프로톤메일 IP주소 수집 추적, 스위스 개인정보보호법

프로톤메일 수사 협조 가능할까요? 프로톤메일(ProtonMail)은 2013년 스위스 제네바에서 설립되었으며, 종단간 암호화 이메일 서비스로 ‘익명 이메일 서비스’로 널리 알려져있습니다. Proton은 프로톤메일로 쌓은 이미지와 브랜드를 토대로 ProtonVPN 그리고 ProtonDrive 제품도 출시했습니다.

Protonmail을 처음 선보였을때, 미국이나 유럽의 영향권에서 벗어난 가장 중립적인 국가 스위스라는 이미지를 잘 활용해서 마케팅적으로 큰 성공을 거두기도 했고, 꽤 오랜시간동안 큰 문제없이 서비스를 제공해왔기 때문에 인지도와 신뢰도도 상당히 높았습니다.

호기심이 가는대로 쓰니 약간 뒤죽박죽이라도 양해바랍니다.^^

스위스 개인정보보호법은 정말 더 강력할까?

유럽 국가들은 유럽연합(EU)의 일반 개인정보 보호법(GDPR, General Data Protection Regulation)을 따릅니다. 하지만 스위스 EU에 속하지않기 때문에 GDPR을 준수할 의무가 없다고는 하나 2015년 DPA(Data Protection Act)를 GDPR에 맞게 조정했고 개정판 역시 GDPR에 맞게 조정되었다는 것을 보면 독자적인 법으로 특별하게 선도한다거나 EU보다 더 강력하게 보호되는지 제 지식선에서는 확신할 순 없습니다.

파란색 부분을 번역기로 돌려보면 “개정된 DPA는 현재 스위스의 특수성을 없애고 법적 실체와 관련된 개인 데이터는 더 이상 보호되지 않을 것으로 예상된다.(*파파고 번역)”라고 나와있는데 해당 법률 리뷰사이트의 평가입니다. 제가 법에 관해 전문가가 아니기 때문에 뭐라고 확실하게 평가할 순 없고 설명드리기는 힘든데 왜 저런 평가가있는걸까요?

한 스위스 회사 사이트의 개인 정보 정책을 보면

Based on Article 13 of the Swiss Federal Constitution and the data protection regulations of the Federal Government (Data Protection Act, DSG) and in accordance with GDPR, every person is entitled to protection of their privacy and to protection against misuse of their personal data.

스위스 연방 헌법 13조 및 연방 정부의 데이터 보호 규정(데이터 보호법, DSG) 및 GDPR에 따라 보호받을 권리가 있다고 하는 것을 보면 대체적으로는 둘다 적용이 되나 했는데

다른 회사는 Swiss Federal Act on Data Protection(FADP)에 의해 보호된다고 적혀있습니다. FADP가 있고 DSG(연방데이터보호법)가 BDSG(Bundesdatenschutzgesetz)가 있고.. DPA가있고.. 법알못인 저로서는 헷갈리는데요. FADP는 새로운 스위스 연방 데이터 보호법이라고 하네요. 이 또한 GDPR의 변경 사항을 반영하기 위한 개정이라고 합니다.(읽기)

이 회사의 정책을 보면 개인 정보 보호 정책을 EU의 GDPR을 기반으로 한다고 명시해놓았네요. 제각각인듯;..

FADP가 2020년9월에 개정된 스위스 연방법이라고 하니 포괄적으로 이 법이 적용되나 봅니다. FADP / GDPR 둘은 완전 동일하지 않으며 일부차이가 있다고 하는데요. 궁금하고 영어와 법에 능숙하신 분은 FADP revision: comparison with current law and the GDPR 이 글을 참고하시면 되겠습니다.(저는 좀 보다가 어지러워서 껐습니다.)

법조인들 대단하다는 생각이 문득들면서 그만 찾아보기로 했습니다.

하지만 오늘의 주제인 ProtonMail은 어떤지는 알고 넘어가야겠죠. 레딧의 한 토론(#)을 보면 아래와 같은 내용이 있습니다.*아래는 구글 번역기 돌린 내용.

스위스 개인정보보호법이 특별난지는 모르겠으나(저는 딱 이거다 하는 내용을 못찾았어요.) 스위스 법만 적용한다고 했는데.. 유럽에 위치해 있다 보니 ProtonMail 팀의 공식 댓글을 보면 GDPR의 적용을 받는다고 나와있습니다.

그리고 후술할 BÜPF라는 법률의 내용으로 이어집니다.

가장 안전한 데이터센터를 보유했다던 ProtonMail

위 이미지는 프로톤측에서 데이터센터를 소개하며 올린 사진입니다. 지하 1000미터 아래 스위스 알프스 골짜기 깊은 곳에 숨겨져있는 세상에서 가장 안전한 데이터센터 중 하나라고 자랑했습니다.(ProtonMail’s servers are hidden deep in the Swiss alps under 1000 meters of rock in one of the world’s most secure datacenters)

멋있어 보입니다. Wikipedia에 따르면 “데이터센터가 스위스에 위치해 있기 때문에 합법적으로 미국 및 EU 관할권 밖에 있다.”라고 쓰여져있는데, 앞서 올린내용에 따르면 ProtonMail측에서는 EU 개인정보보호법을 적용한다고..(?)

