민주·권위주의 국가들이 대규모 감시 경쟁을 벌이고 있음

• 국가 대규모 감시는 민주주의와 권위주의를 가리지 않고 확산됐으며, 인권과 사생활 침해뿐 아니라 실제 문제 해결에도 비효율적이라는 비판을 받음
• 미국의 감시 체계는 FISA Section 702, PRISM, Upstream, XKeyscore를 축으로 법원 판단 없이 방대한 인터넷 활동과 메타데이터에 접근할 수 있게 했음
• 유럽과 영국에서는 Tempora, Fourteen Eyes 협력, EU의 chat control, 프랑스의 AI 영상 감시, 헝가리의 ISP 접근 장비처럼 감시 확대와 개인정보 보호 압력이 충돌함
• 권위주의 국가는 검열과 감시를 노골적인 통치 수단으로 활용하며, Iran의 SIAM, Russia의 SORM·Safe City, China의 Great Firewall·Police Cloud·Sharp Eyes·Skynet이 시민 통제에 쓰임
• 자유 사회를 지키려면 범죄 의심자에 대한 표적 감시와 인구 전체를 겨냥하는 대규모 감시의 경계를 분명히 해야 함

대규모 감시에 대한 기본 입장

• 대규모 감시는 상업적 감시와 국가·통치자에 의한 감시로 나뉘며, 둘 다 개인의 인권과 자유 사회의 기반인 사생활을 침해함
• 감시는 범죄 의심이 있을 때 독립된 법원 결정과 비례성에 따라 표적 감시로 이뤄져야 하며, 인구 전체나 다른 나라 시민을 대상으로 한 대규모 감시는 피해야 함
• 인권은 국가로부터 개인을 보호하기 위해 존재하며, 정부가 바뀌고 권력이 잘못된 결정을 내릴 수 있기 때문에 국가가 통제 불가능한 권력을 가져서는 안 됨
• 오늘날 대규모 감시는 국가별로 기원과 형태가 다르지만, 상당 부분은 전 세계적 인터넷 인프라를 통해 작동함

미국: Section 702와 전 세계 감시 인프라

• Snowden의 2013년 폭로로 미국 당국이 전 세계 수억 명을 감시했다는 사실이 드러남
• FISA Section 702는 미국이 5년마다 갱신해 온 법으로, 외국인 감청을 명분으로 만들어졌지만 인터넷 구조상 외국인과 미국 시민 모두의 감시로 이어질 수 있음
• Snowden 문서는 NSA가 세계 각지에서 하루 2억 건의 문자 메시지를 수집했고, 사실상 지구상의 거의 모든 사람을 감시할 능력을 갖췄음을 보여줌
• XKeyscore는 이메일, 채팅, Facebook 비공개 메시지, 검색 기록, 방문 사이트 등 “일반 사용자가 인터넷에서 하는 거의 모든 것”을 다루는 데이터베이스였음
  • 분석가는 IP 주소나 이메일 주소 같은 강한 검색어로 특정인의 온라인 활동을 볼 수 있었음
  • 키워드나 문구 같은 약한 검색어로 특정 인터넷 행동을 보인 사람 목록을 만들 수 있었음
  • 검색은 법원이나 NSA 내부 상급자의 판단 없이 가능했음

PRISM, Upstream, TURMOIL, TURBINE

• Section 702는 PRISM과 Upstream을 통해 FBI, CIA, NSA가 대량의 데이터에 접근할 수 있게 함
• PRISM은 Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL, Apple 같은 미국 기업의 데이터에 접근하는 구조였음
  • Snowden은 Permanent Record에서 PRISM이 이메일, 사진, 영상·음성 채팅, 웹 브라우징 콘텐츠, 검색 쿼리, 클라우드 저장 데이터를 수집할 수 있게 했다고 썼음
  • 해당 기업들은 FBI, CIA, NSA가 시스템과 서버에 직접 접근했다는 점을 부인했지만, 법 때문에 관여 사실을 인정하는 것이 불법일 수 있다는 설명도 있었음
• Upstream은 미국 전화·인터넷 사업자의 백본에 직접 연결해 인터넷 트래픽을 수집하는 방식이었음
  • AT&T 같은 미국 통신사가 포함됐고, 일부 라우터 제조사가 NSA용 감시 기능을 제품에 넣었다는 폭로도 있었음
  • Snowden은 Upstream이 위성, 해저 광케이블, 스위치, 라우터를 지나는 트래픽을 직접 포착한다고 설명함
• TURMOIL과 TURBINE은 대규모 트래픽을 선별하고 공격하는 데 쓰였음
  • TURMOIL은 이메일 주소, 신용카드, 전화번호, 지리적 출발지·목적지, “anonymous internet proxy”, “protest” 같은 키워드를 기준으로 트래픽을 표시함
  • TURBINE은 표시된 요청을 NSA 서버로 보내고, 알고리듬이 어떤 악성코드형 익스플로잇을 쓸지 결정함
  • 익스플로잇이 컴퓨터에 들어가면 메타데이터뿐 아니라 데이터 자체에도 접근할 수 있음

