클라우드법(CLOUD Act)으로부터 보호받을 수 있는 6가지 방법

CLOUD Act

2018년 3월 말, 2,232페이지 분량의 예산 법안의 끝 부분에 클라우드법(CLOUD, Clarifying Lawful Overseas Use of Data)이 슬며시 추가되면서 온라인 프라이버시는 타격을 입게 되었다.

클라우드법은 미국 의회에 표결에 부쳐지거나 심의되지도 않았다. 대신 이 새로운 법안은 1조3천억 달러의 지출로 책정된 후 2,201 페이지에 조용히 추가되어 단일 법으로 투표되었다.

클라우드법 덕에 공문원들이 사용자 데이터를 수집하는 방식을 바꾸었다. 이 새로운 법 덕분에 미국 정부를 비롯한 여러 정부는 영장을 발부받지 않고도 사용자의 데이터를 요청할 수 있게 되었다.

하지만 모든 희망이 사라진 것은 아니다. 오늘 vpnMentor 포스트에서는 이 새로운 환경 속에서도 프라이버시를 지키고 온라인에서 익명을 추구할 있는 방법을 나눌 예정이기 때문이다.

클라우드법(CLOUD Act) 무엇일까?

그렇다면 미국 의회가 프라이버시 침해성이 다분한 이 법안을 관련성이 하나도 없는 지출 법안에 넣으면서까지 통과시킨 이유는 무엇일까?

사건의 발단은 몇 년 전 아일랜드 국적자의 범죄 수사와 관련된 소송으로 거슬러 올라간다. 미국 정부는 영장을 발부하고 마이크로소프트사(이하 MS사)에 아일랜드 서버에 저장된 데이터를 요구했다. 하지만 MS사는 해당 정보가 미국 서버가 아닌 아일랜드 서버에 저장되어 있기 때문에 미국 정부가 발부한 영장에 종속되지 않는다며, 정보를 넘기지 않았다. 그 후로 사건은 4년간 지속되었다.

현대로 다시 돌아와보자. 이 새로운 클라우드법 아래에 미국 정부는 더 이상 영장을 발부할 필요도 없으며, 이 법에 따라 MS사는 미국 정부의 요청에 무조건 순응하고 데이터를 넘겨주어야 한다. MS사 역시 이미 이 사건으로 더 이상 의미 없는 싸움을 지속할 이유가 없으며, 권위 당국으로 해당 데이터를 넘겨주겠다고 공표하였다.

법안에는 살펴봐야 가지 핵심 항목이 있다:

  1. 어떠한 법의 집행에도 허가가 승인된다. 즉, 지역 경찰부터 연방 정부 기관까지 어디에 데이터가 저장되어 있든 관계없이 “유선 및 전자 통신의 콘텐츠와 어떠한 기록 및 기타 정보”에 접근할 수 있다는 뜻이다. 만약 해당 회사가 미국에 기반을 두고 있다면, 서버 자체가 외국에 있다 할지라도 반드시 데이터를 넘겨주어야 한다.
  2. 미국 대통령은 다른 국가와 행정 협정을 진행할 수 있는데, 이 덕분에 미국 정부는 미국 밖에 저장된 데이터를 정당한 법적 절차를 밟지 않고 수집할 수 있다. 해당 데이터가 영장 없이 수집되었음에도 불구하고, 이 데이터를 미국 시민을 연루하는 데 사용할 수 있다.

그리고 이 법이 시민에 위협이 되는 이유는 시민의 프라이버시를 침해할 있기 때문이다.

예로 어느 외국 정부가 자신의 국민을 조사 중이고 페이스북 같은 소셜네트워크에 저장된 정보에 대한 접근을 요청한다고 가정해보자. 페이스북은 모든 정보를 넘겨주어야 하며, 넘겨주어야 하는 정보에는 미국 시민에 대한 정보까지 포함될 수 있다.

이 외국 정부는 받은 모든 정보를 미국 정부에 다시 넘겨줄 있으며, 이때에도 어떤 영장을 발부받을 필요가 없다.

