항을 발행했다. 통지 사항의 존재는 공공 부문 기술 출판 매체 퍼블릭테크놀로지(PublicTechnology)가 최초로 보도했다. 통지 사항은 정부가 법률 집행 기관 관료의 인터넷 접속 기록 데이터를 수사 목적으로 접근하도록 허용할 기술적 시스템 구축을 위해 최대 200만 파운드 상당의 예산을 보유한 사실을 명시했다.

기술 시스템 구축 계약은 2022년 7월, 방위산업체 배 시스템즈(Bae Systems)와 체결했다. 와이어드의 정보자유법 관련 요청에 내무성은 배 시스템스와의 계약서 중 일부 페이지를 제공했으나 상업적 이익 때문에 상세한 기술 정보 공개는 거부했다. (배 시스템즈 대변인은 기밀과 보안 때문에 특정 계약을 논의할 수 없다고 답변했다.)

내무성은 정보자유법 관련 문의에 답변하면서도 인터넷 접속 기록 내부 검토 관련 상세 정보 제공을 거부하며, 국가 안보와 법률 집행을 거부 사유로 언급했다. 내무성 대변인은 영국이 개인 데이터와 프라이버시 보호를 위한 가장 엄격하면서도 투명성이 뛰어난 정권이라고 전하며, 인터넷 접속 기록 시범 단계가 지금도 진행 중이라는 사실을 확인시켜 주었다.

인터넷 접속 기록을 영국 전역에 배포할 시점을 묻자 내무성 대변인은 정보자유법 관련 답변을 지목했다. 해당 답변은 추가 정보 제공 시 법률 집행 기관의 활동이 어려워질 수 있다는 내용이다. 내무성 대변인은 정보자유법 관련 답변으로 “법률 집행 기관의 역량 정보와 목표는 매우 민감한 사안이다. 특히, 종종 범죄 조직이나 기술적 지식과 인식 수준이 높은 개인과 관련된 사건을 다루는 디지털 통신 분야에서는 매우 민감한 사안이다”라며, “수사 개시 방식과 관련된 민감 정보나 기술적 역량의 특성 등 공개적으로 알려지지 않은 사항은 매우 중요하다”라고 답변했다.

정보기관과 경찰, 지방 당국 감독 기관인 수사권위원회(Investigatory Powers Commissioner's Office)는 지금까지 인터넷 정보 기록 수집은 소규모 시범 단계를 지원했으며, 현재 데이터 유지 통지 문제 때문에 인터넷 정보 기록과 관련된 어떠한 수치도 제공할 수 없다고 답변했다. 2023년 여름이면 수사권한법을 대상으로 한 별도의 독립 검토 보고서가 발행될 예정이다. 국가범죄수사국은 인터넷 접속 기록 사용 평가를 위한 시범 단계에 지금도 참여 중이며, 작업 과정의 부적절한 데이터 이용은 필수라고 전했다.

지금까지 인터넷 접속 기록 사용이 제한되었을 수도 있지만, 이미 인터넷 접속 기록 실패 사례를 기술한 문서 한 건이 발행되었다. 2022년 1월 발행된 수사권위원회의 2020년 연간 보고서는 인터넷 접속 기록 요청을 받은 어느 한 이동통신사가 승인된 범위 이상의 데이터를 제공한 사실이 기술되었다. 그 이유는 기술적 오류 때문이다. 그 외 추가 상세 정보는 제공되지 않았다.

와이어드는 영국 인터넷 서비스 공급사와 이동통신사 9곳에 연락해, 사용자의 인터넷 접속 기록 생성 및 저장 능력을 문의하였다. 8곳은 와이어드의 문의에 답변을 거부했다. 유일하게 문의에 답변한 인터넷 서비스 공급사 토크토크(TalkTalk)는 영국 법률에 따라 의무 사항을 준수할 것이라고 답변했으나 인터넷 접속 기록 존재 여부는 확인하거나 부인할 수 없다고 전했다.

인터넷 접속 기록 수집 범위가 영국 전역으로 확장될 가능성은 각국 정부와 법률 집행 기관이 기술 발전에 따라 전 세계 단위로 접근할 수 있는 데이터양을 늘리고자 하면서 제기되었다. 여러 국가가 암호화 백도어 생성을 추진하며, 시민의 개인 메시지와 통신 기록에 접근할 수도 있다. 미국에서는 미국 연방수사국(FBI)이 외국 수사 대상의 통신 정보를 가로채는 행위를 허용하는 규정이 명시된 외국정보감시법 제702조를 사용한 사실이 밝혀지면서 비판을 받았다.

하이다르 변호사는 시민 데이터 수집 권한을 추가로 생성한다고 해서 시민 안보 강화라는 결과로 이어지는 것은 아니라고 지적했다. 그는 “기업의 데이터 보관 역량 구축과 광범위한 영역의 정부 기관은 정보 작전 강화를 의미하지 않는다”라며, “사실, 데이터 악용이나 남용 위험성에 취약해지면서 보안이 약화된다고 주장한다”라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The UK’s Secretive Web Surveillance Program Is Ramping Up
이 기사를 공유합니다
RECOMMENDED