VPN 관할권이 사용자에게 어떤 영향을 미치나요?

세계에서 가장 강력한 국가는 5 아이즈, 9 아이즈, 14 아이즈 동맹이라는 비밀 정보 공유 회원국입니다.

이 협정을 맺은 국가들은 대규모 감시를 통해 데이터를 수집하고 이를 서로 공유하기 위해 협력합니다.

웹 브라우징 활동, 전화 통화, 문자 메시지, 전자 문서, 위치 기록 등과 같은 정보가 수집됩니다.

개인정보 보호 측면에서 여기에 해당하는 동맹국들은 VPN 회사 기반으로서는 최악의 장소입니다.

VPN 서비스가 이러한 국가 중 하나에 기반을 둔 경우 감시, 데이터 보존, 데이터 공유 관련 법이 적용될 수 있습니다. 즉, 데이터를 정부 기관에 넘겨야 할 수도 있는 것입니다.

이번 가이드에서는VPN 관할권이란 무엇이며 관할권이 개인정보 정보 보호에 미치는 영향에 대해 설명하도록 하겠습니다.

5, 9, 14 아이즈 동맹에 대해 깊이 있게 살펴보고 VPN을 선택함에 있어서 이들이 왜 중요한지에 대해서도 다뤄보도록 하겠습니다.

또한, Top10VPN에서 정리한 VPN 관할권 비교 표를 통해 인기 있는 VPN 서비스들이 어디에 기반을 두고 있는지 정확히 확인할 수 있습니다.

VPN ‘관할권’이란 VPN 서비스가 법적으로 기반을 두고 있거나 VPN 회사가 설립되어 있는 국가를 말합니다. 해당 국가의 법률 시스템은 VPN 서비스에 적용되는 법률 및 개인정보 보호 규정에 영향을 미칩니다.

인터넷 사용에 대한 정부의 감시 및 통제 수준은 국가마다 다릅니다. 침해적이거나 위험한 관할권에서는 VPN 제공업체가 사용자를 모니터링하고 데이터를 수집 또는 공유하도록 강요할 수 있습니다.

VPN 서버는 물리적으로 위치한 국가의 관할권에 따릅니다. 해당 당국은 데이터를 조사하기 위해 서버를 압류할 수 있는 법적 권한을 가지고 있습니다.

하지만, 당국은 서버 자체를 압수할 수는 있지만 다른 국가에 기반을 두고 있는 VPN 회사에게 데이터 공유를 강요할 수는 없습니다. 이것이 바로 VPN 로깅 정책이 관할권만큼 중요한 이유입니다.

당신이 속해 있는 국가가 인터넷을 규제하는 정도에 따라 어느 국가의 VPN 서비스를 선택하는 것이 좋을지 달라질 수 있습니다.

강력한 개인정보 보호법을 적용하고 국제 데이터 공유 협약을 맺지 않은 관할권을 선택하는 것도 좋은 방법입니다.

당신이 개인정보 보호를 위해 VPN을 사용하고 있다면, 이는 방문하는 웹사이트나 정부 등 다른 주체를 이미 신뢰하지 못한다는 의미일 것입니다.

침습적인 관할권에 기반을 둔 VPN을 사용하는 것은 신뢰할 수 없는 주체가 한 명 더 늘어나는 것입니다. 그러한 VPN 공급업체들은 정보 공유 협약에 따라 다른 동맹국에도 공유될지 모르는 사용자 정보를 당국에 강제로 넘겨야 할 수 있습니다.

이 중 하나라도 침해적인 법이 적용된다면, ‘보안’이라는 명목하에 당국에서 부당한 수색이나 개인정보 침해를 할 수 있습니다.

관할권이 중요하긴 하지만, 이것은 VPN을 선택할 때 고려해야 할 여러 요소 중 하나일 뿐입니다. 관할권의 중요도는 사용자가 원하는 보호 수준에 따라 달라집니다.

표적 감시로부터의 보호를 원한다면, 안전한 관할권의 VPN만으로는 충분하지 않을 수 있습니다. 국가 정보 기관은 방대한 리소스에 액세스할 수 있기 때문에 당신이 표적이 되는 순간 VPN의 관할권 이상에 대해 걱정해야 합니다.

