GrapheneOS는 정부의 암호화 백도어 압력을 포함한 보안 및 법적 우려로 인해 프랑스를 떠납니다. 무슨 일이 일어났고 왜 중요한지 알아보겠습니다.

프랑스에서 GrapheneOS에 무슨 일이 있었나요?

2025년 11월 24일, GrapheneOS는 X를 통해(새 창) 프랑스에서 모든 활성 서버를 제거했으며 호스팅 제공업체인 OVHcloud와의 관계를 종료하는 과정에 있다고 발표했습니다. 팀은 프랑스 당국의 암호화 백도어에 대한 기대치를 지적하며 “프랑스는 오픈 소스 개인정보 보호 프로젝트에 안전한 국가가 아니다”라고 말했습니다.

이 결정은 프랑스가 제안된 EU 채팅 통제(Chat Control) 법안의 가장 강력한 지지자 중 하나가 되면서 나왔습니다. 이 법안은 온라인 플랫폼과 메시징 서비스가 아동 성학대 자료(CSAM) 및 그루밍 콘텐츠에 대해 개인 채팅, 이미지 및 미디어를 자동으로 스캔하도록 강제하는 것을 목표로 합니다. 지난 3월, 프랑스 하원은 Signal과 같은 보안 통신 서비스가 종단 간 암호화를 약화하거나 제거하도록 요구하는 제안을 거부(새 창)했습니다.

종단 간 암호화(E2EE)는 서비스 제공업체나 정부 당국, 사이버 범죄자를 포함한 제3자가 아닌 보낸 사람과 수신인만이 메시지 내용을 읽을 수 있음을 의미합니다.

암호화 백도어 외에도 프랑스 기업 OVHcloud가 데이터 주권을 보장할 수 있는지에 대한 의문이 커지고 있습니다. 캐나다 법원(새 창)은 캐나다 자회사를 이용하여 유럽 서버에 저장된 고객 데이터를 넘기도록 강요하려 했으며, 이는 정부 간의 일반적인 법적 채널을 효과적으로 우회하는 것이었습니다.

GrapheneOS는 무엇이며 사람들은 왜 이것을 사용하나요?

GrapheneOS는 더 나은 개인정보 보호, 보안 및 제어 권한을 찾는 많은 사람들이 사용하는 비영리 오픈 소스 Android 기반 운영 체제입니다. 사람들이 Google의 Android보다 이를 선호하는 몇 가지 이유는 다음과 같습니다:

  • 백그라운드 데이터 수집 없음, Google 추적 또는 원격 측정 기능이 내장되어 있지 않습니다. 이는 기기가 사용 데이터, 진단 또는 행동 정보를 Google이나 파트너에게 보내지 않음을 의미합니다.
  • 기본적으로 광고 ID 비활성화. 광고 ID는 마케터가 타겟 광고를 위해 귀하를 추적할 수 있도록 Android에서 기기에 할당하는 고유 식별자입니다.
  • 제조업체 또는 통신사 설치 앱과 같은 블로트웨어 없음.
  • Google Assistant나 Gemini와 같이 제거할 수 없는 강제 설치 앱이 없습니다.
  • Google 서비스를 장려하는 지속적인 알림과 같은 Google 락인(lock-in) 프롬프트 없음. Google 계정 없이도 GrapheneOS를 사용할 수 있습니다.
  • 자동 Google 포토 백업과 같은 기본 클라우드 통합이 없습니다.
  • 제로 데이 공격에 대한 더 나은 보호와 같은 고급 개인정보 권한 제어.
  • 앱이 명시적인 허가 없이 다른 앱의 데이터나 시스템 리소스에 접근하는 것을 방지하는 샌드박싱과 같이 앱의 동작을 제어하는 더 엄격한 보안 규칙.

