PRISM 프로젝트

NSA 기밀자료 폭로 사건

2013년 6월, 한 인물이 미국 정부의 대규모 감시 프로그램을 폭로했습니다. 그의 이름은 에드워드 스노든(Edward Snowden)이며, 이 폭로는 디지털 프라이버시에 대한 전 세계의 인식을 완전히 바꾸어 놓았습니다. 스노든이 공개한 기밀 문서는 미국 정부가 얼마나 광범위하게 시민들을 감시하고 있었는지, 그리고 우리가 일상적으로 사용하는 기술 기업들이 그 과정에 어떻게 연루되어 있는지를 드러냈습니다.

에드워드 스노든은 누구인가

에드워드 스노든은 1983년생 미국인으로, CIA에서 약 3년간 일했고 NSA(미국 국가안보국)에서 계약직 정보기술 전문가로 일했습니다. 그는 NSA 계약업체인 부즈 앨런 해밀턴(Booz Allen Hamilton)에서 시스템 관리자로 근무하며 고급 보안 승인 권한을 가지고 있었습니다. 이 권한 덕분에 그는 NSA의 최고 기밀 감시 프로그램에 접근할 수 있었습니다.

스노든은 자신이 접근한 정보를 보며 미국 정부가 헌법과 법률을 위반하면서까지 대규모 감시를 수행하고 있다는 것을 깨달았습니다. 그는 이러한 사실이 공개되어야 한다고 판단하고, 수천 건의 기밀 문서를 수집하여 언론에 제공하기로 결심했습니다. 이는 엄청난 위험을 감수하는 행동이었습니다. 미국 법률상 그는 간첩 행위로 기소될 수 있었고, 실제로 미국 정부는 그에게 간첩법 위반 혐의를 적용했습니다.

2013년 5월, 스노든은 홍콩으로 날아가 영국의 가디언(The Guardian)과 미국의 워싱턴 포스트(The Washington Post) 기자들을 만나 문서를 전달했습니다. 그는 자신의 신원을 공개하며 "나는 이 문서가 사회에 유익하다고 믿기 때문에 이 일을 했다"고 밝혔습니다. 폭로 이후 스노든은 미국 정부의 추적을 피해 러시아로 망명했으며, 현재까지 러시아에 거주하고 있습니다. 이 공로를 인정받아 2014년 퓰리처상(공공서비스 부분)도 수상했고요.

PRISM 프로젝트

2013년 6월, 세상을 바꾼 폭로

2013년 6월 5일, 가디언은 NSA가 통신사 버라이즌(Verizon)의 가입자 1억 2천만 명 이상의 통화 기록을 수집하고 있다는 극비 법원 명령을 공개했습니다. 이 문서는 NSA가 법원의 승인을 받아 매일 수백만 명의 미국인과 외국인의 통화 기록(누가 누구에게 전화했는지, 언제, 얼마나 오래 통화했는지)을 수집하고 있음을 보여주었습니다.

다음 날인 6월 6일, 가디언과 워싱턴 포스트는 PRISM이라는 이름의 비밀 감시 프로그램을 폭로했습니다. 이것이 스노든 폭로의 핵심이었습니다.

PRISM 프로젝트란 무엇인가

PRISM(프리즘)은 NSA가 2007년부터 운영해온 비밀 감시 프로그램입니다. 이 프로그램은 NSA가 미국의 주요 기술 기업 서버에 직접 접근하여 사용자 데이터를 수집할 수 있도록 허용했습니다. 놀랍게도 PRISM에는 우리가 일상적으로 사용하는 거의 모든 주요 인터넷 서비스가 포함되어 있었습니다.

PRISM 프로그램에 참여한 9개의 주요 기업은 다음과 같습니다.

• Microsoft (2007년 9월 참여)
• Yahoo (2008년 3월 참여)
• Google (2009년 1월 참여)
• Facebook (2009년 6월 참여)
• PalTalk (2009년 12월 참여)
• YouTube (2010년 9월 참여)
• Skype (2011년 2월 참여)
• AOL (2011년 3월 참여)
• Apple (2012년 10월 참여)

NSA는 이들 기업의 서버에서 이메일, 채팅 메시지, 사진, 동영상, 파일, 음성 및 영상 통화 기록, 로그인 정보 등을 수집했습니다. 외국 정보 감시 법원(FISC)은 2011년 PRISM 프로그램이 연간 수집되는 약 2억 5천만 건의 인터넷 통신 중 91%를 차지한다고 밝혔습니다.

