유럽은 점점 디스토피아가 되어가고 있습니다.

흔히 하는 착각 중 하나가 선진국은 프라이버시가 잘 지켜질 것이라는 생각입니다. 하지만 이는 사실이 아닙니다.

이 세상의 모든 정부는 민주주의 여부에 상관없이 자국민을 24시간 감시하고 통제하고 싶어합니다. 우리가 모르는 사이에 프라이버시를 심각하게 침해하는 법을 통과시키려 하고 있고, 정보기관은 불법적인 대량 감시를 하고 있습니다. 한국 같은 인권 탄압 국가만이 아니라 EU나 북미의 소위 ‘선진국’에서도 일어나는 일입니다.

모든 정치인의 종착역은 빅 브라더입니다. 따라서 프라이버시를 추구한다면 어떤 정부나 정치인도 신뢰해서는 안됩니다.

저작권자들은 통신사업자에게 은행 수준의 실명 인증을 수행하도록 요구합니다.

네덜란드 저작권 단체인 BREIN의 주도로 유럽 각국의 저작권 단체와 몇몇 미디어 기업은 유럽연합 집행위원회에 편지를 보냈습니다. 이들 단체는 불법 복제를 비롯한 사이버 범죄를 막기 위해 도메인 등록과 호스팅 결제에 KYC(고객확인제도)를 요구하고 있습니다. 법적 근거는 온라인 비즈니스에서 신원 인증을 요구하는 전자 상거래 지침 제 5조입니다.

KYC는 주로 금융기관에서 자금세탁을 막기 위해 진행하는 절차입니다. 고객은 실명 인증을 위해 여권 등 ID 카드와 거주지 증명서를 제출해야 합니다. 하지만 고작 서버와 도메인을 임대하고 블로그를 운영하기 위해 은행 수준으로 정보를 제출하는 것은 프라이버시를 심각하게 침해합니다. 이는 GDPR의 개인정보처리의 최소화 원칙에 위배됩니다.

악용 가능성에도 불구하고 익명으로 글을 게재할 권리는 표현의 자유와 민주주의에 매우 중요합니다. 그 중요성은 우리가 비밀 투표를 하는 이유와 똑같습니다. 단순히 내가 누군지를 드러내는 것으로 발언이 위축될 가능성이 있기 때문입니다. 특히 자유를 위협받는 저널리스트나 시민운동가, 차단우회 연구소 같은 반정부 블로거에게는 익명 호스팅이 언론의 자유를 지키는데 유용한 수단이 될 수 있습니다.

저작권 단체는 이런 위험성을 모두 무시하고 저작권을 지키기 위해서라면 프라이버시를 침해해도a 문제가 없다고 믿고 있습니다. 종종 저작권자들은 인터넷 검열과 감시를 부추기는 경향이 있습니다. 이 사람들이 자신의 권리를 주장하기 전에 우선 타인의 권리를 존중하는 법을 배우기 바랍니다.

이 주제는 곧 유럽연합에서 논의가 시작될 것입니다. 이번 일은 과거 SOPA 못지않게 논쟁거리가 될 가능성이 큽니다.

EU는 암호와의 전쟁을 선포했습니다.

미국 정부의 종단간 암호화를 방해하려는 노력은 유명합니다. 이제 유럽에서도 같은 일이 일어나고 있습니다.

유럽연합 집행위원회 내부 메모에 따르면 EU는 종단간 암호화 통신에 정부가 합법적으로 접근할 수 있는 수단에 대해 논의하고 있습니다. 접근 방법은 미국과 그다지 다를 바 없어 보입니다.

소수의 범죄자를 잡기 위해 메신저에 백도어를 설치하는 것은 모든 사람의 보안을 위협한다는 심각한 부작용이 있기 때문에 여러 프라이버시 단체에서 꾸준히 반대하고 있습니다. 그럴 때마다 정부는 ‘테러’나 ‘아동 포르노’ 같은 자극적인 마법의 단어를 들먹여 듣는 사람의 이성을 마비시키고 대중을 선동하려는 경향이 있습니다.

하지만 아무리 심각한 흉악 범죄라도 무고한 사람의 인권을 침해하면서까지 수사할 이유는 없습니다. 범죄자를 잡는 일은 정부와 경찰이 알아서 해야 할 일이고, 수사가 어렵다고 관계없는 일반인에게 그 책임을 씌워서는 안됩니다. 법 집행 기관의 수사 편의성보다 보편적인 기본권이 우위에 있는 건 부정할 수 없는 사실입니다.

사실 종단간 암호화가 널리 쓰여지게 된 이유는 각국 정부가 시민들을 불법으로 도청했다는 사실이 폭로되었기 때문입니다. 여기에는 미국 뿐만이 아니라 영국, 프랑스, 스웨덴, 네덜란드 같은 유럽 내 국가들도 미국 정보기관에 협력해 사람들을 감시했다는 사실도 포함되어 있습니다. 하지만 각국 정부는 이 일에 대해 사과하기는 커녕, 이게 다 나라를 위한 일이었다고 변명하기 급했습니다.

자신들의 과오에 대한 반성과 단죄는 없고 뻔뻔하게 더 많은 권한을 요구하는 게 선진국 정치인들의 민낯입니다. 프라이버시를 원한다면 왜 모든 정부를 신뢰해서는 안되는지 이제 잘 이해했을거라 생각합니다.

러시아는 TLS 1.3과 Encrypted SNI, Dns over https, Dns over TLS를 금지하려고 합니다.

동유럽은 한술 더 떴습니다. 중국에 이어 러시아는 자국민이 TLS 1.3을 사용하는 것을 금지하는 법률을 제안했습니다.

작년에 있었던 sni 차단 덕분에 ESNI와 DoH는 한국에 잘 알려진 기술들입니다. TLS 1.3에 추가된 이러한 기술을 사용하면 정부가 HTTPS 트래픽을 엿보는 것을 막을 수 있습니다. 당연히 정부의 사이트 차단도 우회할 수 있습니다.

러시아 정부는 이를 반기지 않습니다. 이에 총리 직속인 러시아 디지털개발통신매스미디어부는 ESNI를 사용하는 모든 사이트와 그 IP 대역 전체를 차단하는 법을 발의했습니다. 도입된다면 클라우드플레어를 사용하는 모든 사이트가 러시아에서 차단될 예정입니다.

지금 당장은 막을 수 있겠지만 ESNI와 DoH는 사실상 웹 표준 도입이 예정된 기술들입니다. 과연 미래에도 러시아 정부가 인터넷 검열을 유지할 수 있을지 흥미롭게 지켜봐야 하겠습니다.

5 comments

    1. 그건 회사의 자율이고 리셀러를 통하면 피할 수 있습니다. 이번 조치는 해외 리셀러에게까지 ID 확인을 강요한다는게 문제입니다

  1. 한국도 TLS 1.3 금지하지는 않겠지? 일전에 방통위에서 클라우드플레어를 예의주시하고 있다는 이야기를 들었는데

Leave a Reply

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다

19 − 15 =

3 + 1 =