1.1.1.1 Warp 클라우드플레어 경찰 개인정보 수사협조

Hours 업데이트 :
Comments 0 Comments

클라우드플레어 (Cloudflare, Inc.) 경찰에 수사 협조 할까? 클플은 세계 최대 CDN, DNS, DDoS 관련 서비스 제공 업체로 유명하고, Edge 컴퓨팅, 보안 등 다양한 분야의 종합 네트워크 서비스를 제공합니다. 뉴욕증권거래소(NYSE) 상장 업체로 티커는 NET입니다.

저는 이왕이면 규모가 큰 회사의 서비스를 신뢰하는 편인데, 여기서 하나 걸리는 것은 클라우드플레어 역시 ‘미국 기업’이라는 것 입니다. 저도 어쩔 수 없이 일부 구글 등 미국 회사의 서비스를 사용하기도 하지만, ‘사생활’ 혹은 ‘개인정보’와 관련된 부분은 아무래도 5eyes와 관련되 부분도있고, 미국과 한국은 수사 공조도 가능하고 워낙 미국것들이 정보 수집을 오지게 해먹기 때문에 불안감이 가중되는게 사실입니다.(Apple CSAM이나 Google Photo 검열을 보면 거대 IT 기업의 시스템에 대한 두려움이 생기기도 합니다.)

전략적 동반자인 한국과 미국

한국과 미국 사이버정책협의회 5eyes 파이브아이즈

저의 경우 클라우드플레어 DDNS를 사용중입니다. 하지만 CloudFlare Warp 같은 서비스를 마음 놓고 쓸거냐고 물어보면 그렇다라고 대답하기는 어려울 것 같습니다. 제가 미국이나 유럽에 회사가 있는 VPN을 사용하지 않는 이유와도 같습니다.

특히 한국-미국간 사이버정책협의회 또한 정기적으로 열릴정도로 꽤나 긴밀한 사이를 유지하고 있습니다. 작게는 사이버 범죄 수사 공조부터 크게는 국가적 사이버 위협 대응 훈련 등 다양한 분야에서 다년간 논의와 협력을 해왔고 파견을 통한 인적 교류도 진행되어왔습니다.

그리고 2021년부터 한국 파이브아이즈 가입 이야기도 나왔었죠. 한국 일본 둘다 거론이되었는데 아직 확실히 매듭이 지어지진 않았지만, 한국 정부도 꽤 적극적으로 원하는 모양새인 것을 보니, 언젠간 포함되지 않을까..? 하는 예상을 해봅니다.

해외 수사 협조 요청

해외 IT 기업의 수사 요청 회신율 또한 매년 늘어가고 있습니다. ‘요청’이 아니라 ‘회신’이 늘어났다는 것은 해외 기업들이 한국 경찰의 수사 요청에 응하는 비율이 늘었다는 것을 뜻 합니다. 물론 회신이 무조건 ‘개인정보’를 줬다라고 풀이하기는 어렵습니다.

  • 2020년 요청 7560건 / 회신 4074건 / 미회신 3486건
  • 2021년 요청 12771건 / 회신 11392건 / 미회신 1379건

요청 자체도 대폭 늘었지만, 회신율이 53.9%에서 89.2%로 엄청나게 늘었습니다. 거의 90% 입니다. 10건 중 9건은 회신이 왔다는 거네요. 큰 이유가 있지 않는 한 앞으로 협조가 더 잘 됐으면 잘 됐지 갑자기 비협조적인 모습을 보이진 않을 것 같습니다.

Cloudflare CEO 매튜 프린스

Cloudflare CEO 매튜 프린스

클라우드플레어 CEO이자 공동창업자인 Matthew Prince의 스토리를 보면 아래와 같은 내용이 있습니다.

프린스는 하버드 경영대학원에서 경영학 석사(MBA) 과정을 밟고 있었는데, 미국 국토안보부로부터 공격에 대해 수집한 정보에 대해 묻는 예기치 않은 전화를 받았을 때 이 프로젝트는 그의 마음에서 멀어져 있었습니다.

프린스는 이렇게 회상합니다: “그들은 ‘당신이 가지고 있는 데이터가 얼마나 가치 있는 것인지 알고 있습니까? 그 데이터를 우리에게 팔 생각이 없느냐’고 물었습니다.

“저는 운영 비용을 더하고 10을 곱한 다음 ‘2만 달러(15,000파운드)는 어떨까요?”라고 말했습니다.

https://www.bbc.com/news/business-37348016

오래된 이야기이긴 하지만, 그가 수집한 정보를 미국 국토안보부에게 팔았다는 대목을 봤을때 그가 운영중인 회사를 신뢰할 수 있을까?라는 질문을 던졌을때 곧바로 Yes라는 말이 나오긴 어려울 것 같습니다. 프라이버시를 최우선으로 생각하는 기업의 CEO들은 그런 가치관을 토대로 창업하고 운영하기 때문이죠.

