VPN 관할권이 사용자에게 어떤 영향을 미치나요?

VPN ‘관할권’이란 VPN 서비스가 법적으로 기반을 두고 있거나 VPN 회사가 설립되어 있는 국가를 말합니다. 해당 국가의 법률 시스템은 VPN 서비스에 적용되는 법률 및 개인정보 보호 규정에 영향을 미칩니다.

인터넷 사용에 대한 정부의 감시 및 통제 수준은 국가마다 다릅니다. 침해적이거나 위험한 관할권에서는 VPN 제공업체가 사용자를 모니터링하고 데이터를 수집 또는 공유하도록 강요할 수 있습니다.

VPN 서버는 물리적으로 위치한 국가의 관할권에 따릅니다.

해당 당국은 데이터를 조사하기 위해 서버를 압류할 수 있는 법적 권한을 가지고 있습니다. 하지만, 당국은 서버 자체를 압수할 수는 있지만 다른 국가에 기반을 두고 있는 VPN 회사에게 데이터 공유를 강요할 수는 없습니다. 해당 당국의 법적 영향력이 다른 국가에 기반을 둔 회사에는 행사될 수 없기 때문입니다. 이것이 바로 VPN 로그 정책이 관할권만큼 중요한 이유입니다.

사용자 국가의 인터넷 규제 수준에 따라 어느 국가에 관할권이 있는 VPN을 선택하는 것이 좋을지 달라질 수 있습니다. 강력한 개인정보 보호법을 적용하고 국제 데이터 공유 협약을 맺지 않은 국가에 기반을 둔 VPN을 선택해야 할 수 있습니다.

개인정보 보호를 위해 VPN을 사용하고 있다면, 개인정보 보호를 침해하는 국가에 기반을 둔 VPN을 사용하는 것은 절대 피해야 합니다. 사용자 데이터를 강제로 넘겨 정보 동맹국 간에 데이터를 공유할 수 있기 때문입니다.

하지만, 관할권에 대해 걱정해야 하는 점은 이것만이 아닙니다.

이 중 어느 하나라도 침해적인 법이 적용된다면, “보안”이라는 명목하에 당국에서 부당한 수색이나 기타 개인정보 침해를 가할 수 있습니다.

관할권이 중요하긴 하지만, 이것은 VPN을 선택할 때 고려해야 할 여러 요소 중 하나일 뿐입니다. 관할권의 중요도는 사용자가 원하는 보호 수준에 따라 달라집니다.

표적 감시로부터의 보호를 원한다면, 안전한 관할권의 VPN만으로는 충분하지 않을 수 있습니다. 국가 정보 기관은 방대한 리소스에 액세스할 수 있습니다. 사용자가 국가 기관의 표적이 되는 순간 VPN의 관할권 이상으로 걱정해야 하는 점들이 생길 수 있습니다.

신뢰 역시 중요한 요소입니다. VPN이 “안전한” 관할을 기반으로 운영되더라도 고객을 속이고 당국과 협력할 수도 있기 때문입니다.

결국, 온라인 상에서 개인정보를 보호하려면, VPN 회사가 어디에 설립되어 있는지 보다 연결 서버의 위치와 회사 자체의 정책이 더 중요할 수 있습니다.

그럼에도 불구하고 개인정보 보호에 있어, VPN 관할권은 여전히 ​​중요한 요소입니다. 사용자를 위험에 노출시킬 수 있는 이슈들은 다음과 같습니다:

감시 및 데이터 보관

일반적인 감시 인프라와 더불어, 미국 국가안전보장국(NSA) 및 영국 정보통신본부(GCHQ)와 같은 국가 정보 기관은 국내 조직들에게 개인정보를 기록, 공유, 암호 해독하도록 강제할 수 있는 권한이 있습니다.

미국은 국가 안보 서신(National Security Letters)를 사용하여 연방 데이터를 수집할 수 있게 하는 새로운 권한을 부여하기 위해 애국자 법(the Patriot Act)을 도입했습니다.

당국이 회사에게 데이터 수집 및 공유를 요청할 때, 이에 대해 외부에 발설하는 것을 불법으로 간주하는 함구령을 함께 내릴 수 있습니다. 일부 VPN 회사는 이 문제를 해결하기 위해 영장 카나리아를 공개하며, 이것에 대해서는 뒤에서 다루도록 하겠습니다.