중요한 점은 이러한 데이터 수집이 법원 영장 없이, 또는 매우 광범위한 영장을 통해 이루어졌다는 것입니다. NSA는 특정 용의자를 대상으로 한 것이 아니라, 모든 사용자의 데이터를 무차별적으로 수집했습니다. 이는 "대량 감시(Mass Surveillance)"로 불리며, 헌법이 보장하는 프라이버시 권리를 침해하는 것으로 비판받았습니다.

만연한 프라이버시 침해

해당 감시 프로그램 자체 또한 문제지만, 스노든의 인터뷰에 따르면, NSA 내부에선 업무중 발견한 개인의 누드 사진을 돌려보는 등의 일도 있었다고 합니다. 프라이버시가 전혀 지켜지지 않았던 것이죠.

...Many of the people searching through the haystacks were young, enlisted guys and … 18 to 22 years old. They’ve suddenly been thrust into a position of extraordinary responsibility where they now have access to all your private records. In the course of their daily work they stumble across something that is completely unrelated to their work, for example an intimate nude photo of someone in a sexually compromising situation but they’re extremely attractive. So what do they do? They turn around in their chair and they show a co-worker. And their co-worker says: “Oh, hey, that’s great. Send that to Bill down the way.” And then Bill sends it to George, George sends it to Tom and sooner or later this person’s whole life has been seen by all of these other people. Anything goes, more or less.

...자료를 뒤지는 사람들 중 상당수는 젊은 남성들이었고… 18세에서 22세 사이였습니다. 그들은 갑자기 엄청난 책임이 따르는 위치에 놓이게 되었는데, 이제 그들은 여러분의 모든 사적인 기록에 접근할 수 있게 되었습니다. 일상 업무를 수행하는 과정에서 그들은 자신의 업무와 전혀 무관한 무언가를 우연히 발견하게 되는데, 예를 들어, 누군가가 성적으로 취약한 상황에 놓인 누드 사진이지만 그 사람이 매우 매력적인 경우입니다. 그럼 그들은 어떻게 할까요? 의자를 돌려 동료에게 보여줍니다. 동료는 “와, 이거 대단한데. 저기 빌한테도 보내 봐”라고 말하죠. 그러면 빌은 조지에게, 조지는 톰에게 보내고, 결국 이 사람의 사생활 전체가 다른 모든 사람들에게 노출됩니다. 뭐든지 다 통하는 셈이죠.

PRISM 외의 다른 감시 프로그램들

스노든이 폭로한 것은 PRISM만이 아니었습니다. 그는 여러 비밀 감시 프로그램을 같이 공개했습니다.

XKeyscore는 NSA 분석가들이 영장 없이 개인의 이메일, 소셜 미디어 활동, 웹 검색 기록을 검색할 수 있도록 하는 도구였습니다. 스노든은 "책상에 앉아서 누구의 이메일이든 읽을 수 있었다"고 증언했습니다.

Tempora는 영국의 정보기관 GCHQ가 운영하는 프로그램으로, 대서양 횡단 광케이블에서 데이터를 직접 가로채는 방식으로 작동했습니다. GCHQ는 수집한 데이터를 NSA와 공유했습니다.

MUSCULAR은 NSA와 GCHQ가 Google과 Yahoo의 데이터 센터 간 통신을 비밀리에 가로채는 프로그램이었습니다. 이 프로그램은 기업들조차 알지 못하는 사이에 데이터를 수집했습니다.

스노든의 폭로는 NSA가 독일 총리 앙겔라 메르켈을 비롯한 외국 정상들의 휴대전화를 도청했다는 사실도 드러냈습니다. 이는 미국과 동맹국 간의 외교적 갈등을 일으켰습니다.