메타데이터와 상업 데이터 구매

• 국가들은 “메타데이터만 수집한다”는 식으로 대규모 감시를 축소하지만, 메타데이터에는 웹사이트 방문 기록과 검색 기록이 포함될 수 있음
• Bruce Schneier는 메타데이터가 친밀한 친구, 업무 관계, 관심사, 중요한 대상을 드러낸다고 설명했으며, Stewart Baker 전 NSA 법률고문은 충분한 메타데이터가 있으면 콘텐츠가 필요 없다고 말함
• 메타데이터는 미국 감시 장치를 비판한 언론인을 식별하는 데도 쓰일 수 있음
  • Snowden이 접촉한 Laura Poitras와 Glenn Greenwald는 NSA를 비판했고 개인적 불이익을 겪었음
  • GCHQ는 New York Times, Le Monde, Washington Post 등 언론인의 이메일을 가로챘고, 탐사보도 기자를 테러리스트·해커와 같은 위협으로 분류했음
• 미국 감시 장치는 테러리스트와 범죄자뿐 아니라 산업 스파이 활동, Amnesty와 Human Rights Watch 같은 인권단체, 프랑스 월 7천만 건 통화, 정치인과 세계 지도자 감시에도 사용됐음
• 최근에는 FBI 등 미국 기관이 데이터 브로커에게서 수집 데이터를 구매한 사실도 드러남
  • 기관이 직접 수집하면 헌법상 문제가 되는 데이터도 상업적으로 구매하면 별도 경로로 확보할 수 있음
  • 한 미국 정부 컨설턴트는 광고 기술 생태계를 “인류가 고안한 가장 큰 정보 수집 기업”이라고 표현함
  • Michael Morell 전 CIA 국장은 상업적으로 이용 가능한 정보가 전통 정보 방식으로 수집됐다면 최고기밀 민감 정보로 취급됐을 것이라고 말함

Section 702 갱신 논쟁과 2024년 확장

• Section 702는 2023년에 다시 갱신 논쟁의 중심이 됐고, 하원은 연장 법안을 세 차례 통과시키지 못해 결정을 2024년 봄으로 미룸
• 제안된 주요 수정안에는 미국 시민 감시에 법원 승인을 요구하는 방안과, 감시 대상이 단지 언급된 통신까지 겨냥하는 abouts collection을 막는 방안이 포함됨
• 최종적으로 하원과 상원은 Section 702 연장을 통과시켰지만, 일반적인 5년이 아니라 2년 연장으로 줄어듦
• 동시에 법은 확장됐고, 정부 기관의 대규모 감시에 협력하도록 강제될 수 있는 기업·조직의 범위가 넓어짐
  • 새 정의는 라우터 같은 대상 통신 인프라에 물리적으로 접근할 수 있는 주체까지 포함할 수 있음
  • Ron Wyden 상원의원은 이를 “극적이고 끔찍하다”고 불렀고, Edward Snowden은 “NSA가 인터넷을 장악하고 있다”고 말함

영국, Fourteen Eyes, VPN 위치 논쟁

• 영국 GCHQ의 Tempora는 미국과 유럽 사이 광섬유망에 직접 연결해 대서양 양쪽의 인터넷 트래픽에 접근했음
• 2013년에는 GCHQ 직원 300명과 NSA 직원 250명이 4만 개의 키 트리거로 들어오는 데이터를 분석했고, NSA 직원 85만 명이 영국 시스템에 접근할 수 있었음
• Tempora는 하루 6억 건의 전화 이벤트와 기타 트래픽을 200개 광케이블을 통해 처리했으며, Snowden은 이를 “인류 역사상 가장 큰 무혐의 감시 프로그램”이라고 불렀음
• Five Eyes는 Australia, Canada, New Zealand, UK, USA의 전자 도청 동맹으로 시작했고, Snowden 폭로는 Belgium, Denmark, France, Germany, Italy, Netherlands, Norway, Spain, Sweden이 포함된 Fourteen Eyes 확장을 드러냄
• VPN 사업자가 Fourteen Eyes 밖에 있다는 이유로 더 낫다고 주장하는 것은 인터넷 트래픽이 여러 국경과 인프라를 통과한다는 점을 무시함
  • VPN의 목적은 당국이 광케이블에 연결하더라도 트래픽을 읽기 어렵게 암호화하는 것임
  • VPN 사업자 위치에서 중요한 것은 정보기관 협정 자체가 아니라 로그 보관과 데이터 제공을 강제하는 해당 국가의 법률임
  • 14개국 목록은 10년 넘은 폭로에 기반하며, 현재 참여 국가 수와 범위를 VPN 사업자가 알 수 없음

