Home > Network > ProtonMail IP주소 수집 논란과 스위스 개인정보보호법

ProtonMail IP주소 수집 논란과 스위스 개인정보보호법

ProtonMail은 2013년 스위스 제네바에서 설립되었으며, 종단간 암호화 이메일 서비스로 ‘익명 이메일 서비스’로 널리 알려져있습니다. Proton은 ProtonMail로 쌓은 이미지와 브랜드를 토대로 ProtonVPN 그리고 ProtonDrive 제품도 출시했습니다.

Protonmail을 처음 선보였을때, 미국이나 유럽의 영향권에서 벗어난 가장 중립적인 국가 스위스라는 이미지를 잘 활용해서 마케팅적으로 큰 성공을 거두기도 했고, 꽤 오랜시간동안 큰 문제없이 서비스를 제공해왔기 때문에 인지도와 신뢰도도 상당히 높았습니다.

호기심이 가는대로 쓰니 약간 뒤죽박죽이라도 양해바랍니다.^^

스위스 개인정보보호법은 정말 더 강력할까?

유럽 국가들은 유럽연합(EU)의 일반 개인정보 보호법(GDPR, General Data Protection Regulation)을 따릅니다. 하지만 스위스 EU에 속하지않기 때문에 GDPR을 준수할 의무가 없다고는 하나 2015년 DPA(Data Protection Act)를 GDPR에 맞게 조정했고 개정판 역시 GDPR에 맞게 조정되었다는 것을 보면 독자적인 법으로 특별하게 선도한다거나 EU보다 더 강력하게 보호되는지 제 지식선에서는 확신할 순 없습니다.

출처 : https://thelawreviews.co.uk/title/the-privacy-data-protection-and-cybersecurity-law-review/switzerland

파란색 부분을 번역기로 돌려보면 “개정된 DPA는 현재 스위스의 특수성을 없애고 법적 실체와 관련된 개인 데이터는 더 이상 보호되지 않을 것으로 예상된다.(*파파고 번역)”라고 나와있는데 해당 법률 리뷰사이트의 평가입니다. 제가 법에 관해 전문가가 아니기 때문에 뭐라고 확실하게 평가할 순 없고 설명드리기는 힘든데 왜 저런 평가가있는걸까요?

한 스위스 회사 사이트의 개인 정보 정책(#)을 보면

Based on Article 13 of the Swiss Federal Constitution and the data protection regulations of the Federal Government (Data Protection Act, DSG) and in accordance with GDPR, every person is entitled to protection of their privacy and to protection against misuse of their personal data.

스위스 연방 헌법 13조 및 연방 정부의 데이터 보호 규정(데이터 보호법, DSG) 및 GDPR에 따라 보호받을 권리가 있다고 하는 것을 보면 대체적으로는 둘다 적용이 되나 했는데

다른 회사(#)는 Swiss Federal Act on Data Protection(FADP)에 의해 보호된다고 적혀있습니다. FADP가 있고 DSG(연방데이터보호법)가 BDSG(Bundesdatenschutzgesetz)가 있고.. DPA가있고.. 법알못인 저로서는 헷갈리는데요. FADP는 새로운 스위스 연방 데이터 보호법이라고 하네요. 이 또한 GDPR의 변경 사항을 반영하기 위한 개정이라고 합니다.(#)

이 회사(#)의 정책을 보면 개인 정보 보호 정책을 EU의 GDPR을 기반으로 한다고 명시해놓았네요. 제각각인듯;..

FADP가 2020년9월에 개정된 스위스 연방법이라고 하니 포괄적으로 이 법이 적용되나 봅니다. FADP / GDPR 둘은 완전 동일하지 않으며 일부차이가 있다고 하는데요. 궁금하고 영어와 법에 능숙하신 분은 FADP revision: comparison with current law and the GDPR 이 글을 참고하시면 되겠습니다.(저는 좀 보다가 어지러워서 껐습니다.)

법조인들 대단하다는 생각이 문득들면서 그만 찾아보기로 했습니다.

하지만 오늘의 주제인 ProtonMail은 어떤지는 알고 넘어가야겠죠. 레딧의 한 토론(#)을 보면 아래와 같은 내용이 있습니다.*아래는 구글 번역기 돌린 내용.

