요즘은 어떤 회사를 신뢰할 수 있는지 알기 어렵습니다.
Apple은 "백도어 액세스"에 대한 FBI의 요구에 굴복하지 않은 점에 대해 칭찬을 받을 만하지만, 많은 다른 기업이 아무 생각 없이 NSA에 정보를 넘길 것입니다.
다음은 NSA에 동의하고 사용자 데이터에 대한 액세스 권한을 부여한 것으로 알려진 조직을 살펴보겠습니다. 이러한 서비스를 사용하는 것은 위험합니다.
1. 야후
NSA에 데이터를 넘겨준 최악의 범죄자일 수 있습니다.
사실, 사람들이 야후의 처참한 실적 데이터 유출을 감안할 때 계속해서 어떤 서비스라도 사용하고 있다는 사실은 이미 놀랍습니다. 해커는 2013년 8월에 30억 개의 계정, 2014년 말에 추가로 5억 개, 2015년 말에 2억 개의 계정을 손상시켰습니다.
하지만 이는 회사의 NSA 공모에 비하면 아무것도 아니다.
2016년에 야후는 사용자의 받은 편지함을 모니터링하고 NSA에 플래그가 지정된 모든 것을 자동으로 보내는 비밀 이메일 필터를 특별히 만들었다는 것이 밝혀졌습니다. NSA는 더 이상 데이터를 요청할 필요조차 없었습니다.
그때 CEO인 Marissa Mayer가 필터를 만들기로 결정했습니다. 그녀는 회사의 최고 보안 엔지니어인 Alex Stamos의 지식 없이 그렇게 했습니다. 프로그램을 알게 되자 그 자리에서 그만뒀다.
나중에 다른 직원들도 필터를 발견했을 때 너무 침입해서 악의적인 해커의 작품인 줄 알았습니다.
2. 아마존
PRISM과 NSA에 대한 초기의 분노는 조금 사그라들었지만, 그렇다고 해서 잘못된 안전감에 빠지지 않도록 하십시오.
Amazon은 원래 누출된 NSA 슬라이드에 나열된 회사 중 하나도 아니었지만 NSA에 방대한 양의 사용자 데이터를 제공합니다.
가장 최근의 투명성 보고서[PDF]---2017년 12월 말에 제공됨---Amazon은 다음을 받았습니다.
- 1,618개의 소환장 회사는 42%를 완전히 준수하고 31%를 부분적으로 준수했습니다.
- 229개의 수색 영장. 회사는 44%를 완전히 준수하고 37%를 부분적으로 준수했습니다.
- 89개의 기타 법원 명령. 회사는 52%를 완전히 준수하고 32%를 부분적으로 준수했습니다.
1건을 제외한 모든 요청은 미국 내에서 왔으며 수치는 지난 6개월에 비해 거의 15% 증가한 수치입니다.
또한 Amazon은 얼마나 많은 국가 보안 서한을 받았는지 말할 수 없습니다. 다만, 회사는 이를 받지 아니한 경우에는 이를 알릴 수 있다. Amazon은 0에서 249 사이의 수신을 선언하기로 결정했습니다.
3. 버라이즌
2013년 6월 영국의 가디언 신문은 NSA가 매일 수백만 명의 Verizon 고객으로부터 전화 기록을 수집했다는 유출 문서를 입수했습니다.
같은 해 4월의 일급 비밀 법원 명령 덕분에 Verizon은 국내 및 국제 전화를 포함하여 시스템의 모든 단일 전화 통화에 대한 NSA 세부 정보를 제공해야 했습니다.
법원 명령은 3개월 동안 유효했으며 2013년 7월에 만료되었습니다.
이 명령에 따르면 Verizon은 양 당사자의 번호, 위치 데이터, 통화 시간, 고유 식별자, 모든 통화 시간 및 시간을 넘겨야 했습니다. 이러한 모든 메타데이터는 통화 배후의 사람들에 대해 많은 것을 드러낼 수 있습니다.
설상가상으로 판결은 Verizon이 법원 명령이나 NSA의 요청에 대해 대중에게 알리는 것을 금지했습니다.
이 프로그램의 코드명은 Ragtime입니다. 2017년 말에 추가로 유출된 문서에 따르면 Ragtime 프로젝트는 살아 있고 잘 운영되고 있을 뿐만 아니라 처음 상상했던 것보다 범위가 훨씬 더 넓습니다.
Verizon 법원 명령이 속한 프로그램의 일부인 Ragtime-P는 여전히 활성 상태였습니다. 그러나 유출로 인해 10개의 추가 변종이 있음이 밝혀졌습니다. 미국 시민권자 입장에서 가장 문제가 되는 것은 Ragtime-USP(미국인)입니다.
이론적으로 미국 시민과 영주권자는 2015년 판결 이후 전화 기록 수집으로부터 보호됩니다. 그러나 Ragtime-USP의 존재는 이를 의문시합니다.
