2024년 4월, 조 바이든 미국 대통령이 미국 국가안전보장국(NSA)의 미국 기업을 대상으로 미국 영토를 오가는 통신 데이터 도청을 지시할 권한 강화를 골자로 한 감시 법안에 서명했다. 법안이 법률로 제정되면서 다수 법률 전문가는 NSA의 새로운 감시 권한의 실제 제한 사항을 제대로 파악하지 못한 상태였다. 주로 NSA의 통신 지시를 따라야 할 기업 유형이 명확하지 않았다. 미국 시민자유동맹(American Civil Liberties Union)을 비롯한 복수 디지털 권리 단체가 해당 법안은 지나치게 모호하면서 정부 차원의 도청과 비밀 감시 작전 대상이 될 미국 기업의 범위가 매우 광범위해질 가능성을 제한할 조건을 다룰 법률 용어를 자체적으로 생성했다고 주장했다.
2024년 4월, 미 의회는 미국 정보 체계의 중요한 법률 규정인 해외정보감시법(FISA) 제702조 시행 기간을 서둘러 연장했다. 해외정보감시법 제702조에 따른 감시 계획은 NSA가 미국인과 외국에 체류 혹은 거주 중인 외국인 간의 통화와 메시지를 도청하도록 한다. 단, 미국인과 연락한 외국인이 감시 대상이 되며, 도청은 중요한 해외 정보를 위한 목적으로 진행된다. 2008년 이후 감시 계획에 따르는 기업 범주가 법률이 명시한 전자통신 서비스 공급사로 제한되었다. 마이크로소프트, 구글 등 이메일 서비스 제공 기업과 스프린트(Sprint), AT&T 등 이동통신사가 대표적인 예시에 해당한다.
미국 정부는 지난 몇 년간 이른바 전자통신 서비스 공급사의 의미 변경 작업을 비밀리에 진행했다. NSA가 도청 협력을 위해 접근할 기업 범위를 넓히려는 시도이다. 처음에는 상호 동의에 따라 추진되었으며, 이제는 미 의회의 지지를 받는 일이다. 하지만 바이든 대통령이 서명한 법안에 중요한 감시 계획의 범위 정의를 다시 지정하는 데 모호한 표현이 포함된 사실이 지금도 문제가 되는 부분이다. 이에, 브레넌 정의 센터(Brennan Center for Justice)부터 프런티어전자재단(Electronic Frontier Foundation)까지 포함된 복수 디지털 권리 단체 동맹이 메릭 갈런드(Merrick Garland) 미국 법무부 장관과 에이브릴 헤인즈(Avril Haines) NSA 국장을 대상으로 현재 상황 상당수를 밝힐 수 있는 관련 소송 사건의 상세 사항을 공개하도록 압박하기 시작했다.
디지털 권리 단체 동맹이 갈런드 장관과 헤인즈 국장에게 보낸 서한에는 디지털 권리 단체 20곳이 미 의회가 승인한 전자통신 서비스 공급사의 새로운 정의를 두고 NSA가 업계 불문 미국의 대다수 기업을 대상으로 NSA의 도청을 지원하도록 강요할 수 있다고 확신한다고 전했다. 또한, 오늘날 모든 기업이 일종의 정보통신 서비스를 제공하며, 통신 정보를 저장한 장비에 접근한다는 점에도 주목했다.
서한은 “의도적으로 지나치게 광범위한 권한을 부여하는 표현을 작성하면서 미래 행정부가 법률을 악용하지 않는다고 신뢰하는 것은 법률 악용을 지시하는 셈이다. 또한, 행정부가 해외정보감시법 제702조 조항이 데이터센터에 접근할 의도를 지닌 사실을 밝힐 수 있으며, 밝혀야 한다는 점에서 도청 지시에 따라야 하는 기업 범위를 새로이 지정하는 일은 전혀 필요하지 않다”라는 주장을 담았다.
미국 법무부는 2024년 5월 14일(현지 시각), 서한을 받은 사실을 확인시켜 주었으나 와이어드의 문의에 미국 국가정보국(Office of the Director of National Intelligence)이 정보 공개 결정 심사를 주로 담당한다는 사실을 언급했다. 미국 국가정보국은 와이어드의 의견 공개 요청에 답변하지 않았다.