클라우드 법이 궁금하다면, 여기에서 이 법의 전체 내용을 확인할 수 있다. 바로 내용을 확인하고 싶다면 2,201 페이지로 넘어가보자.
CLOUD Act


그렇다면 우리는 무엇을 있을까?

포스트를 작성하고 제공하는 우리는 프라이버시에 대한 권리를 포기할 생각이 없으며, 이 부분은 지금 이 글을 읽는 당신도 마찬가지길 바란다. 그렇다면, 지금부터는 어떻게 각종 정부 기관으로부터 나의 데이터를 보호할 수 있는지 그 방법들을 살펴보자. 여기에는 흔히 사용 중인 인기 사이트와 서비스를 대신할 수 있는 서비스들도 명시되어 있으며, 이로써 익명성이 보장된 활동을 진행할 수 있다.

1. 항상 VPN을 사용하자

프라이버시를 보호하기 위해 취할 수 있는 첫 번째 방법은 믿을 수 있는 VPN을 구매해 검색 작업에 사용하는 것이다.

VPN 사용은 온라인 프라이버시 보호에서 중요한 퍼즐조각의 역할을 한다. 그 이유는 VPN으로 사용자의 IP 주소를 감출 수 있으며, IP 주소를 감춤으로써 사용자는 온라인에서 인식되지 않기 때문이다. 또 VPN은 사용자의 데이터를 암호화를 위해 다양한 보안 브로토콜을 사용하며, 이 때문에 정부는 수집한 정보를 이해할 수조차 없게 된다. VPN이 제공하는 혜택에 대해 조금 더 자세히 알고 싶다면, 여기에서 확인할 수 있다.

모든 VPN이 동일하게 개발된 것은 아니기 때문에, 내가 선택한 VPN이 누수 보호와 엄격한 제로 로깅 정책을 갖추고 있는지, 또 파이브 아이즈 동맹국(Five Eyes Alliance) 또는 포틴 아이즈(14 Eyes)의 국가 중 한 곳에 위치하고 있는 것은 아닌지 반드시 확인해야 한다. 가장 추천하는 서비스는 영국령 버진 아일랜드에 위치한 ExpressVPN 또는 루마니아에 위치한 NordVPN이다. 두 개 업체 모두 우수한 보안 프로토콜을 지원하며, 그 어떤 사용자 데이터도 보관하지 않음을 증명했다.

2. #페이스북삭제하기

지난 몇 달 간 캠브리지 애널리티카 스캔들의 진상이 더욱 자세히 밝혀지며 페이스북은 신뢰도에서 큰 타격을 받았다. 최근 보도에 따르면, 8,700 명의 페이스북 사용자의 개인정보가 부적절하게 사용된 것으로 밝혀졌다.

페이스북 데이터는 유력한 용의자의 흠을 찾으려는 법 진행 수사관에게는 말 그대로 금광과도 같다. 누군가의 ‘좋아요’, 친구, 가입한 그룹, 대화, 포스트 모두가 증거로 채택될 수 있으며, 이런 종류의 데이터에 대한 수사관들의 요청은 논리적으로 보이기까지 한다. 그리고 클라우드법의 통과로 이러한 정보의 습득은 매우 빠르고 쉬워졌다. 이에 대한 유일한 해결책은 최대한 빠른 시일 내에 소셜 미디어 대부의 사용을 관두고 페이스북 계정을 삭제하는 것뿐이다.

3. 드롭박스(Dropbox) 제거하기

드롭박스는 가장 유명한 파일 공유 공간이지만, 보안과는 상당히 거리가 멀다. 기업은 지난 여러 거대한 보안 침해 사건으로 홍역을 치뤘다.

프라이버시가 중요하다면, 스파이더오크(SpiderOak)에서의 계정 생성을 추천한다. 이 서비스는 에드워드 스노든(Edward Snowden)이 지지하는 서비스이기도 하다. 미국에 기반을 두고 있긴 해도, 스파이더오크는 미국 정부가 자신의 서버에 저장된 정보에 접근할 수 있지 않을까 전혀 걱정이 없다. 자신의 서버를 제출한다 할지라도, 모든 파일은 암호화되어 있으며, 해당 파일에 걸린 차단을 해제할 수 있는 키의 통제권은 사용자에게만 있기 때문이다.

