캐나다의 Bill C-22는 지난해의 감시 악몽을 재포장한 버전

1 day ago 1

캐나다의 Bill C-22는 Bill C-2의 일부 문제를 손봤지만, 디지털 권리 약화라는 핵심 우려는 대부분 남아 있음
Bill C-22는 통신사와 메시징 앱 같은 디지털 서비스에 메타데이터를 1년간 기록·보관하도록 강제할 수 있음
공공안전부 장관은 기업에 법집행기관 접근용 감시 백도어 생성을 요구할 수 있고, 기업은 명령 존재도 공개할 수 없음
“시스템적 취약점”과 암호화 정의가 불명확해 앱뿐 아니라 운영체제까지 암호화 우회 요구 대상이 될 수 있음
영국의 Apple Advanced Data Protection 철회와 2024년 Salt Typhoon 해킹은 백도어 위험이 현실적임을 드러냄

Bill C-22의 핵심 변화와 우려

캐나다 정부는 지난해 “국경 보안” 명목으로 디지털 권리를 약화시킬 수 있는 Bill C-2를 추진했지만, 개인정보 보호 커뮤니티의 반발로 위원회 단계에도 가지 못함
새 법안인 Bill C-22, 즉 The Lawful Access Act는 일부 문제 요소를 조정했지만 대체로 Bill C-2와 같은 우려를 남김
Bill C-22는 통신사, 메시징 앱 등 디지털 서비스가 메타데이터를 1년 동안 기록하고 보관하도록 강제할 수 있음
Bill C-22는 미국을 포함한 외국 정부와의 정보 공유도 확대함
메타데이터는 누구와 소통하는지, 어디에 가는지, 언제 그렇게 하는지를 드러낼 수 있음
메타데이터 수집 확대는 기업이 지금보다 더 많은 사용자 정보를 저장하게 만들고, 악의적 행위자가 그 정보에 접근하려는 유인도 키움

Bill C-22의 핵심 문제는 공공안전부 장관이 기업에 서비스 백도어 생성을 요구할 수 있는 메커니즘을 제공한다는 데 있음
이 요구는 법집행기관이 데이터에 접근할 수 있도록 하는 것이며, “시스템적 취약점(systemic vulnerability)”을 도입하지 않는다는 조건이 붙음
이런 광범위한 감시 백도어는 이미 발생하는 데이터 침해를 더 늘릴 가능성이 큼
Bill C-22는 기업이 이런 명령의 존재 자체를 공개하는 것도 금지함
C-22에서 “시스템적 취약점”과 “암호화(encryption)”의 정의는 충분히 명확하지 않음
정의가 불명확하면 정부가 기업에 암호화 우회를 요구할 여지가 생김
법안의 지나치게 넓은 정의는 앱뿐 아니라 운영체제까지 포함할 수 있음
캐나다 당국자들은 시스템적 취약점을 만들지 않고도 감시 기능을 추가할 수 있다고 봤지만, 암호화된 통신 감시는 근본적으로 시스템적 취약점임

Bill C-22의 구조는 지난해 영국 정부가 Apple에 선택 기능인 Advanced Data Protection 백도어 구현을 요구한 상황과 닮아 있음
영국 정부는 Apple에 이런 유형의 백도어를 구현하라고 요구했고, Apple은 요구를 따르는 대신 영국 사용자에게 해당 기능을 철회함
영국 사용자는 지금도 iCloud에 저장된 데이터를 더 강하게 보호하는 이 개인정보 보호 기능에 접근할 수 없음
Meta와 Apple은 C-22가 캐나다 정부에 비슷한 권한을 줄 수 있다고 우려하며, 두 회사 모두 법안에 반대함
미국 하원 법사위원회와 외교위원회도 캐나다 공공안전부 장관에게 공동 서한을 보내 암호화 시스템 백도어에 대한 우려를 전달함

캐나다인은 강력한 개인정보 보호, 기업의 사용자 데이터 처리 방식에 대한 투명성, 암호화된 데이터에 대한 명확한 보호 장치를 받을 필요가 있음
Bill C-22는 이런 보호를 제공하지 않고, 기술 기업의 디지털 영역에 더 깊이 들어가 광범위한 합법적 접근 메커니즘을 만들려 함
Full text of C-22: C-22 전문
Canadian Civil Liberties Association statement and letter: Canadian Civil Liberties Association 성명과 서한
Open Media blog on C-22: C-22에 대한 Open Media 블로그
EFF’s blog on bill C-2: Bill C-2에 대한 EFF 블로그