법 집행 기관의 접근을 허용하기 위해 VPN의 백도어 허용을 추진하는 EU
개인정보 보호와 관련하여 EU는 종종 전 세계의 모범이 되는 리더로 칭송받습니다. 2018년에는 개인 데이터 보호의 표준으로 여겨지는 획기적인 GDPR 개인정보 보호법이 제정되었기 때문에 이러한 찬사가 완전히 틀린 것은 아닙니다.
그러나 최근 몇 년 동안 EU 내 다양한 그룹에서 개인 데이터 보호와 밀접하게 연관된 또 다른 기본 디지털 권리인 프라이버시 권리를 훼손할 수 있는 이니셔티브가 제안되고 있습니다. 최근까지 가장 큰 위협은 엔드투엔드 암호화 메시징 앱이 사용자가 다른 사용자와 공유하는 모든 사진, 동영상, URL을 강제로 스캔하도록 하는 이른바 '채팅 제어' 제안이었습니다. 이 제안은 사람들의 프라이버시에 대한 광범위한 영향을 우려하는 각국의 반발에 부딪힌 후 더 이상 진행되지 않고 있습니다.
법 집행 기관의 '핵심 과제'로서의 VPN
이번 위협은 고위급 그룹(HLG)이 새로 발표한 보고서에서 비롯되었습니다. 이 그룹은 2023년 6월 “데이터 액세스 및 이를 극복하기 위한 잠재적 솔루션”과 관련하여 EU의 법 집행 기관이 직면한 “모든 도전 과제”를 탐구하는 임무를 맡았습니다. 2025년 3월, 이 그룹은 보고서의 최종 버전을 발표했으며, 여기에는 법 집행 기관이 업무를 수행하면서 직면한 주요 과제 중 하나로 VPN을 꼽았습니다.
암호화된 디바이스 및 앱, 새로운 통신 사업자, 가상 사설망(VPN) 등은 합법적인 사용자의 개인정보를 보호하도록 설계되었습니다. 그러나 이러한 기술은 범죄자들에게 신원을 숨기고, 범죄 상품과 서비스를 마케팅하고, 결제를 진행하고, 활동과 통신을 은폐하여 탐지, 수사 및 기소를 효과적으로 피할 수 있는 효과적인 수단을 제공하기도 합니다.
EU에서 VPN이 법 집행에 대한 도전으로 명시적 지정된 것은 이번이 처음입니다. 무언가를 도전으로 인식한다는 것은 그것을 극복하고자 하는 열망을 의미하기 때문에 이 지정은 우려스러운 일입니다.
공정하게 말하자면, 보고서 전체에서 이 그룹은 정보에 대한 접근의 필요성과 프라이버시 권리 및 보안이 균형을 이루어야 한다고 언급하고 있습니다. 그런 다음 보고서는 일부 법 집행 전문가의 말을 인용하여 특정 경우에 암호화 기술이 보안과 콘텐츠 스캔의 필요성 사이의 균형을 맞추는 방식으로 설계되었다고 지적합니다.
하지만 저희는 그렇게 생각하지 않습니다. 보고서의 저자들은 신중하게 접근하여 개인정보 보호와 법 집행 기관의 액세스 권한 사이에서 타협점을 찾으려고 노력하지만, 사실 이 두 가지는 공존할 수 없습니다. 법 집행 기관에 액세스 권한을 부여하면 사람들의 데이터를 안전하게 보호하는 데 필수적인 암호화와 개인정보 보호가 악화될 뿐입니다.
