2012.08.08

변호사들이 말하는 '클라우드에 대한 위험한 상상'

Christopher Wolf, Winston Maxwell | CSO

변호사 크리스토터 울프와 윈스턴 맥스웰이 로컬 클라우드, 애국법, (여러) 정부의 데이터 접근에 대해 발생 가능한 상황들을 낱낱이 밝혔다.

EU 시민들의 데이터 보호에 대해 유럽연합 집행위원회(European Commission)의 부위원장 비비안 레딩만큼 신경을 곤두세운 사람도 없다. 그녀는 집행위원회가 유럽 내 개인정보보호문제를 새로 구체화된 법안을 통해 업데이트하고 현대화하는 일에 가장 적극적으로 활동하고 있다. 그녀는 EU 시민들의 데이터 프라이버시와 보안에 크게 우려하고 있으며, 미국의 프라이버시 보호 체제에 대해 신랄하게 비판한 인물이기도 하다.

그러나, 작년 EU의 클라우드 컴퓨팅 서비스가 지리적인 위치로 인해 미국의 애국법(Patriot Act)의 영향력에서 벗어나 있다는 광고에 대해서는 레딩 위원장조차도 부당함을 외치지 않을 수 없었다.

그 사건으로 레딩은 즉각적으로 대륙간 데이터의 자유로운 흐름의 중요성을 강조하는 성명을 내야 했다. 그녀가 언급한 내용은, 지리적 위치와 상관없이 최고의 클라우드 서비스를 유럽 시민들이 이용할 필요가 있고, 한 평론가의 “애매한 인터넷 클라우드는 잘 쪼개진 공기 방울이 돼버린다”라는 말처럼, 조각조각 분열된 클라우드 시스템으로는 클라우드 컴퓨팅의 최대 혜택을 누리지 못한다는 이해를 반영한 것이었다.

레딩이 ‘EU 클라우드(EU Cloud)’의 개념에 반대했을 때, 엄격한 프라이버시 법률을 가진 유럽 국가들조차 대테러 법안을 통해 정부가 클라우드 데이터에 긴급히 접속할 수 있다는 사실을 몰랐을 리 없다. 프랑스의 대테러 법안은 사실상 미국의 애국법보다도 강력하다.
 


미국의 애국법이, 미국 정부가 다른 어느 정부보다도 클라우드의 개인 정보 접속에 관해 큰 권력을 휘두른다는 믿음을 대변하는 예가 되면서, ‘로컬 클라우드’가 애국법을 피하기 위한 솔루션으로 대두되었다. 그러나 최근 호주, 캐나다, 덴마크, 프랑스, 독일, 아일랜드, 일본, 스페인, 영국, 미국 등을 대상으로 한 조사에서, 미국 정부의 클라우드 정보 접속 권한은 다른 선진국들보다 그다지 크지 않은 것으로 나타났다.

법 집행기관과 국가 안보 책임자들은 조사국들의 클라우드 서비스 제공자들이 현지에서 저장하는 데이터에 대한 광범위한 접속권한을 가지고 있었다. 이 조사에서, 클라우드 서비스 제공자의 물리적 위치를 이유로 정부의 클라우드 데이터 접속 권한이 제한되지 않으며, 정부의 클라우드 데이터 접속 능력이 국경을 초월한다는 점도 밝혀냈다.

특히, 이들 조사국은 모두 클라우드 서비스 제공자가 고객들의 데이터를 상황에 따라 정부에 제공하는 일을 강제하는 권한을 부여하고 있었다. 게다가, 몇몇 정부는 국가 안보와 관련된 조사의 경우, 클라우드 제공자들에 대한 침투 조사 기법까지 허용하고 있었다.

예를 들어, 독일 연방 범죄 조사국(German Federal Office of Criminal Investigation: BKA)은 테러리즘이나 국가 안보와 관련된 조사에 있어서는 ‘연방 트로이목마(Federal Trojan: 정부가 발부한 컴퓨터 바이러스)를 사용해 대상이 알지 못하는 사이에, 클라우드 제공자의 서버를 검색하고, 진행중인 대화를 모니터링하며 통신 트래픽을 수집할 수 있다. G10 법안은 독일 정보 기관에게 중대 범죄나 테러리즘같은 국가 안보에 대한 위협에서, 법원의 영장 발부 없이도 전기통신을 모니터링하고 기록할 수 있는 권한을 부여했다.

