2017.03.16

NSA의 해외 감시, 알아둘 만한 5가지

Grant Gross | IDG News Service
논란을 일으킨 미 법률 하나가 올 해 말 시효 만료된다. 국가안보국(National Security Agency, NSA)에 해외 사람들을 감시할 수 있는 광범위한 권한을 제공하는 조항이다. 이에 따라 미국의 감시 법률 및 그 적용 범위에 대한 논쟁이 12월 31일까지 뜨겁게 이어질 전망이다.



여기서 주목해야 할 것 중 하나는 감시와 관련해 미국 체류자들의 통신을 처리하는 방식이다. 일각의 비평가들은 미국 이메일, 문자 메시지, 채팅 로그 등 수백, 수천 만 개의 대상이 해외정보감시법(FISA ; Foreign Intelligence Surveillance Act)의 섹션 702에 따라 법적으로 허용된 감시를 받게 된다고 지적하고 있다.

설명에 따르면 NSA의 해외 감시 대상과 소통하는 미국 체류자의 데이터는 NSA가 말하는 ‘우발적인’(incidental) 수집 작업 중 수집되게 된다. 그러면 FBI가 이런 통신을 조사할 수 있다. 그러나 이러한 일이 얼마나 자주 있을지는 아직 알 수 없다. 뜨거운 논란 주제로 부상한 섹션 702에 대해 알아둬야 할 정보를 정리했다.

섹션 702 감시란 무엇인가?
해외정보감시법(FISA)의 섹션 702는 2013년 전직 NSA요원 에드워드 스노든이 밝힌 것처럼 NSA가 프리즘(Prism)과 업스트림(Upstream) 같은 프로그램을 실행하기 위해 필요한 권한을 다루고 있다. 미 정보 기관들은 섹션 702를 테러와의 전쟁에서 ‘가장 중요한 툴’이라고 불렀다고 3월 1일 의회 청문회 중 버지니아(Virginia)의 공화당원 밥 굿라떼가 말했다.

이 밖에 섹션 702 감시 조항은 미 정부가 테러와의 전쟁을 진행함에 있어 “필수적”이라고 NSA에서 13년 동안 변호사로 근무한 에이프릴 도스(April Doss)가 표현했다.

“나는 NSA 근무하는 동안 미군들을 지원하고 미국과 우방의 안전을 위협하는 테러 계획과 의도를 감지하는데 있어서 탄탄한 정보의 중요성을 직접 목격할 수 있었다”라고 3월 1일 증언에서 그녀가 말했다.

한편 NSA와 FBI는 프리즘 프로그램을 통해 음성, 비디오, 이메일, 기타 콘텐츠를 수집하기 위한 수단으로 구글, 페이스북, 마이크로소프트, 야후, 기타 인터넷 기업의 서버에 접속한 것으로 추정되고 있다. 또 NSA가 업스트림 수집 프로그램을 통해 인터넷 케이블과 스위치에 접근해 전화 및 인터넷 트래픽을 도청한 것으로 전해지고 있다.

감시 승인 과정
FISA는 702에 따라 미 법무장관 및 국가정보국장이 “해외 정보를 획득하기 위해 미국 외에 머무르는 것에 대한 합리적인 이유가 있는 사람을 대상으로 삼는 것”을 승인할 수 있도록 허용한다. 이 과정에서 미 해외정보감시법원(FISC ; Foreign Intelligence Surveillance Court)가 정부의 대상 설정 및 최소화 절차를 검토해 법적 제한사항과 미국 4차 수정 헌법을 준수했는지 판단하게 된다.

한편 미 정보기관 디렉터 사무국(ODNI ; Office of the Director of National Intelligence)는 감시과정에서 감시 여부를 “서비스 제공자에게 공지”한다고 밝혔다. 그러나 여러 인터넷 기업들이 NSA와의 협력한 사실을 부인한 바 있다.

도스를 비롯한 섹션 702 감시 지지자들은 이것이 ‘대규모’ 감시가 아닌 표적 감시라고 주장했다. 하지만 스노우든이 밝힌 프리즘과 업스트림에 대한 설명 그리고 이후 정부의 해명으로 보아 감시가 전방위적으로 이뤄지고 있다는 점은 분명해 보인다.