4. 클라우드 스토리지 피하기

클라우드법과 혼동하기 쉽지만, 전혀 다른 맥락의 클라우드(Cloud)는 몇 가지 훌륭한 기능을 자랑한다. 클라우드 덕에 사용자는 여러 대의 기기에서, 전 세계 어디서든지 자신의 파일에 쉽게 접근할 수 있다. 하지만 단점은 다수의 서버에서 사용자의 문서, 사진, 개인 정보 등이 접근할 수 있다는 사실이다. 새로운 클라우드법으로 인해 영장 발부 없이 클라우드 내 저장된 정보를 가져가도록 법 집행이 이뤄질 수 있다.

굳이 클라우드 기술을 사용해야 한다면, Tresorit 같은 서비스를 사용해보자. 이 서비스는 완벽한 암호화 기술을 갖추고 있는 것은 물론, 미국을 비롯해서 파이브 아이즈 동맹국 밖의 국가에 소재하고 있다. 클라우드를 사용하지 않을 이들에게 추천하고 싶은 방법은 자신의 문서를 VeraCrypt로 암호화하는 작업인데, 이를 통해 사용자는 로컬디스크에서 암호화된 백업 파일을 생성할 수 있다.

5. 지메일 대신 프로톤메일(ProtonMail)

대학 동창으로부터 받은 이메일 때문에 정부가 나의 모든 이메일을 읽을 수 있다고 생각해보자. 이 엄청난 침해 사건은 지메일 야후 메일 등 오늘날 대부분의 핵심 무료 이메일 서비스를 이용할 때 일어날 수 있는 일이다. 프로톤메일(ProtonMail)은 완전한 익명성을 보장하는 이메일로, 계정 생성에 그 어떠한 개인 정보도 요구하지 않다. 이 서비스는 사용자의 IP 주소도 저장하지 않으며, 모든 이메일 주소는 완벽한 암호화 기술로 암호 처리된다.

이중 화룡점정은 이 업체가 스위스에 소재하고 있으며, 이에 따라 엄격한 스위스 프라이버시 법 아래에서 보호받고 있다는 사실이다. 프로톤메일의 개발자들은 프로톤VPN(ProtonVPN)을 개발했는데, 이 또한 매우 견고한 VPN 서비스로 토르(TOR)와 연동할 수 있으며 매우 높은 수준의 익명성을 제공 중이다. 프로톤VPN의 리뷰가 궁금하다면, 여기에서 확인할 수 있다.

6. 구글 검색은 최대한 피하기

MS사, 애플, 페이스북과 더불어 구글(Google)은 클라우드법의 열성 지지자이다. 즉, 정부의 요청이 있을 때마다 구글은 사용자의 정보를 기꺼이 제공한다는 뜻이다. 아마 구글이 사용자 자신보다 사용자를 더 잘 알지도 모르겠다. 어느날 밤 잔뜩 만취한 상태에서 했던 나 자신도 모르게 했던 인터넷 검색 활동을 누군가 알고 있다면 어떨까? 그리고 이 검색 활동과 관련된 정보가 정부로 넘어간다면 어떨까?

구글은 단연 최고의 인기를 누리고 있는 검색 엔진이지만, 사실 구글 외에도 StartPage 같은 우수한 대체 서비스가 많다. StartPage의 경우, 구글 결과를 사용자에 제공하면서 추가적인 보안과 프라이버시를 제공하는 서비스이다. 덕덕고(DuckDuckGo)는 또다른 훌륭한 대안인데 그 어떠한 사용자 정보도 저장하지 않아 정부의 요청이 있더라도 넘겨줄 정보가 없다.

 

알륨미늄 포장지를 두른 것 마냥 스스로를 완전히 감춰라는 뜻이 아니다. 하지만 주의를 기울일 필요는 있다. 이를 위한 첫 단계는 익명성을 보장할 VPN을 구입하는 것이며, VPN을 활용해 중간 스누핑 없이 온라인 자유를 누릴 수 있다. 각 서비스의 리뷰를 확인하고, 당신의 프라이버시를 보호할 베스트 VPN을 찾아보길 바란다.

도움이 되었나요? 공유하세요!