신뢰 역시 중요한 요소입니다. VPN이 “안전한” 관할을 기반으로 운영되더라도 고객을 속이고 당국과 협력할 수도 있기 때문입니다.

결국, 온라인에서 개인정보를 보호하려면, VPN 회사가 어디에 설립되어 있는지 보다 연결 서버의 위치와 회사 자체의 정책이 더 중요할 수 있습니다.

그래도 개인정보 보호에 있어, VPN 관할권은 여전히 ​​중요한 요소입니다. 다음과 같은 이슈는 당신이 위험에 노출되게 할 수 있습니다:

감시 및 데이터 보관

일반적인 감시 인프라와 더불어, 미국 국가안전보장국(NSA ) 및 영국 정보통신본부(GCHQ)와 같은 국가 정보 기관은 국내 조직들에게 개인정보를 기록, 공유, 해독하도록 강제할 수 있는 권한이 있습니다.

미국은 국가 안보 서신(National Security Letters)를 사용하여 연방 데이터를 수집할 수 있게 하는 새로운 권한을 부여하기 위해 애국자 법(the Patriot Act)을 도입했습니다. 이러한 법은 기업이 국가 기관을 위한 데이터 수집 도구가 되도록 합법적으로 강제할 수 있는 권한을 당국에게 부여합니다.

당국이 회사에게 데이터 수집 및 공유를 요청할 때, 이에 대해 외부에 발설하는 것을 불법으로 간주하는 함구령을 함께 내릴 수 있습니다. 일부 VPN 회사는 이 문제를 해결하기 위해 영장 카나리아를 공개하며, 이것에 대해서는 뒤에서 다루도록 하겠습니다.

이에 대한 선례가 있습니다. 2013년, FBI는 에드워드 스노든(Edward Snowden)에 대한 정보를 수집하기 위해 보안 이메일 서비스인 Lavabit을 표적으로 삼았습니다.

Lavabit은 사용자 이메일 내용의 암호화 키를 목적으로 소환되었으며 이에 대한 함구령이 함께 내려졌습니다. 이를 통해 FBI는 스노우든뿐만 아니라 Lavabit의 모든 고객의 커뮤니케이션 데이터에 실시간으로 액세스할 수 있었습니다.

Lavabit의 창립자 래더 레비슨(Ladar Levison)은 회사의 암호화 키를 넘겨주는 동시에 서비스를 종료했습니다. 미국 당국은 그의 행동이 법원 명령을 위반했다며 그를 체포할 것이라고 위협했습니다.

시애틀에 기반을 둔 VPN 서비스인 Riseup도 정부 당국을 위해 사용자 데이터를 수집해야 했으며 사용자에게 이에 대해 공지하지 않을 것을 명령을 받았습니다.

영국에 기반을 둔 VPN 제공업체 HideMyAss도 범죄 수사를 위해 데이터를 수집하고 이를 당국과 공유하라는 법원 명령을 받았습니다. 이 사실은 검찰 수사가 끝날 때까지 공개되지 않았습니다.

이러한 사례들이 현재까지 대중에게 공개된 사건이며, 우리가 알지 못하는 다른 사례들이 더 있을 가능성이 높습니다.

데이터 공유 협정

5, 9, 14 아이즈 동맹과 같은 국제 감시 협정을 통해 회원국들은 전자 프런티어 재단(Electronic Frontier Foundation)의 표현대로, “가장 낮은 수준의 프라이버시라는 공통 분모”를 가지게 됩니다. 

즉, 모든 회원국이 대규모 감시를 통해 얻은 데이터를 공유하는 혜택을 가집니다.

이러한 정보 공유 협약은 특히 인터넷 사용자와 VPN 사용자에게 많은 점을 시사합니다. 회원국 중 하나가 당신의 데이터에 액세스 할 수 있다는 것은 곧 다른 모든 회원국이 당신의 데이터를 공유한다는 것과 같습니다.