또한 NSA는 별도의 프로그램을 통해 수 년 동안 미국의 통화 기록을 수집해오기도 했다. NSA와 FBI는 FISA의 섹션 501의 다른 조항을 논란의 여지가 되는 메타데이터 수집 프로그램을 위한 권한이라고 언급했다. 의회는 2015년 중반에 통과된 미국 자유법(USA Freedom Act)에서 전화 메타데이터 수집 프로그램을 축소한 바 있다.

섹션 702 확대에 대한 전망
오늘날 많은 기술 기업 및 프라이버시 그룹들은 의회가 미국 및 해외에서의 감시 프로그램을 통제하도록 압박하고 있다. 그러나 의회가 감시 권한을 특정 형태로 연장할 것은 확실시된다.

많은 민주당원과 일부 공화당원들이 FBI와 기타 정보 기관이 감시 중 획득하는 통신에 대한 검색 능력 종료 또는 제한할 것으로 주장하고 있지만 현재 대부분의 입법가들이 섹션 702 연장이 필요하다고 보고 있기 때문이다. NSA가 해외 감시를 실행하기 위한 주된 권한 중 하나가 세션 702라는 점에서, 이들은 열렬한 프라이버시 지지자가 아닌 한 해당 조항의 연장을 허용할 전망이다.

통신 백도어 검색
섹션 702에 따르면 NSA는 미국 내의 사람들을 대상으로 삼을 수 없지만 해당 기관은 “부수적인” 수집에서 해당 기관의 해외 대상과 소통하는 미국 거주자들의 정보를 수집할 수 있다. 그리고 해당 법률에 따라 FBI와 기타 정보 기관들은 테러와 관련 없는 범죄를 포함해 기타 범죄의 증거로써 통신 내용을 검색할 수 있다.

그러나 일부 입법가들과 함께 많은 디지털 권리 그룹들은 이런 소위 말하는 섹션 702 기록 백도어 검색을 종료하기를 희망하고 있다.

미시간의 민주당원 존 커니어스 주니어(John Conyers Jr.)가 3월 1일 청문회에서 “아무 것도 보장되지 않는 이런 통신 수집은 한 마디로 잘못됐다”라고 말했다.

이들에 따르면 부수적인 수집에 관한 세부사항은 분명하지 않다. 지난 2011년, 입법가들은 해당되는 미 거주민이 총 얼마나 되는지 반복적으로 질문했지만 ODNI로부터 아무런 세부사항을 제공 받지 못했다.

포괄적인 해외 통신 수집
미 거주민의 통신에 대한 부수적인 수집 외에 프라이버시 지지자들은 섹션 702에 따라 허용된 외국인에 대한 포괄적인 감시에 관해 불만을 제기하고 있다.

해당 조항에 따라 NSA는 해외 정부의 요원으로 의심되는 사람뿐 아니라 미국 밖의 “누구에 관한” 정보라도 수집할 수 있다고 CDT(Center for Democracy and Technology)의 수석 변호인 그렉 노자임이 지적했다. 그는 “정보 또한 광범위하게 정의된다”라고 말했다.

“이를 감안하면 미국의 국가 안보에 위협을 가하지 않는 많은 외국인들을 무작위로 감시할 수 있다”라고 그가 덧붙였다.

그러나 하원의원들은 3월 1일의 청문회에서 미국 이외 지역의 거주민에게 초래될 영향에 관해 거의 언급하지 않았다. 현 시점에서는 미국 입법가들이 해당 조항의 해외 데이터 수집을 제한할 가능성이 낮아 보인다.

하지만 프라이버시 지지자들은 소매를 걷어 붙였다. 여러 프라이버시 그룹들이 EU(European Union)에 해당 논의에 참여해 702를 대대적으로 수정하지 않는 한 미국 기업들이 EU 거주민의 데이터를 처리하도록 허용하는 범 대서양 합의인 프라이버시 실드(Privacy Shield)를 철회하겠다는 압박을 가하도록 촉구했다.

