의회가 해외정보감시법(FISA) 702조의 갱신을 추진하면서, 논쟁은 훨씬 더 익숙한 영역으로 번지기 시작했습니다. 바로 사람들이 온라인에서 자신을 보호하기 위해 사용하는 도구입니다.

VPN(새 창)은 인터넷 활동을 비공개로 유지하기 위해 수백만 명이 사용하며, 전 세계 서버를 통해 트래픽을 라우팅합니다. 하지만 이 기본 기능은 입법자들이 이제 막 마주하기 시작한 질문을 제기합니다. 개인정보를 보호하는 일이 활동을 외국발처럼 보이게 만든다면 어떻게 될까요?

애초에 귀하를 대상으로 하지 않았던 감시법

702조는 미국 정보기관이 영장 없이 해외에 있는 외국인의 통신을 수집할 수 있도록 허용합니다. 실제로는 그 경계가 한 번도 제대로 지켜진 적이 없습니다.

이 체계는 미국인이 외국 대상과 상호작용하거나 글로벌 인프라를 거칠 때 미국인의 이메일, 메시지, 통화까지도 일상적으로 수집 범위에 포함합니다.

시민 자유 단체, 입법자, 심지어 법원까지도 그 데이터가 얼마나 자주 영장 없이 검색되는지에 대해 수년간 우려를 제기해 왔습니다. 이제 이 법은 다시 갱신 시점을 맞고 있으며, 4월 마감이 빠르게 다가오고 있습니다. 그리고 권한 남용의 증거가 반복적으로 제시되었음에도, 워싱턴에서는 최소한의 변경만으로 이러한 권한을 연장하려는 움직임이 있습니다.

감시에 대한 지지는 초당적이지만, 반발 역시 초당적입니다. 하원 정보위원회의 민주당 간사인 짐 하임스는 최근 타운홀에서 시위대와 맞닥뜨렸으며(새 창), 이들은 702조에 대한 우려를 제기했습니다.

아무도 고려하지 않았던 VPN 문제

론 와이든을 포함한 상원의원들이 보낸 새로운 서한(새 창)은 또 다른 위험을 제기합니다. 이는 702조가 작성될 당시에는 존재하지 않았던 위험입니다.

VPN은 사용자의 국가를 숨깁니다(새 창). 이는 트래픽을 전 세계의 서버(새 창)를 통해 라우팅하기 때문입니다. 하지만 현행 감시 규정 아래에서는 바로 그 같은 동작이 미국인을 외국인처럼 보이게 만들 수 있습니다.

입법자들은 정보기관이 VPN 트래픽을 기본적으로 “외국”으로 취급하는지 묻고 있습니다. 이러한 분류는 사용자에게서 헌법상 보호를 박탈하고 이들을 702조 감시 체계 안으로 편입시킬 수 있습니다.

개혁 없는 재승인은 위험을 키웁니다

이를 바로잡기 위한 제안들이 나와 있습니다. 상원 정보위원회 위원장인 Mark Warner는 입법자들이 “전자통신서비스 제공자”(ECSP)의 확대된 정의를 둘러싼 우려를 다룰 것이라고 말했습니다.

확대로 인해 감시 협조를 강요받을 수 있는 대상이 넓어졌습니다. 이제는 통신사나 이메일 제공 업체에만 그치지 않습니다. 클라우드 서비스부터 공용 WiFi 네트워크까지, 귀하의 데이터가 지나가는 시스템에 접근할 수 있는 누구나 포함될 수 있습니다. 감시는 인터넷 인프라에 더 가까워지고 있으며, 그 결과 Section 702에 따라 데이터를 수집할 수 있는 지점도 늘어납니다.

초당적 정부 감시 개혁법(새 창)은 한 걸음 더 나아갑니다. Ron Wyden과 Mike Lee를 포함한 의원들의 지지를 받는 이 법안은, 기관이 Section 702에 따라 수집된 미국인의 데이터를 검색하기 전에 영장을 받도록 요구하고, 정부가 법원에 가지 않고도 브로커로부터 개인 데이터를 구매할 수 있게 하는 허점을 막게 됩니다.

이 허점이 중요한 이유는, 위치 데이터나 브라우징 기록처럼 원래라면 영장이 필요한 정보도 사법적 감독 없이 공개 시장에서 구매할 수 있기 때문입니다.

이 법안은 또한 정부가 기업이나 인프라 제공업체에 감시 협조를 얼마나 광범위하게 강제할 수 있는지 등, 최근 가장 논란이 컸던 일부 변경 사항을 되돌릴 것입니다.

이러한 변화는 이미 알려진 문제를 겨냥합니다. 외국 정보 수집을 위해 구축된 감시 시스템이 기술적 허점과 광범위한 해석을 통해 자국민 감시로 향하게 되었습니다. Ron Wyden이 경고했듯, 미국인들은 이러한 권한이 실제로 어떻게 사용되고 있는지 알게 되면 “깜짝 놀랄(새 창)” 것입니다.

개혁이 없으면 이러한 허점은 그대로 남습니다. 그리고 VPN 사용이 더 보편화될수록, 더 많은 일상적인 활동이 외국 정보 수집에 휩쓸릴 위험이 커집니다.

Proton의 입장

Proton은 사람들이 숨겨진 대가를 치르지 않고도 자신의 데이터를 통제할 수 있도록 하는 도구를 만듭니다. 개인정보 보호는 감시 시스템이 귀하의 트래픽을 어떻게 분류하느냐에 따라 달라져서는 안 됩니다. 개인정보 보호는 기본이어야 합니다.

VPN은 여전히 귀하를 보호합니다. VPN은 귀하의 인터넷 트래픽을 암호화하고, 귀하의 제공업체, 네트워크 운영자, 또는 같은 연결을 사용하는 누구도 귀하가 온라인에서 무엇을 하는지 보지 못하게 합니다. 이러한 보호는 중요하며 실제로 효과가 있습니다. 하지만 암호화만으로는 감시 법률이 어떻게 작성되는지를 바로잡을 수 없습니다. 귀하의 활동이 그 보호 범위를 벗어나거나 다른 곳에서 수집되면, 여전히 Section 702와 같은 시스템에 휩쓸릴 수 있습니다.

이것은 더 광범위한 문제도 제기합니다. 개인정보 보호는 국경에서 멈춰서는 안 됩니다. 미국인이 아니라는 이유만으로 감시 대상이 되어서는 안 됩니다. 법적 보호는 다를 수 있습니다. 그러나 원칙은 달라지지 않습니다.

입법자들이 Section 702의 미래를 두고 논의하는 가운데, 그 중요성은 정보 정책을 넘어섭니다. 이는 실제로 보호가 무엇을 의미하는지, 그리고 누가 그 보호를 받는지를 좌우합니다.