데이터센터가 100M 아래인지 3000M 위에 세워져있는지는 그렇게 중요해보이지 않습니다. 데이터는 전세계 동일하게 연결되어있는 랜선타고 돌아다니니까요.

프로톤메일의 명성에 금이가는 뉴스가 터지고

프랑스 경찰 보고서가 온라인상에 유출되면서 시작되었습니다.

프랑스 수사 당국은 Europol을 통해서 스위스 경찰에 요청해 ProtonMail 사용자의 IP 주소를 얻었다고 합니다. (IP 어드레스 및 사용된 장치에 대한 정보까지)

그리고 프로톤메일이 스위스 정부와 미국에 정보를 제공하느니 마느니 설전이 벌어지기도 합니다.

ProtonMail이 미국에 정보를 제공한다?

무슨말인가 싶어서 찾아봤더니, 실제로 한 언론이 프로톤 메일이 미국의 법 집행 기관에도 사용자 데이터가 전달된다고 보도한게 있었습니다.

번역돌린 것을 요약하면 아래와 같습니다.

• 미국의 앤서니 파우치(미국의 의사이자 전염병 전문가이며 미국 국립알레르기·전염병연구소 NIAID 소장이며 코로나19 관련 최고 권위자 중 한명)와 그의 가족을 죽이겠다는 위협이 있었음
• 미국 법무부에 따르면 피고인은 ProtonMail을 사용(Justice.gov) (*피고인이라는걸 보니 체포됐죠)
• tagesanzeiger라는 언론의 보도에 따르면(news) Fedpol(연방 경찰청)은 미국 당국 및 ProtonMail과의 협력에 대해 언급
• 스위스의 BÜPF(Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs *우편 및 통신 트래픽 감시에 관한 연방법)는 스위스 이미지 및 보안, 개인정보보호 분야의 경쟁우위에 부정적인 영향을 미칠것 (nau.ch) (*찾아보니 이 법에 반대하는 홈페이지도 있군요 – stopbuepf)
• 많은 사용자들은 프로톤메일은 스위스의 데이터 보호법(DSG)이 효과적인 데이터 보호를 보장하지 않으며 형사 소송 및 감시 조치가 DSG의 적용을 받지 않는다는 것을 알지 못합니다(DSG 2조 2항 c)
• 프로톤메일의 투명성 보고서에 관해 : 투명성 보고서는 2021년 6월 23일에 업데이트된 것으로 알려져 있지만 2020년 6월에 사례 설명으로 끝납니다. 사례 수에 따르면 ProtonMail은 2020년까지 3,000건이 넘는 사례에서 스위스 및 해외 보안 당국에 데이터를 전달했다고 합니다.(3572건을 요청받았고 750건은 거부했다고 – 기사)

위와 같이 보도하였습니다.

좀 더 검색을 해보았는데, 파우치 사건에 관해 프로톤메일 공동 설립자 중 한명인 Andy Yen이 “Fauci 사건은 스위스 법도 어겼기 때문에 스위스 정부는 미국 당국의 수사 지원을 선택했다.”고 하네요.(tweet) 이 말은 결국 스위스 법원의 결정에 의해 ProtonMail 사용자의 정보를 타국에 제공할 수 있다는 의미가 아닌지?

그리고 프로톤메일의 블로그 글을 찾아보니 보면 스위스 법에 위배되는 범죄활동에 관해 법원 명령이 제출되면 ProtonMail 계정의 메타데이터는 법 집행 기관과 공유할 수 있다고 명시한 부분도 있네요.

그리고 ProtonMail의 바뀐 Privacy Policy를 보면

“스위스 법을 위반하는 경우 ProtonMail은 법적으로 스위스 범죄 수사의 일환으로 귀하의 IP 주소를 기록하도록 강요받을 수 있습니다.“라고 나와있습니다.

이번 프로톤메일 추적 사건에 대한 제 생각과 결론

우리같은 일반 유저들은 쭉 사용해도 문제 없을 듯 합니다. 우리가 스위스 법을 어긴다거나 스위스 정부와 한국 정부가 협력하게 만들 짓을 하진 않을테니까요.(그..그쵸?)

ProtonMail IP 주소 제공 사건을 떠나, 익명성과 속도 그리고 가성비 등 여러가지 측면에서 봤을때 NordVPN이 훨씬 낫다고 봅니다. ExpressVPN은 가격도 성능도 가장 좋지만 노드가 속도를 상당히 따라잡아서 이 글을 업데이트하는 2023년에도 수십수백개의 전세계 VPN 통틀어 노드VPN이 전체적인 점수는 현존 최강입니다. 물론 같이 사용할 사람이 5명 이상으로 많다면 Surshark 가성비가 가장 훌륭하구요.

열번 백번 추천해달라고 여쭤보셔도 지금으로서는 NordVPN이 가장 후회없고 현명한 선택입니다. 프로모션도 공격적이구요.

상단 VPN 메뉴에서 최신 리뷰와 업데이트 된 쿠폰을 확인하세요.