회원국 중 하나에서 전자 감시를 확대하는 법안이 통과되는 것은 협약을 맺은 모든 국가에서 동일한 법안이 통과되는 것과 같습니다.

이는 당신이 전 세계 어디에 있든 당신의 데이터가 수집되고 정보 기관에 공유될 가능성이 높다는 것을 의미합니다.

가상 서버 위치 및 임대 서버

일부 VPN 서비스는 운영 비용을 줄이기 위해 데이터 센터에서 서버를 임대합니다. 국제 서버 네트워크를 운영하는 것이 서버를 소유하는 것보다 훨씬 저렴합니다.

이렇게 하면 VPN 공급업체는 비용을 절약할 수 있지만 개인정보 보호 측면에서는 문제가 될 수 있습니다.

임대 VPN 서버는 임대하는 데이터 센터에 속하는 것이기 때문에, 해당 데이터 센터는 VPN 회사의 로깅 정책에 관계없이 활동 로그를 보관할 수 있습니다.

데이터 센터의 관할권에 따라 지역 당국은 서버 호스트가 사용자 데이터를 유지하거나 공유하도록 강제할 수도 있습니다.

따라서, 이 경우에는 VPN 회사의 관할권과 로깅 정책이 소용없게 됩니다. 지역 당국은 서버 호스트로 직접 접근하여 필요한 정보를 확보할 수 있습니다. 임대 VPN 서버에 대한 자세한 내용은 가상 서버 위치 가이드에서 확인할 수 있습니다.

개인정보 보호에 관심이 있다면 5, 9, 14 아이즈 동맹이 아닌 곳에 기반을 둔 VPN 서비스를 선택하는 것이 좋습니다.

해당 동맹국은 침해적 감시, 데이터 보존, 정보 수집 프로그램에 참여할 가능성이 훨씬 더 높기 때문입니다.

또한, 동맹 내에서 가장 강력한 국가가 다른 회원국에 로깅이나 다른 협력을 강요할 수도 있습니다.

프라이버시 안전지대란?

일반적으로 “프라이버시 안전지대”로 여겨지는 국가에 기반을 둔 VPN을 선택하는 것이 좋습니다.

프라이버시 안전지대는 온라인 프라이버시 개념에 우호적인 법적, 정치적 환경을 갖춘 국가를 말합니다. 이러한 국가는 의무 감시, 데이터 보존 및 데이터 공유 협약에 거의 참여하지 않으며, 세계에서 가장 강력한 개인정보 보호법을 적용하는 경우가 많습니다.

이러한 국가는 사용자 데이터를 국제 기관에 공유할 의무가 없는 반면, 데이터를 적절하게 보호하는 데 필요한 규정이 부족한 경우가 많습니다. 이것은 사용자의 개인정보가 침해될 수 있음을 의미합니다.

프라이버시 안전지대로 자주 언급되는 국가로는 영국령 버진 아일랜드, 파나마, 세이셸, 케이맨 제도, 말레이시아가 있습니다.

많은 VPN 회사들이 자신들의 서비스를 최대한 비공개로 안전하게 유지하기 위해 이러한 국가에 사업을 등록합니다. 그 예로는 ExpressVPN, NordVPN, Astrill이 있습니다.

“위험한” 관할권에서 운영되고 있음에도 불구하고 신뢰할 수 있는 것으로 입증된 일부 VPN 서비스도 있습니다. 예를 들어, PIA(Private Internet Access)는 정보 제공에 대한 소환장을 받았음에도 불구하고 공식 법정 소송에서 미국 정부에 데이터를 제공하지 않았습니다.

실제 사례를 통해 입증되었거나, 제3자의 감사를 통해 검증 받은 완전한 노로그 VPN 서비스가 몇 개 있습니다. 안전한 관할권에 있는 VPN은 데이터를 당국에 넘겨야 할 가능성이 적기 때문에 몇 가지 보호 기능을 추가할 뿐입니다.

VPN 서비스에 영장 카나리아가 필요한가요?

영장 카나리아는 VPN 공급자가 정부 기관으로부터 데이터 요청을 받지 않았거나 사용자 데이터를 강제로 공유하지 않았음을 증명하기 위해 고안된 것으로, 정기적으로 게시되는 성명에 대한 구어체 표현입니다.

