이스라엘, 법적 명령 회피 위해 구글·아마존에 비밀 ‘윙크 코드’ 사용 요구

• 2021년 12억 달러 규모의 클라우드 계약(Project Nimbus) 체결 과정에서 이스라엘 정부가 구글과 아마존에 비밀 신호 체계(‘윙크 메커니즘’) 사용을 요구
• 이 체계는 외국 사법 당국이 이스라엘 데이터를 요구할 경우, 기업이 이를 전달했음을 암호화된 결제 신호로 이스라엘 정부에 알리는 구조
• 계약 문서에 따르면, 국가 전화번호 코드에 해당하는 금액(1,000~9,999셰켈) 을 24시간 내 송금해야 하며, 국가를 밝힐 수 없을 경우 10만 셰켈을 지불
• 계약에는 또한 이스라엘 정부의 클라우드 접근을 제한하거나 중단할 수 없다는 조항이 포함되어, 인권 문제나 정책 변경에도 서비스 제공이 유지됨
• 전문가들은 이 메커니즘이 법적 의무를 우회할 위험한 관행이라 평가했으며, 구글과 아마존은 법적 의무 회피를 부인

Project Nimbus 계약 개요

• 2021년 체결된 Project Nimbus는 이스라엘 정부가 공공 및 군사 데이터를 구글과 아마존의 상업용 데이터센터에 저장하는 7년 계약
• 계약은 이스라엘 재무부 문서에 기반하며, 구글과 아마존이 내부 절차를 수정하고 표준 계약 조건을 이스라엘 요구에 종속시키는 내용 포함
• 이스라엘 정부는 “기업들이 정부의 민감성을 이해하고 요구를 수용했다”고 내부 메모에서 평가

‘윙크 메커니즘’의 작동 방식

• 외국 법원이 이스라엘 데이터 제공을 요구하고 비밀 유지 명령(gag order) 을 내릴 경우, 기업은 결제 신호를 통해 이스라엘 정부에 알림
  • 예: 미국(+1) → 1,000셰켈, 이탈리아(+39) → 3,900셰켈 송금
  • 국가를 밝힐 수 없을 경우 10만 셰켈(약 3만 달러) 송금
• 이 체계는 ‘특별 보상금(special compensation)’ 형태로 명시되어 있으며, 정보 전달 후 24시간 내 지급해야 함
• 법률 전문가들은 이 방식이 미국 내 비밀 유지 의무를 위반할 소지가 있다고 지적
  • 전 미 정부 변호사: “법적으로 귀엽지만 위험한 발상”
• 이스라엘 문서에서도 미국법과 충돌 가능성을 인정, 기업이 계약 위반과 법 위반 중 선택해야 할 상황이 발생할 수 있다고 명시

구글·아마존의 입장

• 두 회사 모두 법적 명령 회피를 부인
  • 구글: “미국 정부나 다른 국가의 법적 의무를 회피한다는 주장은 완전히 틀림”
  • 아마존: “법적 명령을 우회하는 절차는 존재하지 않음”
• 구글은 “Nimbus 계약은 기존 서비스 약관과 허용 가능한 사용 정책에 따라 운영된다”고 재확인
• 이스라엘 재무부 대변인은 “기업이 법을 위반하도록 강요한다는 주장은 근거 없다”고 반박

접근 제한 금지 조항

• 계약은 구글과 아마존이 이스라엘 정부의 클라우드 접근을 제한하거나 중단할 수 없도록 명시
  • 정책 변경, 인권 침해 논란, 서비스 약관 위반 여부와 관계없이 접근 유지
• 단, 저작권 침해나 기술 재판매를 제외하면 이스라엘 법이 허용하는 모든 서비스 사용 가능
• 이 조항은 인권 단체나 주주 압력으로 인한 서비스 중단 위험을 방지하기 위해 삽입됨
• 이스라엘 관계자: “군사·정보 데이터를 포함해 클라우드에 올릴 정보에 제한이 없다”
• 계약 위반 시 금전적 벌금 및 법적 조치 가능

관련 맥락 및 비교 사례

• 마이크로소프트는 2025년 9월 팔레스타인 민간인 감시 시스템 운영에 사용된 기술을 차단, 이스라엘군의 Azure 접근을 중단
  • 이유: “민간인 대규모 감시를 지원하지 않는다”
• Nimbus 계약상 구글과 아마존은 이와 같은 조치를 취할 수 없으며, 이를 “이스라엘 정부에 대한 차별”로 간주
• 이스라엘 재무부는 “계약은 국가의 핵심 이익을 보호하는 엄격한 의무로 구성되어 있다”고 언급

전문가 및 후속 논의

• 전직 미국 검사와 보안 관계자들은 윙크 메커니즘이 법의 형식은 지키지만 정신은 위반할 수 있다고 평가
• 이스라엘 정부 문서에 따르면, 기업들이 법적 명령과 계약 의무 사이에서 충돌 가능성을 인식하고 있음
• 구글과 아마존은 해당 메커니즘 사용 여부에 대한 질문에 답변하지 않음
• 아마존은 “법적 명령에 따른 데이터 요청에 대응하는 엄격한 글로벌 절차를 보유”하고 있다고만 언급