이에 유럽연합 집행위원회(European Commission)는 "프라이버시 실드 합의를 검토할 의무를 진지하게 고려하고 있다고 밝혔다”라고 디지털 권리 그룹 액세스 나우(Access Now)의 수석 입법 관리자 네이썬 화이트가 말했다.

화이트는 이어 EU국가 국민들을 감시할 필요할 수 있지만 “반드시 인권을 존중해야 한다”라며 “감시가 인권에 대한 책임보다 우선하지 않는다”라고 말했다.

최근의 감시 논란
한편 미 정보 기관들의 감시 프로그램으로 인해 최근 수 주 동안 새로운 논란이 시작되었다. 3월 초, 도날드 트럼프 대통령은 일련의 트윗(Tweet)으로 버락 오바마 전 대통령이 지난 선거 캠페인 중 뉴욕(New York City)에 있는 트럼프 타워(Trump Tower)를 도청했다고 비난했다.

트럼프는 이런 폭탄 선언에 대한 증거를 제시하지는 않았지만 NSA가 트럼프 측 직원들의 통화(해외 감시 대상과) 일부를 도청한 것으로 보인다. 이런 유형의 감시는 섹션 702에 따라 허용될 수 있다.

며칠 후 위키리크스(WikiLeaks)는 CIA에서 입수했다고 주장하는 8,700건 이상의 문건을 공개했다. 해당 문서들에는 해당 첩보기관이 아이폰, 안드로이드 장치, 스마트 TV, 자동차 소프트웨어, 주요 운영체제를 해킹하려 했던 시도에 관해 설명되어 있다.

하지만 CIA는 NSA와는 다른 별도의 감시 프로그램을 운영하고 있다. CIA 감시는 NSA가 섹션 702의 권한에 따라 수행하는 광범위한 감시와는 달리 특정 해외 표적에 집중하도록 제한돼 있다. CIA는 “미국인을 포함해 국내에서 개인을 표적으로 삼는 전자 감시를 수행하는 것은 법적으로 금지”되어 있다고 밝혔다. ciokr@idg.co.kr
2017.03.16

NSA의 해외 감시, 알아둘 만한 5가지

Grant Gross | IDG News Service
논란을 일으킨 미 법률 하나가 올 해 말 시효 만료된다. 국가안보국(National Security Agency, NSA)에 해외 사람들을 감시할 수 있는 광범위한 권한을 제공하는 조항이다. 이에 따라 미국의 감시 법률 및 그 적용 범위에 대한 논쟁이 12월 31일까지 뜨겁게 이어질 전망이다.



여기서 주목해야 할 것 중 하나는 감시와 관련해 미국 체류자들의 통신을 처리하는 방식이다. 일각의 비평가들은 미국 이메일, 문자 메시지, 채팅 로그 등 수백, 수천 만 개의 대상이 해외정보감시법(FISA ; Foreign Intelligence Surveillance Act)의 섹션 702에 따라 법적으로 허용된 감시를 받게 된다고 지적하고 있다.

설명에 따르면 NSA의 해외 감시 대상과 소통하는 미국 체류자의 데이터는 NSA가 말하는 ‘우발적인’(incidental) 수집 작업 중 수집되게 된다. 그러면 FBI가 이런 통신을 조사할 수 있다. 그러나 이러한 일이 얼마나 자주 있을지는 아직 알 수 없다. 뜨거운 논란 주제로 부상한 섹션 702에 대해 알아둬야 할 정보를 정리했다.

섹션 702 감시란 무엇인가?
해외정보감시법(FISA)의 섹션 702는 2013년 전직 NSA요원 에드워드 스노든이 밝힌 것처럼 NSA가 프리즘(Prism)과 업스트림(Upstream) 같은 프로그램을 실행하기 위해 필요한 권한을 다루고 있다. 미 정보 기관들은 섹션 702를 테러와의 전쟁에서 ‘가장 중요한 툴’이라고 불렀다고 3월 1일 의회 청문회 중 버지니아(Virginia)의 공화당원 밥 굿라떼가 말했다.

