캐나다 법안 C-22, 캐나다인의 대규모 메타데이터 감시를 의무화

1 week ago 8

캐나다 정부가 ‘합법적 접근법(Lawful Access Act)’인 법안 C-22를 도입하며, 통신사업자와 인터넷 서비스 제공자(ISP)에 대한 감시·감청 협력 의무를 강화함
새 법안은 영장 없는 정보 접근 권한을 대폭 축소했지만, 통신망 감시 인프라 구축과 메타데이터 보존 의무를 포함해 여전히 심각한 사생활 침해 위험을 내포함
법안은 두 부분으로 구성되어 있으며, 첫 절반은 데이터 접근 절차 개선, 후반부는 ‘공인 정보 접근 지원법(SAAIA)’ 을 통해 감시 기술 요건을 규정함
SAAIA는 ‘전자 서비스 제공자(ESP)’ 개념을 새로 도입해, Google·Meta 등 글로벌 플랫폼까지 규제 범위에 포함하고, 최대 1년간 메타데이터 보존을 요구함
정부가 영장 없는 접근을 일부 제한했음에도, 감시 역량 강화와 비밀 유지 조항으로 인해 네트워크 보안 약화와 시민 자유 침해 우려가 지속됨

법안 C-22 개요

법안 C-22(Lawful Access Act) 는 캐나다 정부가 새롭게 제안한 감시 관련 입법으로, 과거 법안 C-2의 논란을 수정한 형태
- C-2는 영장 없는 개인정보 접근을 허용해 헌법적 논란을 불러일으켰음
- 정부는 이에 따라 C-2의 접근 조항을 삭제하고, 별도의 법안으로 C-22를 제시함
C-22는 두 가지 핵심 영역을 다룸
- 통신사업자(ISP, 무선통신사 등)가 보유한 개인정보에 대한 법집행기관 접근 절차
- 캐나다 내 통신망의 감시·모니터링 역량 구축

새 법안은 과거의 광범위한 영장 없는 정보 요구권을 폐지하고, ‘서비스 확인 요청권(confirmation of service)’ 으로 대체
- 경찰은 특정 인물이 해당 통신사 고객인지 여부만 요청 가능
- 추가 개인정보 접근은 법원의 승인(생산명령) 을 받아야 함
이러한 변경은 영장 없는 정보 요구 범위를 통신사로 한정하고, 개인정보 접근에는 사법적 감독을 요구함
법안에는 자발적 정보 제공, 긴급 상황, 외국 기관 요청 등에 대한 별도 규정도 포함
- 다만, ‘합리적 의심(reasonable grounds to suspect)’ 이라는 낮은 기준이 여전히 우려로 지적됨

법안의 두 번째 절반인 SAAIA는 통신사업자에게 감시·모니터링 역량 구축 의무를 부과
- 정부와 법집행기관이 통신망 접근 및 감청 기능을 시험할 수 있도록 협력해야 함
- 모든 요청은 비밀 유지 의무가 적용됨
‘전자 서비스 제공자(ESP)’ 라는 새로운 정의를 도입
- 캐나다 내 서비스를 제공하거나 사업을 수행하는 모든 전자 서비스 제공자를 포함
- Google, Meta 등 글로벌 플랫폼도 포함될 수 있음
핵심 제공자(core providers) 로 지정된 사업자는 추가 의무를 가짐
- 감시 기능 구축·유지, 장비 설치·운영, 정부 통보, 최대 1년간 메타데이터 보존 등

메타데이터 보존 의무는 C-2에는 없던 조항으로, C-22에서 새로 추가됨
- 단, 보존 대상에서 통신 내용, 웹 브라우징 기록, 소셜미디어 활동은 제외
시스템 취약점(systemic vulnerability) 관련 예외 조항 존재
- 감시 기능이 보안 취약점을 초래하거나 수정 방해 시, 사업자는 해당 규정을 따르지 않아도 됨
그러나 이러한 예외가 보안 약화 방지에 충분하지 않다는 우려가 제기됨
- 변경 사항이 공개되지 않고 비밀리에 시행될 가능성도 지적됨

SAAIA는 네트워크 보안 취약성, 비밀성, 비용, 감독 체계 등 다수의 문제를 야기
일부 규정은 부다페스트 협약 제2추가의정서(2AP) 및 미국 CLOUD Act와의 국제 정보 공유 협력을 염두에 둔 것으로 분석됨
결과적으로, 법안 C-22는 영장 없는 접근은 제한했지만, 감시 인프라 강화와 대규모 메타데이터 수집으로 인해
프라이버시와 시민 자유 침해 위험이 여전히 크다는 평가임