 




2012.08.08

변호사들이 말하는 '클라우드에 대한 위험한 상상'

Christopher Wolf, Winston Maxwell | CSO

변호사 크리스토터 울프와 윈스턴 맥스웰이 로컬 클라우드, 애국법, (여러) 정부의 데이터 접근에 대해 발생 가능한 상황들을 낱낱이 밝혔다.

EU 시민들의 데이터 보호에 대해 유럽연합 집행위원회(European Commission)의 부위원장 비비안 레딩만큼 신경을 곤두세운 사람도 없다. 그녀는 집행위원회가 유럽 내 개인정보보호문제를 새로 구체화된 법안을 통해 업데이트하고 현대화하는 일에 가장 적극적으로 활동하고 있다. 그녀는 EU 시민들의 데이터 프라이버시와 보안에 크게 우려하고 있으며, 미국의 프라이버시 보호 체제에 대해 신랄하게 비판한 인물이기도 하다.

그러나, 작년 EU의 클라우드 컴퓨팅 서비스가 지리적인 위치로 인해 미국의 애국법(Patriot Act)의 영향력에서 벗어나 있다는 광고에 대해서는 레딩 위원장조차도 부당함을 외치지 않을 수 없었다.

그 사건으로 레딩은 즉각적으로 대륙간 데이터의 자유로운 흐름의 중요성을 강조하는 성명을 내야 했다. 그녀가 언급한 내용은, 지리적 위치와 상관없이 최고의 클라우드 서비스를 유럽 시민들이 이용할 필요가 있고, 한 평론가의 “애매한 인터넷 클라우드는 잘 쪼개진 공기 방울이 돼버린다”라는 말처럼, 조각조각 분열된 클라우드 시스템으로는 클라우드 컴퓨팅의 최대 혜택을 누리지 못한다는 이해를 반영한 것이었다.

레딩이 ‘EU 클라우드(EU Cloud)’의 개념에 반대했을 때, 엄격한 프라이버시 법률을 가진 유럽 국가들조차 대테러 법안을 통해 정부가 클라우드 데이터에 긴급히 접속할 수 있다는 사실을 몰랐을 리 없다. 프랑스의 대테러 법안은 사실상 미국의 애국법보다도 강력하다.
 


미국의 애국법이, 미국 정부가 다른 어느 정부보다도 클라우드의 개인 정보 접속에 관해 큰 권력을 휘두른다는 믿음을 대변하는 예가 되면서, ‘로컬 클라우드’가 애국법을 피하기 위한 솔루션으로 대두되었다. 그러나 최근 호주, 캐나다, 덴마크, 프랑스, 독일, 아일랜드, 일본, 스페인, 영국, 미국 등을 대상으로 한 조사에서, 미국 정부의 클라우드 정보 접속 권한은 다른 선진국들보다 그다지 크지 않은 것으로 나타났다.

법 집행기관과 국가 안보 책임자들은 조사국들의 클라우드 서비스 제공자들이 현지에서 저장하는 데이터에 대한 광범위한 접속권한을 가지고 있었다. 이 조사에서, 클라우드 서비스 제공자의 물리적 위치를 이유로 정부의 클라우드 데이터 접속 권한이 제한되지 않으며, 정부의 클라우드 데이터 접속 능력이 국경을 초월한다는 점도 밝혀냈다.

특히, 이들 조사국은 모두 클라우드 서비스 제공자가 고객들의 데이터를 상황에 따라 정부에 제공하는 일을 강제하는 권한을 부여하고 있었다. 게다가, 몇몇 정부는 국가 안보와 관련된 조사의 경우, 클라우드 제공자들에 대한 침투 조사 기법까지 허용하고 있었다.

예를 들어, 독일 연방 범죄 조사국(German Federal Office of Criminal Investigation: BKA)은 테러리즘이나 국가 안보와 관련된 조사에 있어서는 ‘연방 트로이목마(Federal Trojan: 정부가 발부한 컴퓨터 바이러스)를 사용해 대상이 알지 못하는 사이에, 클라우드 제공자의 서버를 검색하고, 진행중인 대화를 모니터링하며 통신 트래픽을 수집할 수 있다. G10 법안은 독일 정보 기관에게 중대 범죄나 테러리즘같은 국가 안보에 대한 위협에서, 법원의 영장 발부 없이도 전기통신을 모니터링하고 기록할 수 있는 권한을 부여했다.

 


X