유럽의 상반된 흐름

• 2018년 유럽인권재판소는 Tempora가 불법이며 민주사회에 필요한 조건과 양립하지 않는다고 판단했고, 2020년 미국 법원은 NSA의 수억 명 감시가 위법·위헌이라고 판단함
• EU 안에서는 대규모 감시를 불법으로 보는 최고 법원 판단과 GDPR 같은 규제로 빅테크를 압박하려는 흐름이 있음
  • GDPR은 지금까지 주로 상징적 과징금과 쿠키 경험 악화를 낳았지만, Meta와 Google 같은 기업에는 실제 압력을 주기 시작함
  • 기술 기업이 새로운 데이터 수집 방식을 만들 위험도 남아 있음
• 반대편에서는 프랑스가 AI 영상 감시를 도입하려 하고, 헝가리는 법원 결정 없이 ISP 네트워크와 사용자 인터넷 행동에 접근할 수 있는 블랙박스를 설치함
• EU의 chat control 제안은 사적 통신에 대한 전면 금지에 가까운 대규모 감시로 이어질 수 있음
• 영국의 Online Safety Bill 초안은 Snowden 폭로 이후 더 널리 쓰이게 된 암호화 트래픽을 약화하려는 움직임으로 다뤄짐
• Pegasus 스파이웨어는 유럽과 다른 지역에서 반대자, 정치 활동가, 언론인을 겨냥하는 데 사용됨

권위주의 국가의 감시와 검열

• 전 세계 인터넷 사용자는 45억 명 이상이며, 그중 76%는 정치·사회·종교 문제를 온라인에 썼다는 이유로 사람을 수감하는 국가에 살고 있음
• 권위주의 국가에서 VPN은 대규모 감시를 줄이는 수단일 뿐 아니라, 검열되지 않은 자유로운 인터넷에 접근하기 위한 도구이기도 함
• Iran은 인터넷을 완전히 차단하거나 SIAM으로 모바일 네트워크를 통해 휴대전화 사용을 제어·필터링·감시함
• Egypt 정부는 언론인, 활동가, 변호사를 감시하고, Morocco 당국은 Pegasus로 인권단체를 감시함
• Russia의 FSB는 SORM으로 전화 통화를 도청하고 이메일·메시지를 읽어 왔으며, Moscow의 Safe City는 수십만 대의 감시 카메라, 얼굴 인식, 모바일 데이터 감시를 결합함
  • Safe City는 시위자, 정치적 반대자, 언론인을 추적하고 수감하는 데 사용됨
  • Probiv라는 디지털 암시장에서는 부패했거나 불만을 가진 관리들이 대규모 감시 데이터베이스의 데이터를 유출함
  • 그 결과 Putin의 최측근 정보도 소액으로 구매할 수 있게 됐고, 야권·외국·탐사보도 기자가 이를 활용함

China: Great Firewall, Police Cloud, Sharp Eyes, Skynet

• China는 7억5천만 인터넷 사용자의 접근 가능한 사이트를 통제하고, VPN 서비스를 차단하며, 콘텐츠 게시에 실명 등록을 요구함
• 소셜미디어와 메시징 앱은 국가 감시를 받고, 외국 앱은 금지되며, China에서 창업된 TikTok도 국제 콘텐츠를 차단하는 별도 버전이 있음
• 모든 이동전화는 위치 데이터로 지속 감시되고, 인터넷 서비스 제공자는 국가와 협력해야 함
• Great Firewall of China는 중국인의 인터넷 경험을 통제·검열하며, 2013년에도 200만 명의 “인터넷 여론 분석가”가 온라인 메시지를 수작업으로 검열했음
• “public opinion analysis software”는 데이터를 수집하고 AI로 “민감한 자료”에 반응함
  • 온라인에서 China를 비판한 활동가, 언론인, 일반 시민이 수감된 사례가 이어짐
  • “영웅과 순교자”를 모욕하면 3년형 위험이 있음
• Police Cloud는 빅데이터 기반 시스템으로 숨은 흐름과 관계를 시각화하고, 관계 지도를 만들며, “극단적 의견”을 기록함
• China는 음성 지문을 수집하고, 전 세계 100만 대 감시 카메라 중 절반 이상을 설치했으며, 얼굴 인식뿐 아니라 감정 식별 기술도 도입함
• 다큐멘터리 Total Trust는 450만 명의 “grid officers”가 구역별 주민 행동 기록을 유지하는 방식을 다룸
  • Sharp Eyes는 정부 감시 카메라와 “자원봉사자”의 이웃 신고를 결합함
  • Skynet은 수많은 감시 카메라를 통해 거리, 감시 대상으로 분류된 사람의 집 주변, 계단, 현관까지 감시함
  • 얼굴·눈·음성 인식 같은 생체 AI와 온라인 행동 감시가 물리적 세계의 이동과 결합됨
• 2015년 709 Crackdown에서는 수백 명의 인권 변호사가 수감·고문당했으며, 수감되지 않은 사람들도 계속 감시됨

대규모 감시와 자유 사회의 경계

• 권위주의 국가는 대규모 감시를 반대자 박해, 정보 검열, 시위 억압을 위한 통제 도구로 사용함
• 민주주의 국가는 대규모 감시를 덜 과시하고 피해 결과도 덜 가혹하지만, 선거와 언론인·반대자 감시에 쓰인 사례가 있음
• 대규모 감시는 통제이며 자유의 반대편에 있음
• 자유 사회는 어느 지점에서 자유 사회로서의 지위를 잃을 수 있기 때문에, 자유로운 인터넷을 지키기 위한 싸움이 필요함