스위스 개인정보보호법이 특별난지는 모르겠으나(저는 딱 이거다 하는 내용을 못찾았어요.) 스위스 법만 적용한다고 했는데.. ProtonMail 팀의 공식 댓글을 보면 GDPR의 적용을 받는다고 하니 뭐가 뭔지 헷갈리는군요.

그리고 후술할 BÜPF라는 법률의 내용으로 이어집니다.

가장 안전한 데이터센터를 보유했다던 ProtonMail

위 이미지는 프로톤측에서 데이터센터를 소개하며 올린 사진입니다.(#) 지하 1000미터 아래 스위스 알프스 골짜기 깊은 곳에 숨겨져있는 세상에서 가장 안전한 데이터센터 중 하나라고 자랑했습니다.(ProtonMail’s servers are hidden deep in the Swiss alps under 1000 meters of rock in one of the world’s most secure datacenters)

멋있어 보입니다. Wikipedia(#)에 따르면 “데이터센터가 스위스에 위치해 있기 때문에 합법적으로 미국 및 EU 관할권 밖에 있다.”라고 쓰여져있는데, 앞서 올린내용에 따르면 ProtonMail측에서는 EU 개인정보보호법을 적용한다고..(?)

데이터센터가 100M 아래인지 3000M 위에 세워져있는지는 그렇게 중요해보이지 않습니다. 데이터는 전세계 동일하게 연결되어있는 랜선타고 돌아다니니까요.

프로톤메일의 명성에 금이가는 뉴스가 터지고

프랑스 경찰 보고서가 온라인상에 유출되면서 시작되었습니다.

출처 : https://twitter.com/MuArF/status/1433459776189607938

프랑스 수사 당국은 Europol을 통해서 스위스 경찰에 요청해 ProtonMail 사용자의 IP 주소를 얻었다고 합니다. (IP 어드레스 및 사용된 장치에 대한 정보까지)

그리고 프로톤메일이 스위스 정부와 미국에 정보를 제공하느니 마느니 설전이 벌어지기도 합니다.

번역기 돌린거라 약간 매끄럽지 못지만 내용은 알아볼 수 있습니다.

ProtonMail이 미국에 정보를 제공한다?

무슨말인가 싶어서 찾아봤더니, 실제로 한 언론이 ProtonMail이 미국의 법 집행 기관에도 사용자 데이터가 전달된다고 보도한게 있었습니다.(#)

번역돌린 것을 요약하면 아래와 같습니다.

  • 미국의 앤서니 파우치(#미국의 의사이자 전염병 전문가이며 미국 국립알레르기·전염병연구소 NIAID 소장이며 코로나19 관련 최고 권위자 중 한명)와 그의 가족을 죽이겠다는 위협이 있었음
  • 미국 법무부에 따르면 피고인은 ProtonMail을 사용(#) (*피고인이라는걸 보니 잡혔나보군요)
  • tagesanzeiger라는 언론의 보도에 따르면(#) Fedpol(연방 경찰청)은 미국 당국 및 ProtonMail과의 협력에 대해 언급
  • 스위스의 BÜPF(Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs *우편 및 통신 트래픽 감시에 관한 연방법)는 스위스 이미지 및 보안, 개인정보보호 분야의 경쟁우위에 부정적인 영향을 미칠것 (#) (*찾아보니 이 법에 반대하는 홈페이지도 있군요 – #)
  • 많은 사용자들은 프로톤메일은 스위스의 데이터 보호법(DSG)이 효과적인 데이터 보호를 보장하지 않으며 형사 소송 및 감시 조치가 DSG의 적용을 받지 않는다는 것을 알지 못합니다(DSG 2조 2항 c)
  • ProtonMail의 투명석 보고서에 관해 : 투명성 보고서는 2021년 6월 23일에 업데이트된 것으로 알려져 있지만 2020년 6월에 사례 설명으로 끝납니다. 사례 수에 따르면 ProtonMail은 2020년까지 3,000건이 넘는 사례에서 스위스 및 해외 보안 당국에 데이터를 전달했다고 합니다.(3572건을 요청받았고 750건은 거부했다고#)

위와 같이 보도하였습니다.

좀 더 검색을 해보았는데, 파우치 사건에 관해 프로톤메일 공동 설립자 중 한명인 Andy Yen이 “Fauci 사건은 스위스 법도 어겼기 때문에 스위스 정부는 미국 당국의 수사 지원을 선택했다.”고 하네요.(#) 이 말은 결국 스위스 법원의 결정에 의해 ProtonMail 사용자의 정보를 타국에 제공할 수 있다는 의미가 아닌지?