EU 집행위원회가 유럽 내부 보안 전략을 개편한 ProtectEU라는 새로운 이니셔티브를 도입하면서 강력한 법 집행 권한을 위해 디지털 권리가 소홀해질 수 있다는 우려가 커지고 있습니다. 이 전략의 핵심 요소 중 하나는 법 집행 기관에 효과적인 활동을 위한 올바른 도구를 제공하는 것으로, 여기에는 특히 데이터에 대한 합법적인 접근이 포함됩니다. 세부적으로 살펴보면, 집행위원회는 암호화에 대한 로드맵을 개발하고 EU의 데이터 보존 규칙을 업데이트하기 위해 영향 평가를 실시할 계획이라고 언급하고 있습니다. 이 모든 것이 상당히 중립적으로 들리지만, 저희는 이것이 암호화에 백도어를 의무화하는 길을 열어주는 신중한 표현이라고 의심하는 충분한 이유가 있습니다.
타협이 없는 논쟁
최근 유럽 연합이 엔드투엔드 암호화 메시징 앱과 함께 VPN 서비스에 집중하는 것은 데이터 액세스 확대에 대한 요구가 개인의 자유를 희생시킨다는 중요한 문제를 강조합니다. 법 집행 기관이 범죄 수사를 위한 도구가 필요하다는 것은 이해할 수 있지만, 이 논쟁에는 타협이 없으며 중요한 선택을 해야 합니다. 보안과 익명성을 선택하거나 사용자 데이터를 수집할 수 있는 메커니즘을 구축하는 데 동의해야 합니다. 그리고 이러한 수집을 허용하면 수백만 명의 무고한 사람들의 프라이버시 권리가 침해될 위험이 있는 미끄러운 경사로에 들어서게 됩니다.
HLG는 VPN 서비스를 수사의 '핵심 과제'로 분류하여 이 논쟁의 중심에 놓여 있습니다. VPN은 사용자의 IP 주소를 마스킹하여 사용자의 온라인 활동을 익명화하므로 당국이 용의자를 식별하는 데 도움이 될 수 있는 메타데이터를 수집하기가 더 어려워집니다. 특히 누가, 언제, 어디서 통신하는지 등의 메타데이터 정보가 콘텐츠 자체만큼이나 중요할 수 있다는 점을 고려하면 이는 수사에 걸림돌로 작용합니다. 특히 우려스러운 점은 보고서의 권고안에 따르면 모든 서비스가 제재를 받을 수 있다는 위협 아래 메타데이터를 보관하고 법 집행 기관에 제공해야 한다는 것입니다.
특히 노로그 정책을 준수하는 많은 VPN 서비스는 사용자 익명성과 데이터 보안을 우선시하도록 설계되었습니다. 즉, 설계에 중대한 변경이 이루어지지 않는 한 법 집행 기관이 요구하는 정보를 제공할 수 없습니다. 원하지 않아서가 아니라, 정보가 없기 때문에 제공할 수 없는 것이기도 합니다. VPN이 사용자 메타데이터를 장기간 보관하도록 강제하는 법적 프레임워크는 이러한 서비스를 유지할 수 없게 만들어 EU에서 VPN 제공 업체들이 철수할 수 있습니다. 이번이 처음은 아니며, 2022년 인도에서도 VPN 제공업체가 이름을 포함한 광범위한 사용자 데이터를 장기간 보관해야 하는 법이 시행되면서 인도에서 VPN 업체들의 이탈을 촉발한 바 있습니다.
또한, 프랑스 당국이 플랫폼의 설립자인 파벨 두로프를 체포한 후 상당한 압박을 받았던 텔레그램의 사례를 떠올릴 수 있습니다. 한때 프라이버시의 보루였던 텔레그램은 이후 IP 주소와 전화번호 등 더 많은 사용자 데이터를 넘기기 시작했습니다.
만약 EU가 VPN에 데이터 수집 및 공유를 요청한다면, 개인정보 보호에 중점을 둔 서비스가 사라지고 개인의 디지털 권리가 약화될 것입니다. 질문은 다음과 같습니다. (잠재적으로) 몇 명의 범죄자를 잡기 위해 수천만 명의 개인정보를 침해할 가치가 있을까요? 이 정도의 감시가 정말 필요할까요? 디지털 세상에서 프라이버시 보호라는 더 큰 그림을 놓쳐서는 안 된다는 것이 저희 신념입니다.