이에 대한 선례로, 2013년, FBI가 에드워드 스노든(Edward Snowden)에 대한 정보를 수집하기 위해 보안 이메일 서비스인 Lavabit을 표적으로 삼은 케이스가 있습니다.

Lavabit은 사용자 이메일 내용의 암호화 키를 목적으로 소환되었으며 이에 대한 함구령이 함께 내려졌습니다. 이를 통해 FBI는 스노우든뿐만 아니라 Lavabit의 모든 고객의 커뮤니케이션 데이터에 실시간으로 액세스할 수 있었습니다.

Lavabit의 창립자 래더 레비슨(Ladar Levison)은 회사의 암호화 키를 넘겨주는 동시에 서비스를 종료했습니다. 미국 당국은 그의 행동이 법원 명령을 위반했다며 그를 체포할 것이라고 위협했습니다.

유사한 케이스로, 시애틀에 기반을 둔 VPN 서비스인 Riseup도 정부 당국에 의한 강요로 사용자 데이터를 수집해야 했으며, 사용자에게 이에 대해 공지하지 않을 것을 명령을 받았습니다.

영국에 기반을 둔 VPN 제공업체 HideMyAss도 범죄 수사를 위해 데이터를 수집하고 이를 당국과 공유하라는 법원 명령을 받았습니다. 이 사실은 검찰 수사가 끝날 때까지 공개되지 않았습니다.

이러한 사례들이 현재까지 대중에게 공개된 사건이며, 수면 위로 드러나지 않은 다른 사례들이 더 있을 가능성이 높습니다.

데이터 공유 협정

5, 9, 14 아이즈 동맹과 같은 국제 감시 협정을 통해 회원국들은 “가장 낮은 수준의 개인정보 보호 기준”을 적용하여 대규모 감시를 통해 얻은 데이터를 공유하는 혜택을 가집니다.

회원국 중 하나가 사용자의 데이터에 액세스 할 수 있다는 것은 곧 다른 모든 회원국이 그 데이터를 공유할 수 있다는 것을 시사합니다.

사용자가 전 세계 어디에 있든 데이터가 수집되고 정보 기관에 공유될 가능성이 높습니다.

가상 서버 위치 및 임대 서버

일부 VPN 서비스는 운영 비용을 줄이기 위해 데이터 센터에서 서버를 임대합니다. 국제 서버 네트워크를 운영하는 것이 서버를 소유하는 것보다 훨씬 저렴하기 때문입니다.

이렇게 하면 VPN 공급업체는 비용을 절약할 수 있지만 개인정보 보호에 문제가 될 수 있습니다.

임대 VPN 서버는 임대하는 데이터 센터에 속하는 것이기 때문에, 해당 데이터 센터는 VPN 회사의 로그 정책에 관계없이 사용자 데이터를 수집할 수 있습니다.

데이터 센터의 관할권에 따라 지역 당국은 서버 호스트가 사용자 데이터를 보관하거나 공유하도록 강제할 수도 있습니다.

따라서, 이 경우에는 VPN 회사의 관할권과 로그 정책이 소용없게 됩니다. 지역 당국은 서버 호스트에 직접 접근하여 필요한 정보를 확보할 수 있습니다.

임대 VPN 서버에 대한 자세한 내용은 가상 서버 위치 가이드에서 확인할 수 있습니다.

개인정보 보호에 관심이 있다면 5, 9, 14 아이즈 동맹이 아닌 곳에 기반을 둔 VPN 서비스를 선택하는 것이 좋습니다.

해당 동맹국은 침해적 감시, 데이터 보존, 정보 수집 프로그램에 참여할 가능성이 훨씬 더 높기 때문입니다.

또한, 동맹 내에서 가장 강력한 국가가 다른 회원국에 데이터 수집이나 다른 방식의 협력을 강요할 수도 있습니다.

프라이버시 안전지대란?

Top10VPN은 “프라이버시 안전지대”로 여겨지는 국가에 기반을 둔 VPN 서비스를 선택하는 것을 권장합니다.

프라이버시 안전지대는 온라인 프라이버시 개념에 우호적인 법적 및 정치적 환경을 갖춘 국가를 말합니다. 이러한 국가는 의무 감시, 데이터 보존 및 데이터 공유 협약에 거의 참여하지 않으며, 세계에서 가장 강력한 개인정보 보호법을 적용하는 경우가 많습니다.