당국에서 “미국 국가 안보 서신”과 같은 데이터 공유를 명령할 때, 주로 해당 VPN 회사가 이에 대한 사실을 외부에 발설하지 못하도록 하는 함구령이 함께 내려집니다.

영장 카나리아의 목표는 이러한 법적 제한을 피하고, 해당 사실을 공개하지 못하게 하는 법원 명령을 기술적으로 위반하지 않으면서도 사용자에게 데이터가 더 이상 안전하지 않을 수 있음을 경고하는 것입니다.

영장 카나리아는 특정 날짜를 기준으로 해당 VPN 공급업체가 법원에서 발부한 영장, 함구령, 소환장을 받은 적이 없음을 사용자에게 알리는 방식으로 제공됩니다.

카나리아가 업데이트되지 않았거나 아예 없는 경우, 당국으로부터 공개 금지 및 법적 요청을 강요 받은 것으로 가정해야 합니다.

많은 VPN 공급업체들이 사용자들의 신뢰를 얻기 위해 영장 카나리아를 지속적으로 공개합니다.

그러나, 영장 카나리아를 제공한다는 것이 사용자의 개인정보를 항상 안전하게 보호하고 있다는 의미는 아닙니다. 반대로, 신뢰할 수 있고 평판이 좋은 VPN 제공업체 중에서 많은 경우가 영장 카나리아를 제공하지 않기도 합니다. 전문가들 사이에서도 영장 카나리아의 실효성은 논란의 여지가 있습니다.

일부 전문가들은 VPN 공급업체가 이미 당국의 요청에 협조한 적이 있음에도 정부에서 카나리아를 유지하도록 강요하여 카나리아의 의미를 퇴색시킨다고 말합니다.

VPN 공급업체가 데이터를 당국에 넘기고도 고객 손실을 방지하기 위해 영장 카나리아를 변경하지 않을 수도 있습니다. 이런 점을 고려해보면, 영장 카나리아는 사용자 개인정보 보호에 별로 신경 쓰지 않는 회사들의 마케팅 수단일 뿐일 수 있습니다.

안타깝게도 업데이트된 카나리아가 실제로 받은 법원 명령을 정말 반영하고 있는지 확실하게 알 수 있는 방법은 없습니다. 사용자들은 누락되거나 변경된 카나리아가 무엇을 의미하는지 추측에 기댈 수밖에 없습니다.

VPN을 선택하는데 있어 영장 카나리아를 주요 요인으로 보지 말고, 신뢰할 수 있는 VPN을 선정한 다음, 영장 카나리아는 추가적인 요소로 확인해보는 것을 추천합니다.

대부분의 사람들이 대규모 감시를 생각하면 미국 국가안전보장국을 떠올립니다. 실제로 거의 모든 국가에는 자체적으로 SIGINT를 사용하는 기관이 존재합니다.

해당 기관들은 전자 신호 및 온라인 통신을 가로채서 법 집행, 데이터 수집, 방첩 활동을 하며, 많은 경우에 서로 협력하여 이를 진행합니다.

이러한 종류의 공동 감시를 수행하는 가장 중요한 국제 정보 협정 중 3가지가 5, 9, 14 아이즈 동맹이며 개인정보 보호 측면에서 이들은 최악의 VPN 관할권이기도 합니다.

알아 두어야 할 글로벌 감시 기관은 다음과 같습니다:

1. 5 아이즈 동맹

5 아이즈 동맹에는 미국, 영국, 캐나다, 호주, 뉴질랜드가 속해 있습니다.

이 정보 공유 협정의 기원은 미국과 영국 간의 파트너십을 위해 고안된 제 2차 세계대전과 UKUSA 협정으로 거슬러 올라갑니다.

지난 수십 년 동안 이 협정을 맺은 회원국의 수가 증가하였고, 그 범위도 넓어졌습니다. 현재, 5 아이즈 동맹국들은 국내외로 정보 수집, 분석, 공유를 위해 협력하고 있습니다.