이 밖에 섹션 702 감시 조항은 미 정부가 테러와의 전쟁을 진행함에 있어 “필수적”이라고 NSA에서 13년 동안 변호사로 근무한 에이프릴 도스(April Doss)가 표현했다.

“나는 NSA 근무하는 동안 미군들을 지원하고 미국과 우방의 안전을 위협하는 테러 계획과 의도를 감지하는데 있어서 탄탄한 정보의 중요성을 직접 목격할 수 있었다”라고 3월 1일 증언에서 그녀가 말했다.

한편 NSA와 FBI는 프리즘 프로그램을 통해 음성, 비디오, 이메일, 기타 콘텐츠를 수집하기 위한 수단으로 구글, 페이스북, 마이크로소프트, 야후, 기타 인터넷 기업의 서버에 접속한 것으로 추정되고 있다. 또 NSA가 업스트림 수집 프로그램을 통해 인터넷 케이블과 스위치에 접근해 전화 및 인터넷 트래픽을 도청한 것으로 전해지고 있다.

감시 승인 과정
FISA는 702에 따라 미 법무장관 및 국가정보국장이 “해외 정보를 획득하기 위해 미국 외에 머무르는 것에 대한 합리적인 이유가 있는 사람을 대상으로 삼는 것”을 승인할 수 있도록 허용한다. 이 과정에서 미 해외정보감시법원(FISC ; Foreign Intelligence Surveillance Court)가 정부의 대상 설정 및 최소화 절차를 검토해 법적 제한사항과 미국 4차 수정 헌법을 준수했는지 판단하게 된다.

한편 미 정보기관 디렉터 사무국(ODNI ; Office of the Director of National Intelligence)는 감시과정에서 감시 여부를 “서비스 제공자에게 공지”한다고 밝혔다. 그러나 여러 인터넷 기업들이 NSA와의 협력한 사실을 부인한 바 있다.

도스를 비롯한 섹션 702 감시 지지자들은 이것이 ‘대규모’ 감시가 아닌 표적 감시라고 주장했다. 하지만 스노우든이 밝힌 프리즘과 업스트림에 대한 설명 그리고 이후 정부의 해명으로 보아 감시가 전방위적으로 이뤄지고 있다는 점은 분명해 보인다.

또한 NSA는 별도의 프로그램을 통해 수 년 동안 미국의 통화 기록을 수집해오기도 했다. NSA와 FBI는 FISA의 섹션 501의 다른 조항을 논란의 여지가 되는 메타데이터 수집 프로그램을 위한 권한이라고 언급했다. 의회는 2015년 중반에 통과된 미국 자유법(USA Freedom Act)에서 전화 메타데이터 수집 프로그램을 축소한 바 있다.

섹션 702 확대에 대한 전망
오늘날 많은 기술 기업 및 프라이버시 그룹들은 의회가 미국 및 해외에서의 감시 프로그램을 통제하도록 압박하고 있다. 그러나 의회가 감시 권한을 특정 형태로 연장할 것은 확실시된다.

많은 민주당원과 일부 공화당원들이 FBI와 기타 정보 기관이 감시 중 획득하는 통신에 대한 검색 능력 종료 또는 제한할 것으로 주장하고 있지만 현재 대부분의 입법가들이 섹션 702 연장이 필요하다고 보고 있기 때문이다. NSA가 해외 감시를 실행하기 위한 주된 권한 중 하나가 세션 702라는 점에서, 이들은 열렬한 프라이버시 지지자가 아닌 한 해당 조항의 연장을 허용할 전망이다.

통신 백도어 검색
섹션 702에 따르면 NSA는 미국 내의 사람들을 대상으로 삼을 수 없지만 해당 기관은 “부수적인” 수집에서 해당 기관의 해외 대상과 소통하는 미국 거주자들의 정보를 수집할 수 있다. 그리고 해당 법률에 따라 FBI와 기타 정보 기관들은 테러와 관련 없는 범죄를 포함해 기타 범죄의 증거로써 통신 내용을 검색할 수 있다.

그러나 일부 입법가들과 함께 많은 디지털 권리 그룹들은 이런 소위 말하는 섹션 702 기록 백도어 검색을 종료하기를 희망하고 있다.