하지만, 이러한 국가는 사용자 데이터를 국제 기관에 공유할 의무가 없는 반면, 데이터를 적절하게 보호하는 데 필요한 규정이 부족한 경우가 많습니다.

프라이버시 안전지대로 자주 언급되는 국가로는 영국령 버진 아일랜드, 파나마, 세이셸, 케이맨 제도, 말레이시아가 있습니다.

많은 VPN 회사들이 자신들의 서비스를 최대한 비공개로 안전하게 유지하기 위해 이러한 국가에 사업을 등록합니다. 그 예로는 ExpressVPN과 NordVPN이 있습니다.

“위험한” 관할권에서 운영되고 있음에도 불구하고 신뢰할 수 있는 것으로 입증된 일부 VPN 서비스도 있습니다. 예를 들어, Private Internet Access (PIA)는 정보 제공에 대한 소환장을 받았음에도 불구하고 공식 법정 소송에서 미국 정부에 데이터를 제공하지 않았습니다.

실제 사례를 통해 입증되었거나, 제3자의 감사를 통해 검증받은 완전한 노로그 VPN 서비스가 몇 개 있습니다. 안전한 관할권에 있는 VPN은 데이터를 당국에 넘겨야 할 가능성이 적기 때문에 몇 가지 보호 기능을 추가하기만 합니다.

VPN 서비스에 영장 카나리아가 필요한가요?

영장 카나리아는 VPN 공급자가 정부 기관으로부터 데이터 요청을 받지 않았거나 사용자 데이터를 강제로 공유하지 않았음을 증명하기 위해 정기적으로 게시되는 진술서입니다.

당국에서 미국 국가 안보 서신(NSL)과 같은 데이터 공유를 명령할 때, 주로 해당 VPN 회사가 이에 대한 사실을 외부에 발설하지 못하도록 하는 함구령이 함께 내려집니다.

영장 카나리아의 목적은 함구령을 위반하지 않으면서도 사용자에게 데이터가 안전하지 않을 수 있음을 경고하는 것입니다.

영장 카나리아는 특정 날짜를 기준으로 해당 VPN 공급업체가 법원에서 발부한 영장, 함구령, 소환장을 받은 적이 없음을 사용자에게 알리는 방식으로 제공됩니다. 카나리아가 업데이트되지 않았거나 삭제된 경우, 당국으로부터 법적 요청 및 함령을 강요받은 것으로 가정해야 합니다.

많은 VPN 공급업체들이 사용자들의 신뢰를 얻기 위해 영장 카나리아를 지속적으로 게시합니다.

그러나, 영장 카나리아가 개인정보 보호나 보안을 보장하는 것은 아닙니다. 그 실효성에 대해 논쟁의 여지가 있기 때문에, 신뢰할 수 있는 VPN 중에서도 영장 카나리아를 제공하지 않는 경우가 있습니다.

일부 전문가들은 VPN 공급업체가 이미 당국의 요청에 협조한 적이 있음에도 정부에서 카나리아를 유지하도록 강요하여 카나리아의 의미를 퇴색시킨다고 말합니다. VPN 공급업체가 데이터를 당국에 넘기고도 고객 손실을 방지하기 위해 영장 카나리아를 변경하지 않고 마케팅 전략으로 사용할 수 있습니다.

안타깝게도 카나리아가 법원 명령 이력을 실제로 반영하고 있는지 확실하게 알 수 있는 방법은 없습니다. 사용자들은 누락되거나 변경된 카나리아가 무엇을 의미하는지 추측할 수밖에 없습니다.

VPN을 선택하는 데 있어 영장 카나리아를 주요 요인으로 보지 말고, 신뢰할 수 있는 VPN을 선정한 다음, 영장 카나리아는 추가적인 요소로 확인해보는 것을 추천합니다.

NSA는 가장 잘 알려진 신호 정보(시진트, SIGINT) 기관 중 하나이지만 거의 모든 국가에는 대규모 감시를 시행하는 자체 기관이 있으며 시진트와 협력합니다.

해당 기관들은 전자 신호 및 온라인 통신을 가로채서 법 집행, 데이터 수집, 방첩 활동을 합니다.

이러한 종류의 공동 감시를 수행하는 가장 중요한 국제 정보 협정 중 3가지가 5, 9, 14 아이즈 동맹입니다.