클라우드플레어 Privacy Policy

헷갈리실 수 있는 부분이라 미리 말씀드리면 Warp / 1.1.1.1 둘은 다른 서비스 입니다. 1.1.1.1은 DNS 서비스라 IP 주소는 그대로 전달됩니다. Warp는 애플 비공개 릴레이(Private Relay)랑 같습니다.

privacypolicy 여기에서 전문을 보실 수 있습니다. ‘클라우드플레어 워프’ 또한

1.1.1.1 (DNS)

클라우드플레어 서비스 중 많이들 사용하시는 것 중 하나가 1.1.1.1 DNS인데요. 1.1.1.1 개인정보보호 정책은 위의 정책을 따르고 기타 세부적인 부분은 privacy/public-dns-resolver/ 여기에서 보실 수 있습니다.

궁금하실 부분은 아래. 다 읽어볼 필요는 없습니다.

  • Cloudflare는 Public Resolver 사용자의 개인 데이터를 제3자와 판매 또는 공유하지 않으며 Public Resolver의 개인 데이터를 사용하여 사용자를 광고 대상으로 지정하지 않는다.
  • Cloudflare는 누가 요청했는지 식별하는 정보가 아니라 요청된 항목만 유지하거나 사용.
  • 전송된 모든 트래픽의 최대 0.05%에서 캡처된 무작위로 샘플링된 네트워크 패킷을 제외하고 Cloudflare는 비휘발성 스토리지의 Public Resolver에 대한 DNS 쿼리의 소스 IP를 유지하지 않으며, 무작위로 샘플링된 이 패킷은 네트워크 문제 해결 및 DoS 완화 목적으로만 사용.
  • Public Resolver 사용자의 IP 주소(클라이언트 또는 소스 IP 주소라고 함)는 비휘발성 스토리지에 저장되지 않고 IP 자르기 방법(IPv4의 경우 마지막 옥텟, IPv6의 경우 마지막 80비트)을 통해 소스 IP 주소를 익명화 후 잘린 IP 주소를 25시간 이내에 삭제.
  • Public Resolver의 합법적인 작동 및 연구 목적을 위해 아래에 명시된 제한된 트랜잭션 및 디버그 로그 데이터(“공개 확인자 로그”)만 보유하고 Cloudflare는 25시간 이내에 Public Resolver 로그를 삭제.
  • Cloudflare는 연구 협력 계약에 따른 APNIC를 제외하고 제3자와 Public Resolver Logs를 공유하지 않습니다. APNIC는 Public Resolver Logs에서 익명화된 데이터를 쿼리하고 DNS 시스템 운영과 관련된 연구를 수행할 수 있는 제한된 액세스 권한만 갖는다.
  • APNIC Labs과의 협약에 따라 일부 익명 데이터를 제공하는데 동의했고 Cloudflare API를 통해 쿼리 이름, 쿼리 유형, 리졸버 위치 및 기타 메타데이터에 액세스할 수 있고, 데이터를 비영리 운영 연구에 사용할 것.
  • Public Resolver Logs를 사용하여 생성된 제한된 집계 데이터를 제외하고 모든 Public Resolver Logs는 Cloudflare가 해당 정보를 수신한 후 25시간 이내에 삭제
  • Cloudflare는 다음 집계 데이터만 저장.
    • Cloudflare 데이터 센터에서 프로토콜 설정(예: tcp/udp/dnssec)이 다른 총 쿼리 수.
    • 프로토콜 설정이 다른 응답 코드/시간 분위수.
    • 처리한 총 요청 수.
    • 요청된 모든 도메인 이름의 집계 목록, 요청의 집계 수 및 처음 요청된 타임스탬프
    • 고유한 클라이언트 수, IPv4를 통한 쿼리, IPv6를 통한 쿼리, RD 비트가 설정된 쿼리, DNSSEC를 요청하는 쿼리, 가짜, 유효 및 유효하지 않은 DNSSEC 응답 수, 유형별 쿼리, 각 응답 코드가 있는 응답 수, 응답 시간 분위수(예: 50 백분위수), 분당, 일당, 프로토콜(HTTPS/UDP/TCP/TLS)당, Cloudflare 데이터 센터당, 자율 시스템 번호당 캐시된 답변 수.
    • 쿼리 수, EDNS를 사용한 쿼리 수, 바이트 수 및 응답 분위수(예: 50 백분위수)의 시간, 일별, 월별, Cloudflare 데이터 센터 및 IPv4 대 IPv6별.
    • 요일, 지역, 이름 및 유형별 쿼리 수, 응답 코드 및 응답 코드 분위수(예: 50 백분위수).
    • Cloudflare는 Cloudflare Radar에 전원을 공급하고 Cloudflare가 Cloudflare Resolver의 전체 성능을 향상하고 보안 위협을 식별하는 등 Cloudflare 서비스를 개선하는 데 도움을 주기 위해 위에서 설명한 집계 데이터를 무기한 저장할 수 있음.

