세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
달라는 정부와 못 준다는 기업, 사용자 정보 지킬 수 있을까
  |  입력 : 2017-07-11 16:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전자프런티어재단 보고서, “거대 통신 기업, 정부에 사용자 정보 지나치게 제공”
페이스북, 트위터 등 IT 기업도 정부의 정보 요구에 맞서려 법정에서 분쟁 중


[보안뉴스 오다인 기자] 거대 IT 기업의 제품이나 서비스를 이용할 때, 내 정보는 정부에 얼마나 넘어갈까? 이를 말해주는 보고서가 나왔다.

▲ 전자프런티어재단 2017년 보고서 본문 일부 [이미지=EFF 보고서 캡처]


국제적인 비영리 단체 전자프런티어재단(EFF)은 7월 10일 ‘당신을 지켜주는 사람은 누구인가?’라는 제목의 연간 보고서를 발행했다. 이 보고서는 AT&T, 버라이즌 같은 거대 통신 기업이 사용자 정보를 정부에 과도하게 넘겨주고 있으며, 페이스북과 구글 등 초대형 IT 기업 역시 사용자를 충분히 보호하지 못하고 있다고 비판했다.

EFF는 정부의 사용자 정보 접근과 관련한 온라인 서비스 제공자의 프라이버시 및 투명성 실태를 주제로 지난 7년간 보고서를 발행해왔다. 올해 보고서 서문에서 EFF는 “역사상 유례없는 디지털 감시와 정치적 격변의 시대에 휴대전화, 노트북, 온라인 서비스 상에 저장되는 정보가 시민과 기자, 활동가를 추적하려는 정부를 자석처럼 이끌고 있다”고 언급했다.

이 보고서는 26개 IT 통신 기업을 5개 영역에서 평가했다. 각 영역을 충족하면 별을 받는데, 별 다섯 개를 받은 기업은 어도비, 크레도, 드롭박스, 리프트, 핀터레스트, 소닉, 우버, 위커, 워드프레스 등 9곳으로 나타났다. 반면, 별 한 개를 받은 기업은 AT&T, 컴캐스트, 티모바일, 버라이즌 등 4곳으로 나타나 통신 기업의 사용자 보호 노력이 부족하다는 지적이 나온다.

5개 영역은 1) 업계의 모범 경영 사례를 따르는지 2) 정부의 정보 요청에 대해 사용자에게 고지하는지 3) 사용자를 타 업체에 팔아넘기지 않겠다고 서약하는지 4) 국가보안서한(NSL)의 함구령에 대해 맞서는지 5) 사용자를 옹호하는 공공 정책을 도입하는지(해외정보감시법(FISA) 702절을 개정하고자 하는지) 등이다.

1번째 영역의 ‘모범 경영 사례’란 영장이 있을 때만 사용자 통신 정보를 정부에 넘길 것, 정부의 정보 제공 요구가 몇 차례 있었는지 등의 정보를 포함한 투명성 보고서를 발행할 것, 정부의 정보 제공 요구에 어떻게 대응하는지 설명한 지침을 공개할 것 등을 가리킨다. EFF는 이와 같은 조건을 모두 충족해야만 1번째 영역에서 별을 받을 수 있다고 설명했다.

4번째 영역의 NSL은 ‘National Security Letter’의 약자로, 미국 연방수사국(FBI)이 기업에 사용자 정보를 요구할 때 법원 감독 없이 발행하는 비밀 서한을 말한다. EFF의 행동주의 이사 레이니 라이트만(Rainey Reitman)은 “정부가 시민을 감시하려면 반드시 법에 따라야 한다”고 말한다. 라이트만은 기업이 고객 정보를 엄격하게 보호하길 바라는 사용자도 점점 더 증가하고 있다고 덧붙였다.

에어비앤비, 스냅챗, 트위터는 별 세 개를 받았으며, 애플, 페이스북, 구글, 링크드인, 마이크로소프트, 슬랙, 야후는 별 네 개를 받았다. 이 중에서 페이스북과 구글, 마이크로소프트는 4번째 영역을 모두 충족하지 못했다. 이들 기업은 최근 미국 정부로부터 사용자 정보 제공 요구 횟수를 공개하지 말라는 압박을 받고 있는 것으로 알려졌다. 사용자에게 정부의 정보 제공 요구를 고지하지 않아도 되는 경우는 생명이 위태로운 비상 상황이나 아동을 대상으로 한 성범죄 상황, 테러리즘 등과 같은 매우 특수한 때다.

영국 가디언지에 따르면, 미국 정부는 이들 기업에 사용자 정보를 요구할 때 2번 중의 1번은 요구 사실에 대해 함구하라고 명령(gag order)하는 것으로 나타났다. 이에 페이스북과 트위터, 마이크로소프트는 정부 감시와 함구령에 대항해 법정에서 싸우는 중이다. 지난 목요일, 미국 지방 법원 판사 이본 곤잘레스 로저스(Yvonne Gonzalez Rogers)는 미 정부가 트위터에 사용자 정보를 요구할 만한 “명백하고 현존하는 위험”을 입증하는 데 실패했다고 판결했다.

아마존과 왓츠앱은 사용자 보호에 있어 업계 평균에 못 미치는 것으로 나타났다. 두 기업은 모두 1번째와 5번째 영역 각각에서 별 하나씩을 받은 데서 그쳤다. EFF는 두 기업이 사용자 프라이버시 보호를 위해 막대하게 노력한 점은 높이 사지만 여전히 뒤처지는 수준이라고 지적했다. EFF는 아마존이 고객 서비스 부문에서 최고점을 받았음에도 사용자의 디지털 프라이버시를 보호하겠다는 공약을 분명하게 밝히지 않은 데 대해 비판했다.

EFF의 수석 변호사 네이트 카르도소(Nate Cardozo)는 “전반적으로 IT 기업은 사용자에게 더 큰 투명성을 제공해왔지만 수백만 명의 인터넷 통신 경로가 되는 통신 기업이 정부의 지나친 요구에 제대로 저항하지 못하는 중”이라고 말했다. 그는 “전통적인 통신 기업이나 실리콘 밸리의 대형 기업이나 사용자 정보를 더 훌륭하게 보호할 수 있고 반드시 그렇게 해야 한다”고 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)