따라서, 이러한 동맹에 속해있는 국가들은 연합 기관의 감시 요청에 응할 가능성이 높기 때문에개인정보 보호 측면에서 최악의 VPN 관할권입니다.

알아 두어야 할 글로벌 감시 기관은 다음과 같습니다:

1. 5 아이즈 동맹

5 아이즈 동맹에는 미국, 영국, 캐나다, 호주, 뉴질랜드가 속해 있습니다.

이 정보 공유 협정의 기원은 미국과 영국 간의 파트너십을 위해 고안된 제 2차 세계대전과 UKUSA 협정으로 거슬러 올라갑니다.

지난 수십 년 동안 이 협정을 맺은 회원국의 수가 증가하였고, 그 범위도 넓어졌습니다. 현재, 5 아이즈 동맹국들은 국내외로 정보 수집, 분석, 공유를 위해 협력하고 있습니다.

5 아이즈 동맹국들은 적대적 목적으로 서로를 염탐하지 않기로 합의했지만, 에드워드 스노든이 유출한 문서에 따르면 동맹국들은 서로의 국민들을 감시하고 그 정보를 서로 공유하고 있다고 밝혀졌습니다.

5 아이즈 동맹국들은 서로 감시 데이터를 공유할뿐만 아니라 데이터 보존을 통보하고 이를 시행하기 위해 협력합니다. 이는 한 국가가 다른 국가에 자신들의 관할권 내에서 VPN 사용자의 데이터 로그를 넘겨주도록 압력을 가할 수 있음을 의미합니다.

5 아이즈 동맹에 속하는 대부분의 국가들이 디지털 개인정보 보호에 대한 가장 심각한 위협 중 하나라는 사실은 널리 알려져 있습니다.

VPN을 사용함에 있어 개인정보가 걱정된다면 5 아이즈 동맹국은 최악의 VPN 관할권일 가능성이 높습니다.

에셜론(ECHELON) 감시 시스템

5 아이즈 동맹국은 글로벌 감시와 데이터 수집을 위해 고안된 감청기지인 에셜론을 활용합니다.

에셜론은 전화, 팩스, 컴퓨터를 통해 전송된 데이터를 가로챌 수 있습니다. 에셜론 스테이션은 은행 계좌를 추적할 수 있으며 위성 중계기로 송수신되는 데이터를 가로챌 수도 있습니다. 이 모든 데이터는 개인에 대한 수백만 개의 기록을 보관할 수 있는 광범위한 데이터베이스에 저장됩니다.

최근 30년 동안 이에 대한 증거가 점점 많아지고 있지만, 미국은 여전히 에셜론의 존재를 부인해왔으며 영국 정부는 계속 회피하고 있습니다.

이러한 부인에도 불구하고 여러 내부 고발자들이 특정 세부 사항을 문서화하여 에셜론 프로젝트의 진실을 고발하고 있습니다.

2. 9 아이즈 동맹

9 아이즈 동맹은 5 아이즈 동맹의 확장으로 정보를 공유하기 위해 협력하는 더 큰 국가 그룹으로 구성됩니다. 5 아이즈 동맹국에 프랑스, ​​덴마크, 노르웨이, 네덜란드를 포함한 것이 9 아이즈 동맹입니다.

9 아이즈 동맹의 존재는 2013년 에드워드 스노우던의 폭로 이후 세계에 널리 알려지게 되었습니다. 본질적으로는 대규모 감시 데이터를 수집하고 배포하기 위해 협력하는 5 아이즈 협약이 확장된 동맹이라고 할 수 있습니다.

추가된 4개국은 미국, 영국, 호주만큼 자국에 대한 광범위한 감시를 시행하고 있지는 않지만, 여전히 서로 협력하며 5 아이즈 동맹국과도 협력하고 있습니다.

9 아이즈 동맹은 시진트 간의 합의일 뿐, 공식적인 조약이 맺어져 있는 것은 아닙니다.

3. 14 아이즈 동맹

14 아이즈 동맹은 9 아이즈 동맹국에 독일, 벨기에, 이탈리아, 스웨덴, 스페인이 포함되어 구성되어 있습니다.