한마디로 ‘익명화 된 데이터’ 일부를 수집하고, ‘비영리 목적 연구’를 위해 사용되며 집계 데이터를 무기한 저장할 수 있음

복잡하기도 하고, 뭐 솔직히 어떻게 실제로 이루어지는지는 제가 알 수 없습니다. 간단하게 저장되는 님의 정보는 없음! 이런건 아닙니다. 모든 회사의 Policy 페이지를 보면 다 걱정할 것은 없어보이는데 나중에 들키고 나서 벌금내죠.

Cloudflare Warp

1.1.1.1 DNS만 켜는 것으로 차단된 사이트가 접속되진 않기 때문에 보통 우회 목적으로 Cloudflare Warp를 사용하실텐데요. 무제한으로 쓰려면 Warp+라는 유료 플랜을 사용해야 하는데, 보안성과 가성비를 생각했을때는 구매 메리트가 전혀 없어서 저도 추천드리진 않고 있습니다.

어플리케이션 약관은 따로 있습니다. application/privacypolicy 계정 데이터, IP 주소, Port, 장치 데이터 등이 수집됩니다.

아 그래서 Cloudflare가 경찰 수사협조에 응한다구?

위 클라우드플레어 워프 애플리케이션 약관 중 6.정보 공유 섹션을 보면 이렇게 나와있습니다. “소환장, 법원 명령 또는 법적 절차에 대응하기 위해 개인 정보를 공유해야 하는 경우”

그리고 trust-hub/law-enforcement 이 페이지에서 가장 마지막 부분을 보면 아래와 같이 나옵니다.

미국 외 국가의 정부 요청

Cloudflare는 미국 이외의 정부도 당사 고객에 대한 기록을 얻기 위해 동일한 적법 절차 요건을 따라야 한다는 견해를 오랫동안 견지해 왔습니다. 저장 통신법 또는 전자 통신 개인정보 보호법과 같은 여러 미국 법률은 기업이 통신 내용과 같은 특정 유형의 데이터를 미국의 법적 절차 없이 외국 법 집행 기관을 포함한 개인이나 단체에 제공하는 것을 제한합니다. 적법 절차 원칙을 준수하는 미국 이외의 법적 절차에 따라 기본 가입자 정보를 제공하는 것이 적절한 상황이 있을 수 있지만, 당사는 일반적으로 현재로서는 미국 이외의 정부가 상호 사법 공조 조약(MLAT) 요청과 같은 외교적 절차를 통해 미국 법원을 통해 당사에 요청하는 것이 가장 좋은 방법이라고 생각합니다.

이 부분은 다른 기업과도 비슷 합니다. (예 : 트위터 / 페이스북 / Slack)

형사사법공조조약 체결현황
  • 2020년에는 디지털교도소를 운영하던 사람들이 클라우드플레어는 위험하다고 판단하여 러시아 CDN 서비스로 옮기기도 했습니다.(#기사)
  • 마루마루 등 웹툰 불법 공유 사이트로 유명했던 곳들이 폐쇄되고 운영자가 잡힌 이유 역시 한국 경찰이 미국 국토안보부 수사청(HSI)의 협조를 받아서 클라우드플레어 서버 내역을 확인했기 때문이라고 합니다. (#)
  • 클라우드플레어 한국 지사가 생겼는데, 한국 채널이 생긴만큼 소통이 조금이라도 더 원활해지지 않을까.. 하는 추측을 해봅니다.

결론

제가 뭐라고 장담할 수는 없지만, 클플 서비스 중에서 어떤 것을 사용했냐에 따라서 차이가 있겠지만.. 중요한 사안일 경우 클라우드플레어가 협조해주지 않을 이유가 있을까 싶네요. 한국과 미국은 수사 협조가 가능한 국가이고 ‘법대로’ 요청한다면 거절할 명분도 없는게 사실입니다.

지극히 제 개인적인 생각일 뿐 정답은 아닙니다. 혹시 정확한 팩트나 좋은 정보가 있다면 댓글 부탁드립니다. 🙂

1.1.1.1 WARP 앱 개인정보

그리고 무제한으로 사용하려면 클라우드플레어 Warp+ 상품을 구매해야하는데, 월 5900원 입니다. 메리트가 전혀 없는 가격이죠. 특히나 2023년 현재 지금처럼 NordVPN(누르면 리뷰 확인 가능)이 가성비로 모든 VPN을 압살 하고있는 시기라면 더더욱 cloudflare warp+ 같은 것을 쓸 이유가 없습니다. 워프는 무료로 충분합니다.

메뉴 VPN 리뷰 버튼을 눌러 최신 랭킹과 프로모션 정보를 확인하세요.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다