다수 전문가가 정부 차원의 도청 지시에 응해야 하는 기업 범위에 데이터센터를 포함하고자 한다고 확신하는 데다가 이와 관련한 사실이 보도되기도 했다. 맷 올슨(Matt Olsen) 미국 국가안보 차관은 2024년 4월 17일(현지 시각), 로페어(Lawfare) 팟캐스트 에피소드에 출연하여 특정 정보를 확인하거나 부인할 수는 없다고 전하며, 오늘날 데이터센터가 통신 데이터를 대거 저장한 사실에 주목하며, 이를 정부가 전자통신 서비스 공급사 정의를 변경하고자 하는 이유의 예시로 언급했다.
미국 법무부 대변인은 와이어드의 문의에 4월 18일(현지 시각), 갈런드 장관이 전자통신 서비스 공급사의 새로운 정의가 협의적인 관점에서 지정되었다고 주장하는 내용을 담아 작성한 서한을 제시했다. 서한에는 카를로스 우리아트(Carlos Uriarte) 차관이 해외정보감시법 제702조를 반영하여 작성한 내용이 포함되었다. 우리아트 차관은 정의 ‘변경’이 지난 15년간의 기술 변화 결과로 발생한 중요한 정보 격차를 다룰 의도라고 주장했다. 또, 우리아트 차관은 법무부 내부에서 전자통신 서비스 공급사의 새로운 정의를 법원에서 다루기 전 문제가 된 서비스 공급사 유형을 다루기 위해 적용하도록 전념했다고 전했다.
[사진=Pixabay]
표면적으로는 정부 차원에서 추후 데이터센터를 대상으로 한 감시 지시 제한을 약속하려는 수단이다. (기존의 전자통신 서비스 공급사 정의에 해당하는 기업도 포함한다.)
해외정보감시법을 감독하는 감시 법원과 법률 제정 결정을 검토한 항소 법원은 2022년, 2년 전, NSA의 도청 명령을 따른 뒤 맞서 싸운 어느 한 기업 사건과 관련하여 일치한 의견을 공개했다. 감시 법원과 항소 법원 모두 소송전을 벌인 기업이 실제로 전자통신 서비스 공급사로 볼 만한 기업 범위의 조건을 충족하지 않고, 단순히 통신 데이터 저장 기능 일부만 제공한다고 판결했다. 감시 법원과 항소 법원 모두 정부가 지나치게 광범위한 법률 용어를 사용한 사실을 확인하며, 정부에 미 의회만이 법률 제정 자격과 헌법상 권한이 있다는 사실을 재차 전달했다.
복수 디지털 권리 단체 기업은 앞서 언급한 해외정보감시법 소송 사건의 추가 정보를 공개한다면, NSA의 도청 지시를 따라야 할 대상에 해당하는 기업 유형을 대중이 이해하는 데 도움이 될 것이라고 주장한다. 실질적으로 법원 소송 정보가 더는 비밀이 아니라고 주장하는 것이다. 디지털 권리 단체 동맹은 서한에 “소송 정보 공개는 국가 안보 피해 원인이 될 확률이 낮다. 뉴욕타임스는 이미 관련 해외정보감시법 사건이 클라우드 컴퓨팅 서비스를 제공하는 데이터센터를 다룰 수 있다는 사실을 폭로했다”라고 작성했다.
해외정보감시법 소송 판결 여파로 NSA를 비롯한 정보 감시 기관은 하원 정보위원회와 상원 정보위원회에 전자통신 서비스 공급사 정의를 새로이 지정하는 과정에서 행정부를 지원하도록 로비 활동을 펼쳤다. 이후 하원과 상원 정보위원회 소속 의원 모두 법원 판결을 미 의회가 NSA의 감시 작전 도달 범위 확장이 필요하다는 지시 사항으로 설명했다. 2024년 4월, 의회 연설에서 마크 워너(Mark Warner) 상원 정보위원회 위원장은 “지금까지 해외정보감시법 감독 법원은 해외정보감시법에서 언급하는 전자통신 서비스 공급사 정의에 허점이 있다는 사실을 지적하며, 허점을 없애고 정의를 변경할 필요성을 전달했다”라고 말했다.
하지만 실제로 법원은 정부가 권한을 넘어선 범위에서 법률을 행사한 점과 법무부가 아닌 미 의회가 법률 개정을 담당해야 한다고 주장했다. 법원은 “법원의 해석으로 드러난 전자통신 서비스 공급사 범위의 의도치 않은 범위 차이가 있다면, 자격과 헌법 권한을 지닌 정부 기관이 법률 용어 범위 확장을 재고할 가능성을 열어둔다”라고 판결했다.