14 아이즈 동맹의 정식 명칭은 SSEUR (SIGINT Seniors of Europe)이며, 1982년부터 다양한 형태로 존재해왔습니다. 한때, 군사 정보를 교환하기 위해 만들어졌지만 현재는 일반 시민에 대한 감시 데이터까지 그 범위가 확장되었습니다.

SIGINT 시니어 회의는 매년 개최되며 SIGINT 기관의 리더들이 참석하여 협력과 발전을 논의합니다.

태평양 SIGINT 시니어는 2005년에 만들어진 유사한 단체입니다. 회원국에는 5 아이즈 동맹국들과 인도, 프랑스, ​​싱가포르, 태국, 한국이 포함됩니다.

이스라엘과 일본을 포함한 다른 주요 국가들도 14 아이즈 동맹 및 NSA과 긴밀히 협력하는 것으로 여겨지고 있습니다.

4. 유럽 연합 (EU)

유럽 ​​연합은 주권을 가진 유럽 국가들의 집합체입니다. 5, 9, 14 아이즈 동맹만큼 침해적이지는 않지만, 유럽 연합 회원국들은 여전히 데이터 공유 협약을 맺고 있습니다.

하지만, 2009년, 루마니아 헌법 재판소는 유럽 연합의 요구가 루마니아 국민의 프라이버시를 침해하는 것이라고 판결했습니다. 이 판결로 인해, 루마니아는 유럽 연합 국가들 사이에서 프라이버시 안전지대로 인식 되었으며, CyberGhost와 같은 VPN 서비스가 루마니아에 관할권을 두기로 선택한 이유에도 영향을 미쳤습니다.

일부 국가는 다른 국가들에 비해 개인정보를 좀 더 보호하지만, 5 아이즈 또는 SSEUR 당국과 협력하고 데이터를 공유하고 있는 유럽 국가들이 많습니다. 유럽 연합 관할권에 기반을 둔 VPN을 선택할 때 이 점을 명심해야 합니다.

5. 상하이 협력기구 (SCO)

상하이 협력 기구(SCO)는 상하이 조약으로도 알려져 있으며 러시아, 중국, 파키스탄, 인도, 키르키스스탄, 카자흐스탄, 우즈베키스탄, 타지키스탄 간의 유라시아 정치 및 경제 동맹입니다.

상하이 협력 기구는 주로 회원들의 국가 안보에 초점을 맞추어 활동하고 있으며 특히 극단주의단체와 싸우기 위해 노력합니다.

최근 상하이 협력 기구는 군사 협력 증진, 정보 공유, 대테러 활동을 포함하여 그 활동 범위가 확장되어 왔습니다. 상하이 협력 기구 회원국들은 서구 정보 동맹과 유사한 방식으로 데이터를 수집하고 공유할 가능성이 높습니다.

6. 엄격한 검열 국가

특정 국가들은 국제 협약과 관계없이 VPN 사용을 금지하고 국민의 개인 정보를 침해합니다.

인터넷 사용을 제한하는 최악의 범법 국가에는 중국, 아랍 에미레이트, 터키, 러시아, 오만, 이라크, 벨라루스가 있지만, 이것이 전부는 아닙니다.

해당 국가들에 물리적으로 기반을 둔 VPN 공급업체 또는 VPN 서버가 존재할 가능성은 거의 없지만 그래도 주의하는 것이 좋습니다. Top10VPN이 중국 소유의 무료 VPN 앱에 대해 조사한 결과, 의심스러운 중국 회사와 관련된 VPN이 다수 발견 되었습니다.

개인정보 침해가 우려된다면, 홍콩 같이 이러한 정부들과 밀접한 관계가 있는 관할권도 피해야 합니다.

VPN의 합법성과 사용 제한에 대한 Top10VPN의 VPN 법률 가이드를 참고하시기 바랍니다.

Top10VPN의 전문가들이 시중의 인기 VPN들의 개인정보 보호 정책을 확인했으며, 그 결과 상당수의 VPN 공급업체들이 사용자 데이터를 위험에 노출시킬 수 있는 관할권에 기반을 두고 있음을 발견했습니다.

다음 표에는 테스트한 80개의 VPN이 모두 나열되어 있으며, 각 서비스에 대한 관할권과 영장 카나리아 유지 여부가 정리되어 있습니다. 영장 카나리아가 최신 버전이 아니어서 효력이 있는지 의심되는 경우 빨간색으로 표시되어 있습니다.