그리고 프로톤메일의 블로그 글을 찾아보니 보면 스위스 법에 위배되는 범죄활동에 관해 법원 명령이 제출되면 ProtonMail 계정의 메타데이터는 법 집행 기관과 공유할 수 있다고 명시해놓은 부분도 있네요.(#)

출처 : https://protonmail.com/blog/protonmail-threat-model/

그리고 ProtonMail의 바뀐 Privacy Policy를 보면

https://github.com/ambanum/OpenTermsArchive-versions/commit/510c7d65e4254e1d53221b139d7e25bb2b990510

“스위스 법을 위반하는 경우 ProtonMail은 법적으로 스위스 범죄 수사의 일환으로 귀하의 IP 주소를 기록하도록 강요받을 수 있습니다.”라고 나와있습니다.

이번 프로톤메일 사건에 대한 제 생각

우리같은 일반 유저들은 쭉 사용해도 문제 없을 듯 합니다. 우리가 스위스 법을 어긴다거나 스위스 정부와 한국 정부가 협력하게 만들 짓을 하진 않을테니까요.(그..그쵸?)

다른 사람이 본 글

(13) Comments

  1. ㅇㅇ

    그냥 존재 의의부터 신뢰까지 다 박살난거같은데요… 아무리 무료라도 사용할 이유가 없어졌습니다.

  2. ㅇㅇ

    이번에 이거와 관련되어 저도 조사를 좀 해봤는데 그들이 하는 얘기로는 VPN과 Mail과의 운영정책이 틀리다 하더군요.
    본인들 말로는 이번 수사기관 제공은 Mail의 정책일 뿐이고 VPN의 정책은 여전히 변함 없이 자신들의 컨셉에 맞게 유지해 나갈 것이라 밝혔다고 하네요. 문제는 이미 Mail에서 한번 데여 믿는 사람이 몇명일지는 모르겠지만서도요.

    1. NetxHack

      공감합니다. 프로톤메일도 이번 사건 터지기 전까지는 다들 그런 믿음을 가지고 사용했을테니 VPN이면 더더욱 마음이 불안할 것 같습니다.

  3. fax

    근데 이건 뭐 약관에 다 적혀있던거라
    하지만 프로톤메일이 익명으로 오해할 수 있게 마케팅한건 사실이죠
    물론 제대로 찾아 봤으면 약관과 페이지 설명보고 이건 그냥 쓰면 익명이 아니고 VPN이나 onion 주소를 사용해야 제대로된 익명인 걸 알수 있었겠지만 일반인들은 거기까지 안 찾아봤을테니…

    1. NetxHack

      한국 사이트 가입시에도 약관을 제대로 다 읽어보고 가입하는 사람은 제 생각엔 1% 미만일거라 생각합니다. 하물며 해외사이트는 더 적겠죠. ㅎㅎ 보통 회사 이미지를 믿고 가입하게되는데 일반 사용자들에겐 별 문제가 되진 않겠지만 사람 마음이라는게 또 괜히 뭔가 찝찝하면 신경쓰이게 되더라구요. 하지만 저는 일반적인 용도로는 계속 사용할 생각입니다.

  4. ㅇㅇㅇ

    새로운 곳을 찾으면 또 글써주세요!! 항상 잘 보고 있습니다.

    1. NetxHack

      응원 감사합니다~@

  5. KAFU

    다행이도 저의 경우에는 일본 웹사이트 계정생성용 외에는 안써서 불행중 다행이지만 신뢰는 완전히 깨졌다고봐서 천천히 옮겨야될거 같네요.

    1. NetxHack

      저도 대안을 생각중입니다. ㅠㅠ

  6. ㅇㅇ

    좋은 글 감사합니다 ㅎ

    1. NetxHack

      댓글 감사합니다~!

  7. 알프스 하이디

    프로톤 메일 사용자로서 이 이슈에관해 net heck님 포스팅글이 있을까 하고 기다렸다가 오늘 들러보니 드디어 영접했네요 ㅋㅋ 항상 이슈에대한 net heck님 의견이 궁금했는데 이번에도 공감하도갑니다 유익한 포스팅 항상감사해요

    1. NetxHack

      저도 부족한점이 많고 전문가는 아니라 재미로 봐주세요 ㅎㅎ 힘나는 댓글 남겨주셔서 감사합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다