과거, 비밀 정보 감시 법원에 출석한 적이 있는 시민 자유 변호사를 포함한 복수 법률 전문가가 새로운 법률 용어 제정을 제안한 법원 판결을 경고했다. 실리콘밸리 일대로도 감시 우려가 즉시 확산되었다. 테크 업계 최고 로비 활동 기관인 정보기술산업위원회(Information Technology Industry Council)는 페이스북, IBM과 같은 기업에 법안을 미국 정부의 영장 없는 감시 능력을 광범위하게 확장한다는 의미로 해석해야 한다고 경고했다.
정보기술산업위원회는 전자통신 서비스 공급사 정의 확장 후 미국 테크 기업의 경쟁이 어려워지고, 미국과 우방국 간 데이터가 앞으로도 전 세계에서 자유롭게 이동할 가능성이 위험해질 수도 있다고 덧붙였다. 또, 미국 정부가 데이터센터를 감시 작전 중심지로 변경한다면, 다국적 고객사가 자사 기업을 다른 국가로 옮기기 시작할 수 있다고 주장했다.
전자통신 서비스 공급사 정의 변경 관련 우려는 2023년 12월부터 제기되었다. 2024년 2월, 하원과 상원의 정보위원회 소속 의원 다수는 대다수 우려를 간과하면서도 몇 가지 변경 사항을 제시하고, 소수 기업 유형을 전자통신 서비스 공급사에서 제외했다. 이후 스타벅스 직원과 호텔 IT 담당 직원도 NSA의 비밀 감시 작전 동참 명령을 따르게 될 수 있다는 우려 반응이 이어졌다. 과거, 해외정보감시법 감독 법원에 두 차례 출석한 적이 있는 개인 변호사 마크 즈윌링어(Marc Zwillinger) 변호사를 포함한 복수 해외정보감시법 전문가는 미 의회가 서둘러 일부 기업을 전자통신 서비스 공급사에서 제외하려 하는 변경 사항이 본질적으로 너무 광범위한 표현을 다루기만 할 것이라는 점에 주목했다.
하원과 상원 의회의 정보위원회 소속 의원은 해외정보감시법 제702조의 감시 계획을 필요한 용어와 함께 권한을 재지정하도록 하면서 9/11 테러 공격과 같은 공격이 발생할 가능성까지 언급하며, 다수 국회의원을 대상으로 계속 압박했다. 실제로 하원이나 상원 정보위원회에는 해외정보감시법 관할 권한이 없으나 하원과 상원 정보위원회의 권력이 전체적으로 드러났다. 해외정보감시법 제702조 법안 통과 사항 대부분 정보위원회 인력이 작성하였다.
새로운 법률 정의 틀을 지지하고 시민사회의 우려 수준 대부분 무시하면서도 워너 위원장은 전자통신 서비스 공급사의 새로운 정의를 추가로 변경해야 할 필요성을 인정했다. 2024년 4월, 상원 원내 회의에서 워너 위원장은 갈런드 장관이 전자통신 서비스 공급사 정의 관련 용어를 더 나은 방향으로 작성할 수 있도록 관점을 공유했다고 말했다. 이후 워너 위원장은 여러 언론사 기자의 질문에 “전자통신 서비스 공급사 정의를 수정하는 데 전념한다”라고 추가로 전했다.
하지만 전자통신 서비스 공급사의 정의를 또다시 변경할 확률은 낮은 것으로 나타났다. 더리코드(The Record)에 따르면, 워너 위원장은 전자통신 서비스 공급사의 법률 용어를 재차 변경하기 가장 적합한 시점이 다음 정보법안 논의 시기라고 언급했다. 2024년 가을, 정보 분야의 작업 권한을 대대적으로 변경할 법안을 언급한 것으로 추정된다.
반면, 미 의회 구성원 절반 이상이 선거에 출마하며, 다음 미국 대통령은 미국 역사상 가장 큰 감시 권한을 얻게 될 것이다. 현시점에서 다음 미국 대통령이 누구인지, 혹은 다음 미국 대통령이 이끄는 행정부가 감시 권한을 행사할 방식 등을 확실히 말할 수 없다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202405/5558_7167_197.jpg)
뉴스레터 신청