암호화 백도어가 위험한 이유

GrapheneOS는 전체 디스크 암호화를 사용하여 모바일 기기를 보호하고 파일 이름 및 타임스탬프와 같은 메타데이터를 포함한 모든 데이터를 보호합니다. 암호화 백도어는 법 집행 기관이 귀하의 동의, PIN 또는 얼굴 인식 없이 암호화된 데이터의 잠금을 해제하는 데 사용할 수 있는 비밀 방법을 추가하는 것을 의미합니다.

암호화 백도어의 문제는 일단 존재하면 사이버 범죄자를 포함하여 이를 발견한 누구나 발견, 오용 또는 악용할 수 있다는 것입니다. 이는 수사 대상이 아닌 모든 사람을 위험에 빠뜨리며, 이것이 개인정보 보호 옹호자들이 일관되게 반대하는 이유입니다.

GrapheneOS가 백도어가 기술적으로 불가능하다고 말하는 이유

GrapheneOS에 따르면, 최근 공개된 논평과 프랑스 법 집행 기관 사이에서 회람된 내부 메모에는 Google Pixel 기기를 “매우 의심스러운” 것으로 취급하라는 경고와 프로젝트가 GrapheneOS에 대한 잘못된 정보로 규정한 내용이 포함되어 있었습니다.

GrapheneOS는 엄격한 신뢰 사슬을 시행하는 휴대전화의 하드웨어 보안 요소로 인해 암호화 백도어 도입을 원하더라도 기술적으로 불가능하다고 설명합니다. 적절하게 서명된 펌웨어만 실행이 허용되며, 승인되지 않은 수정은 기기 검증 실패를 유발합니다. 또한 하드웨어에 의해 시행되는 보호 기능은 잠금 해제 시도 횟수를 제한하고 시도 사이에 지연을 도입하여 무차별 대입 공격을 방지합니다.

암호화 백도어 생성을 거부하는 것은 GrapheneOS뿐만이 아닙니다

주요 기술 기업들도 암호화 약화 압력에 직면했지만 이를 거부했습니다. 다음은 최근의 몇 가지 예입니다:

  • 2023년 영국이 온라인 안전 법안(Online Safety Bill)을 추진할 때, Signal은 백도어나 감시 가능 기능을 도입하는 법을 준수하기보다는 사용자 신뢰를 배반하는 관할권에서 서비스를 중단하겠다고 밝혔습니다(새 창).
  • 2025년 영국 정부는 사실상 Apple에 암호화 백도어를 만들거나 특정 서비스에 대한 종단 간 암호화를 제거하는 것 중 하나를 선택하도록 강요했습니다. Apple은 보안 모델을 유출하기보다는 백업, 사진, 메모, 파일을 포함한 여러 iCloud 서비스로 종단 간 암호화를 확장하는 기능인 고급 데이터 보호(ADP)를 철회하기로 결정했습니다. 이후 Apple은 영국 정부의 요구에 대해 법적 이의를 제기했습니다.

정부가 개인정보 보호를 약화하면 그 대가는 귀하가 치르게 됩니다

개인정보 보호 우선 기업 및 오픈 소스 프로젝트에 대한 프랑스의 입장은 더 광범위한 메시지를 보냅니다. 여기서 운영하며 데이터에 대한 접근 권한을 주거나, 아니면 떠나라는 것입니다.

GrapheneOS와 같은 보안 플랫폼이 보안 원칙을 훼손하지 않고 굳건히 서서 인프라를 해당 국가에서 철수하기로 선택하면, 그들이 섬기는 사람들은 결국 보안 사고, 신원 도용, 국가 검열로부터 자신을 보호하기 위해 설계된 도구에 접근할 수 없게 됩니다.

Proton에서 강력한 암호화와 온라인 개인정보 보호는 우리 사명의 핵심입니다. 그것 없이는 커뮤니티에 보안 이메일, V(새 창)P(새 창)N(새 창), 클라우드 저장공간, 비밀번호 관리를 제공할 수 없습니다.