안타깝게도 어떤 회사가 Ragtime-USP와 공모하고 있는지 알 수 없습니다.
4. 페이스북
페이스북은 항상 NSA 감시 논쟁의 최전선에 있었습니다. Amazon과 마찬가지로 수신한 정보 요청 수에 대한 세부 정보를 게시합니다. 그리고 오늘날 NSA는 그 어느 때보다 많은 정보를 요구하고 있습니다.
사용 가능한 가장 최근 수치는 2017년 첫 6개월 동안의 것입니다. 데이터에 따르면 NSA의 요청 수가 이전 6개월 기간에 비해 해당 기간 동안 26% 증가했습니다.
이는 요청 수가 2013년 첫 6개월 동안 약 10,000건에서 2017년 첫 6개월 동안 33,000건 이상으로 증가한 것과 동일한 장기 상승 추세의 일부입니다.
그리고 Facebook이 더 많은 요청을 받는 동시에 회사도 더 많은 요청에 동의하고 있습니다. 2013년 첫 6개월 동안 NSA 요청의 79%에 동의했습니다. 2017년 첫 6개월 동안 그 비율은 85%로 증가했습니다.
계속됩니다. 페이스북이 받은 NSA 요청의 57%에는 비공개 조항이 포함됐다. 이는 Facebook이 NSA가 데이터를 요청했음을 사용자에게 알릴 수 없음을 의미합니다. 이 조항이 남용될 가능성이 있다고 생각한다면 당신이 옳을 것입니다. 2017년 첫 6개월 동안의 비공개 주문 건수는 2016년의 마지막 6개월에 비해 50%나 증가했습니다.
5. AT&T
Yahoo의 맞춤형 이메일 필터는 이 목록에서 가장 뻔뻔한 스파이 장치일 수 있지만, AT&T가 가장 공모하는 회사가 되기 위한 싸움에서 틀림없이 승리할 것입니다.
2015년에 일련의 유출된 NSA 문서가 거대 통신 회사와 정부 기관 간의 관계를 폭로했습니다.
한 문서는 둘 사이의 연관성이 "독특하고 특히 생산적"이라고 밝혔습니다. 또 다른 사람은 AT&T가 "매우 협력적"이라며 "극단적인 도움을 줄 의향"에 대해 회사를 칭찬했습니다.
세 번째 문서에서는 NSA 직원이 AT&T 구내를 방문할 때 "이것은 계약 관계가 아니라 파트너십입니다."라고 반복적으로 예의를 갖추도록 상기시켰습니다.
협업 프로그램은 Fairview라고 합니다. Ma Bell이 해체된 후인 1985년에 시작되었지만 9/11의 여파로 현재 수준으로 증가했습니다. AT&T는 공격이 있은 지 며칠 이내에 NSA에 정보에 대한 액세스 권한을 부여하기 시작했습니다. 운영 첫 달 만에 NSA에 4000억 개 이상의 인터넷 메타데이터 기록을 제공했습니다.
2011년에는 Fairview 프로그램이 한 단계 더 발전했습니다. 문서에 따르면 AT&T는 NSA에 매일 11억 개의 국내 휴대 전화 통화 기록을 제공하기 시작했습니다.
그리고 AT&T 고객이 아니기 때문에 확실하다고 생각한다면 다시 생각해 보십시오. 유출된 문서 중 하나는 AT&T와의 관계가 "다른 통신 및 ISP에 고유한 액세스를 제공한다"고 말합니다.
이메일 데이터 수집이 발생하는 방식 때문에 교차 ISP 감시가 가능합니다. 단일 이메일을 탭하려면 다른 여러 이메일의 일부도 수집해야 합니다. 미주 통신의 경우 법에 따라 NSA는 (이론적으로) 해당 이메일을 즉시 폐기합니다.
그러나 외국인-미국인 및 외국인-외국인 우편물의 경우 해당 법률이 적용되지 않습니다. 따라서 NSA는 영장 없이 대량 수집에 참여할 수 있습니다. 웹 데이터의 많은 부분이 미국 케이블을 통해 흐르고 있다는 점을 감안할 때 이 허점은 특히 에이전시에 유리합니다.
인터넷 감시로부터 자신을 보호하기
우리는 NSA가 기업의 데이터를 강제로 빼는 가장 우려스럽고 세간의 이목을 끄는 사례 5건에 대해서만 논의했습니다.
그러나 의심할 여지 없이 소규모 회사에서도 자발적으로 또는 법적 강제력으로 데이터를 양도하는 거의 끝없는 사례가 있습니다. 안타깝게도 이러한 사례는 공개되지 않으며 앞으로도 없을 것입니다.
모든 수집품에도 불구하고 과도한 인터넷 감시로부터 자신을 보호하기 위해 취할 수 있는 몇 가지 조치가 있습니다.