5 아이즈 동맹국들은 서로를 적대적으로 대하거나 염탐하지 않기로 합의했지만, 에드워드 스노든이 유출한 문서에 따르면 동맹국들은 서로의 국민들을 감시하고 그 정보를 서로 공유하고 있다고 밝혀졌습니다.

5 아이즈 동맹국들은 서로 감시 데이터를 공유할뿐만 아니라 데이터 보존을 통보하고 이를 시행하기 위해 협력합니다. 이는 한 국가가 다른 국가에 자신들의 관할권 내에서 VPN 사용자의 로그를 넘겨주도록 압력을 가할 수 있음을 의미합니다.

5 아이즈 동맹에 속하는 대부분의 국가들이 디지털 프라이버시를 최악으로 남용하는 것으로 손꼽히는 것은 놀라운 일도 아닙니다.

VPN을 사용함에 있어 개인정보가 걱정된다면 5 아이즈 동맹국은 최악의 VPN 관할권일 가능성이 높습니다.

에셜론(ECHELON) 감시 시스템

5 아이즈 동맹국은 글로벌 감시와 데이터 수집을 위해 고안된 감청기지인 에셜론을 활용합니다.

에셜론은 전화, 팩스, 컴퓨터를 통해 전송된 데이터를 가로챌 수 있습니다. 에셜론 스테이션은 은행 계좌를 추적할 수 있으며 위성 중계기로 송수신되는 데이터를 가로챌 수도 있습니다. 이 모든 데이터는 개인에 대한 수백만 개의 기록을 보관할 수 있는 광범위한 데이터베이스에 저장됩니다.

근 30년 동안 이에 대한 증거가 점점 많아지고 있지만, 미국은 여전히 에셜론의 존재를 부인해왔으며 영국 정부는 계속 회피하고 있습니다.

이러한 부인에도 불구하고 여러 내부 고발자들이 에셜론 프로젝트의 특정 측면을 문서화하여 진실을 고발하고 있습니다.

2. 9 아이즈 동맹

9 아이즈 동맹은 5 아이즈 동맹의 확장으로 정보를 공유하기 위해 협력하는 더 큰 국가 그룹으로 구성됩니다. 5 아이즈 동맹국에 프랑스, ​​덴마크, 노르웨이, 네덜란드를 포함한 것이 9 아이즈 동맹입니다.

9 아이즈 동맹의 존재는 2013년 에드워드 스노우던의 폭로 이후 세계에 널리 알려지게 되었습니다. 본질적으로는 대규모 감시 데이터를 수집하고 배포하기 위해 협력하는 5 아이즈 협약이 확장된 동맹이라고 할 수 있습니다.

추가된 4개국은 미국, 영국, 호주만큼 국내에서 광범위한 감시를 시행하고 있지는 않지만, 여전히 서로 협력하며 5 아이즈 동맹국과도 협력하고 있습니다.

9 아이즈 동맹은 SIGINT 단체 간의 합의일 뿐, 공식적인 조약에 의한 것은 아닙니다.

3. 14 아이즈 동맹

14 아이즈 동맹은 9 아이즈 동맹국과 독일, 벨기에, 이탈리아, 스웨덴, 스페인으로 구성되어 있습니다.

14 아이즈 동맹의 정식 명칭은 SSEUR이며, 1982년부터 다양한 형태로 존재해왔습니다. 한때, 군사 정보를 교환하기 위해 만들어졌지만 현재는 일반 시민에 대한 감시 데이터까지 그 범위가 확장되었습니다.

SIGINT 시니어 회의는 매년 개최되며 독일 연방정보부, 미국 국가안전보장국, 프랑스 대외안보총국, 영국 정보통신본부 등을 포함한 SIGINT 기관의 리더들이 참석합니다. 이 회의는 글로벌 인텔리전스 리더가 협력과 개발을 논의할 수 있는 기회를 제공합니다.

태평양 SIGINT 시니어는 2005년에 만들어진 유사한 단체입니다. 회원국에는 5 아이즈 동맹국과 인도, 프랑스, ​​싱가포르, 태국, 한국이 포함됩니다.