기술 기업들의 반응

PRISM 프로그램이 폭로되자, 참여한 기술 기업들은 즉각 부인했습니다. Google, Facebook, Apple 등은 "정부에 서버 직접 접근 권한을 준 적이 없다"며 NSA의 주장을 반박했습니다. 그러나 가디언(앞서 말했듯 스노든에게 자료를 직접 받은 언론사입니다.)이 공개한 자료^{(theguardian.com)}에 따르면, NSA의 슬라이드엔 그들 기업이 있었음은 사실로 보입니다.

폭로 이후, 많은 기술 기업들은 사용자 신뢰를 회복하기 위해 보안을 강화했습니다. Google과 Yahoo는 데이터 센터 간 통신을 암호화하기 시작했고, Apple은 종단간 암호화를 강화했습니다. 또한, 많은 기업들이 정부 정보 요청을 공개하는 투명성 보고서를 발표하기 시작했습니다.

그러나 이러한 변화에도 불구하고, 기술 기업들은 여전히 정부의 정보 요청에 협조해야 하는 법적 의무를 가지고 있습니다. 특히 미국의 CLOUD Act는 미국 기업이 전 세계 어디에 데이터를 저장하든 미국 정부가 접근할 수 있도록 허용합니다.

폭로의 의미와 교훈

스노든의 폭로는 디지털 프라이버시에 대한 전 세계의 인식을 근본적으로 바꾸어 놓았습니다. 많은 사람들은 정부가 테러리스트나 범죄자만 감시한다고 믿었지만, 실제로는 일반 시민들도 무차별적으로 감시하고 있었다는 사실이 드러났습니다.

이 사건은 "나는 숨길 것이 없다"는 주장이 얼마나 순진한 생각인지 보여주었습니다. 정부가 모든 사람의 통신을 감시할 수 있다면, 누구도 안전하지 않습니다. 감시는 권력 남용의 도구가 될 수 있으며, 표현의 자유와 민주주의를 위협합니다.

스노든의 폭로는 또한 우리가 사용하는 기술 서비스가 얼마나 취약한지 보여주었습니다. 우리는 매일 이메일을 보내고, 사진을 업로드하고, 메시지를 주고받으며 수많은 디지털 흔적을 남깁니다. 이러한 데이터는 정부뿐만 아니라 해커, 광고업체, 악의적인 행위자들에게도 노출될 수 있습니다.

스노든이 언론사에게 공개한 기밀 자료 목록은 기사의 링크와 함께 다른 누군가가 정리해두었습니다.^(github.com)

후일담

폭로 이후 10년, 무엇이 바뀌었나

스노든의 폭로 이후 많은 변화가 있었습니다. EU는 GDPR을 제정하여 개인정보 보호를 강화했고, 많은 국가들이 유사한 법률을 도입했습니다. 암호화 기술이 널리 보급되어 Signal 같은 종단간 암호화 메신저가 보급되었습니다.

그러나 여전히 많은 과제가 남아 있습니다. NSA의 대량 감시 프로그램은 완전히 중단되지 않았으며, 많은 부분이 여전히 비밀로 남아 있습니다. 5 Eyes 국가들은 계속해서 정보를 공유하고 있으며, 기술 기업들은 여전히 정부 요청에 협조해야 합니다.

더 큰 문제는 기업들의 자발적인 감시입니다. 정부의 강제가 아니더라도, 많은 기업들은 광고와 수익을 위해 사용자 데이터를 수집하고 분석합니다. 이는 정부 감시와는 다른 형태의 프라이버시 침해이지만, 그 영향은 못지않게 심각합니다.

우리가 할 수 있는 일

스노든의 폭로는 우리에게 중요한 교훈을 남겼습니다. 프라이버시는 저절로 지켜지지 않으며, 우리가 적극적으로 보호해야 합니다.

종단간 암호화를 지원하는 메신저를 사용하세요. 국가와 정부 그리고 빅테크를 신뢰하지 마세요. 인터넷 활동을 보호하세요. 궁극적으로, 사용자 프라이버시를 존중하는 기업의 서비스를 이용하세요.

가장 중요한 것은 프라이버시의 가치를 이해하고, 이를 지키기 위해 노력하는 것입니다. 스노든은 자신의 자유와 안전을 희생하면서까지 진실을 알렸습니다. 이제 우리가 그 진실을 바탕으로 행동할 차례입니다.