미시간의 민주당원 존 커니어스 주니어(John Conyers Jr.)가 3월 1일 청문회에서 “아무 것도 보장되지 않는 이런 통신 수집은 한 마디로 잘못됐다”라고 말했다.

이들에 따르면 부수적인 수집에 관한 세부사항은 분명하지 않다. 지난 2011년, 입법가들은 해당되는 미 거주민이 총 얼마나 되는지 반복적으로 질문했지만 ODNI로부터 아무런 세부사항을 제공 받지 못했다.

포괄적인 해외 통신 수집
미 거주민의 통신에 대한 부수적인 수집 외에 프라이버시 지지자들은 섹션 702에 따라 허용된 외국인에 대한 포괄적인 감시에 관해 불만을 제기하고 있다.

해당 조항에 따라 NSA는 해외 정부의 요원으로 의심되는 사람뿐 아니라 미국 밖의 “누구에 관한” 정보라도 수집할 수 있다고 CDT(Center for Democracy and Technology)의 수석 변호인 그렉 노자임이 지적했다. 그는 “정보 또한 광범위하게 정의된다”라고 말했다.

“이를 감안하면 미국의 국가 안보에 위협을 가하지 않는 많은 외국인들을 무작위로 감시할 수 있다”라고 그가 덧붙였다.

그러나 하원의원들은 3월 1일의 청문회에서 미국 이외 지역의 거주민에게 초래될 영향에 관해 거의 언급하지 않았다. 현 시점에서는 미국 입법가들이 해당 조항의 해외 데이터 수집을 제한할 가능성이 낮아 보인다.

하지만 프라이버시 지지자들은 소매를 걷어 붙였다. 여러 프라이버시 그룹들이 EU(European Union)에 해당 논의에 참여해 702를 대대적으로 수정하지 않는 한 미국 기업들이 EU 거주민의 데이터를 처리하도록 허용하는 범 대서양 합의인 프라이버시 실드(Privacy Shield)를 철회하겠다는 압박을 가하도록 촉구했다.

이에 유럽연합 집행위원회(European Commission)는 "프라이버시 실드 합의를 검토할 의무를 진지하게 고려하고 있다고 밝혔다”라고 디지털 권리 그룹 액세스 나우(Access Now)의 수석 입법 관리자 네이썬 화이트가 말했다.

화이트는 이어 EU국가 국민들을 감시할 필요할 수 있지만 “반드시 인권을 존중해야 한다”라며 “감시가 인권에 대한 책임보다 우선하지 않는다”라고 말했다.

최근의 감시 논란
한편 미 정보 기관들의 감시 프로그램으로 인해 최근 수 주 동안 새로운 논란이 시작되었다. 3월 초, 도날드 트럼프 대통령은 일련의 트윗(Tweet)으로 버락 오바마 전 대통령이 지난 선거 캠페인 중 뉴욕(New York City)에 있는 트럼프 타워(Trump Tower)를 도청했다고 비난했다.

트럼프는 이런 폭탄 선언에 대한 증거를 제시하지는 않았지만 NSA가 트럼프 측 직원들의 통화(해외 감시 대상과) 일부를 도청한 것으로 보인다. 이런 유형의 감시는 섹션 702에 따라 허용될 수 있다.

며칠 후 위키리크스(WikiLeaks)는 CIA에서 입수했다고 주장하는 8,700건 이상의 문건을 공개했다. 해당 문서들에는 해당 첩보기관이 아이폰, 안드로이드 장치, 스마트 TV, 자동차 소프트웨어, 주요 운영체제를 해킹하려 했던 시도에 관해 설명되어 있다.

하지만 CIA는 NSA와는 다른 별도의 감시 프로그램을 운영하고 있다. CIA 감시는 NSA가 섹션 702의 권한에 따라 수행하는 광범위한 감시와는 달리 특정 해외 표적에 집중하도록 제한돼 있다. CIA는 “미국인을 포함해 국내에서 개인을 표적으로 삼는 전자 감시를 수행하는 것은 법적으로 금지”되어 있다고 밝혔다. ciokr@idg.co.kr
X