이스라엘과 일본을 포함한 다른 주요 국가들도 14 아이즈 동맹 및 미국 국가안전보장국과 긴밀히 협력하는 것으로 여겨지고 있습니다.

4. 유럽 연합 (EU)

유럽 ​​연합은 주권을 가진 유럽 국가들의 집합체입니다. 세계에서 가장 크고 가장 강력한 정치 및 경제 연합 중 하나이며 감시 및 정보 보호 측면에서도 문제가 있습니다.

유럽 ​​연합의 협력 정책은 5, 9, 14 아이즈 동맹만큼 광범위하거나 침해적이지는 않지만, 유럽 연합 회원국들은 여전히 데이터 공유 협약을 맺고 있습니다.

하지만, 이 협약에도 몇 가지 예외가 있습니다. 2009년, 루마니아 헌법 재판소는 유럽 연합의 요구가 루마니아 국민의 프라이버시를 침해하는 것이라고 판결했습니다.

이 판결로 인해, 루마니아는 유럽 연합 국가들 사이에서 프라이버시 안전지대로 인식 되었으며, CyberGhost와 같은 VPN 서비스가 루마니아를 비즈니스 기반으로 선택한 이유에도 영향을 미쳤습니다.

일부 국가는 다른 국가들에 비해 개인정보를 좀 더 보호하지만, 5 아이즈 또는 SSEUR 당국과 협력하고 데이터를 공유한 국가가 더 많습니다. 유럽 연합 관할권에 기반을 둔 VPN을 선택할 때 이 점을 명심해야 합니다.

5. 상하이 협력기구 (SCO)

상하이 협력 기구는 상하이 조약으로도 알려져 있으며 러시아, 중국, 파키스탄, 인도, 키르기스스탄, 카자흐스탄, 우즈베키스탄, 타지키스탄 간의 유라시아 정치 및 경제 동맹입니다.

상하이 협력 기구는 주로 회원들의 국가 안보에 초점을 맞추어 활동하고 있으며 일반적으로 다양한 형태의 극단주의와 싸우기 위해 노력합니다.

지난 몇 년 동안 상하이 협력 기구는 군사 협력 증진, 정보 공유, 대테러 활동을 포함하여 그 활동 범위가 확장되어 왔습니다. 상하이 협력 기구 회원국들은 서구 정보 동맹과 유사한 방식으로 데이터를 수집하고 공유할 가능성이 높습니다.

6. 엄격한 검열 국가

특정 국가에서는 국제 협약과 관계없이 VPN 사용을 금지하고 국민의 개인 정보를 침해합니다.

인터넷 사용을 제한하는 최악의 범법 국가에는 중국, 아랍 에미레이트, 터키, 러시아, 오만, 이라크, 벨라루스가 있지만, 이것이 전부는 아닙니다.

해당 국가들에 물리적으로 기반을 둔 VPN 공급업체 또는 VPN 서버가 존재할 가능성은 거의 없지만 그래도 주의하는 것이 좋습니다. 중국 소유의 무료 VPN 앱에 대한 조사에서 의심스러운 중국 회사와 관련된 VPN이 다수 발견 되었습니다.

개인정보 침해가 우려된다면, 홍콩과 같이 이러한 정부들과 밀접한 관계가 있는 관할권도 피해야 합니다.

VPN의 합법성과 사용 제한에 대한 자세한 내용은 Top10VPN에서 심도 있게 작성한 VPN 법률 가이드를 참조하시기 바랍니다.

Top10VPN의 전문가들이 시중에 가장 인기 있는 VPN들의 개인정보 보호 정책을 확인했으며, 그 결과 상당수의 VPN 공급업체들이 사용자 데이터를 위험에 빠뜨릴 수 있는 관할권에 기반을 두고 있음을 발견했습니다.

다음 표에는 테스트한 81개의 VPN이 모두 나열되어 있으며, 각 서비스에 대한 관할권과 영장 카나리아 유지 여부를 정리하였습니다. Ctrl+F키를 사용하여 특정 VPN을 검색할 수 있습니다.