프로톤VPN의 위기: 스위스 개인정보보호법 개정 – Log, 개인정보 저장
목차
스위스 개인정보보호법과 흔들리는 프라이버시 산업
프로톤VPN 홈페이지에서 자랑하는 장점 중 하나가 “강력한 스위스의 개인 정보 보호법” 입니다. 관할법이 강력하기 때문에 No Log Policy가 가능하다고 유저들에게 이야기하고 있지만 만약 스위스가 개정안을 통과시킨다면 ProtonVPN의 입지가 적지 않게 흔들릴 가능성이 있습니다.
ProtonVPN은 “개정안이 통과된다면 스위스를 떠날 것“라고 강력하게 주장하고 있을 정도입니다. 프로톤VPN을 지탱하는 가장 큰 기둥이 부러지게되는 수준의 변화이기 때문입니다. 발등에 불이 떨어진 것은 Proton AG 뿐만이 아니라 그동안 “스위스는 안전하다.” 마케팅을 펼쳐온 다른 회사들도 마찬가지 입니다.
스위스 VPN 로그 저장 의무화 법안 개정안
관련 법안은 “스위스 연방 법무경찰부(EJPD)의 “우편 및 통신 감시 수행에 관한 법령(VD-ÜPF)” 개정안 입니다. 스위스 우편 및 통신 트래픽 감시 조례(VÜPF: Verordnung über die Überwachung des Post- und Fernmeldeverkehrs) 라고 번역되기도 합니다.
우리는 스위스의 통신 관련 법이 개정되는구나.. 이것만 알면 됩니다.
- https://www.fedlex.admin.ch/de/consultation-procedures/ended/2025#https://fedlex.data.admin.ch/eli/dl/proj/2022/21/cons_1
- https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/dl/proj/2022/21/cons_1/doc_2/de/pdf-a/fedlex-data-admin-ch-eli-dl-proj-2022-21-cons_1-doc_2-de-pdf-a.pdf
스위스 연방정부(Federal Council)는 빠르면 올해(2025년), VPN·메신저·이메일 등 온라인 서비스 제공업체에게 사용자 로그(기록) 저장을 의무화하는 법률 개정안을 추진 중인데요. 특정 회사들을 겨냥한 법안은 아니고 ‘기존 법안이 대폭 확대‘되는 것 입니다.
예를 들어 개정 전에는 스위스의 통신사(ISP) 및 대형 서비스에만 적용되던 감시 및 기록 의무가 개정 후에는 중소기업 규모까지 확대되는거죠. 이는 VPN 회사 뿐 아니라 클라우드, SNS 등 모두 포함입니다. 이정도까지 하는 이유를 정확히 모르겠는데 스위스에 설립된 Privacy 관련 기업들은 초토화될 것 같습니다.
개정안 주요 내용
아래 조건은 ‘5,000명 이상의 사용자를 보유‘ 혹은 ‘연 매출 1억 스위스프랑 이상(* 1 CHF = 원화 약 1700원 정도)’의 모든 서비스에 해당 됨
- 연락처 의무: 모든 통신 서비스 제공업체는 감시 및 정보 요청을 처리할 수 있는 연락처를 지정해야 함.
- 전체 의무 제공업체: 특정 정보 요청에 대해 근무 시간 중에는 1영업일 이내 응답해야함.
- 축소 의무 제공업체: 특정 정보 요청에 대해 2영업일 이내에 응답해야함.
- 사용자 신원 확인 및 기록 의무 – 6개월 저장 (신분증 및 운전면허증)
- 로그, 메타데이터 – 6개월간 저장 (IP 주소, 접속 기록, 통신 대상 등)
- 복호화(암호화 해제) 요구 – 서비스 제공자가 암호화 키를 보유한 경우, 정부 요청 시 통신 내용을 복호화해 제출해야 함(단, 종단간 암호화는 예외)
- 이 개정안에 대한 공개 협의는 2025년 5월 6일에 마감되었으며 현재 스위스 정부의 결정만 남은 상태
- 스위스 26개 주 중 제네바 등 일부는 “디지털 무결성에 대한 권리”를 앞세워 반대하고 있음
이로 인해 스위스에서 노로그 VPN 비즈니스 모델이 불가능한 상황이 될 수 있습니다. 심지어 마스토돈 서버도 사용자 수 5천명이 넘으면 사용자를 식별해야한다고 합니다. 각종 비판과 우려의 목소리가 여기저기서 나오고 있습니다.
영향력과 여파
ProtonVPN, ProtonMail, ProtonDrive 등 모든 서비스가 다 머리아파집니다. Threema 그리고 NymVPN도 마찬가지가 되겠네요.
Ptoron의 CEO Andy Yen은 RTS 인터뷰에서 아래와 같이 강력하게 비판했습니다.
“이 개정안은 EU와 미국에서 불법으로 간주되었던 내용을 시행하는 것이며 이런 법률을 시행하는 국가는 러시아가 유일하다. 이 규정이 통과되면 스위스에 있는 우리 회사는 미국에 본사를 둔 구글보다 기밀 유지에 취약해질 것이고 우리 사업 모델에 있어서 불가능한 부분이기 때문에 Proton은 스위스를 떠날 수밖에 없을 것”
여담이지만 이번에 보안 이메일 계정을 ProtonMail과 고민하다가 결국 TutaMail을 선택해 사용중인데(Tuta 리뷰) 다행히 독일 기업이라 이번 이슈는 피해갈 수 있어 마음이 좀 편합니다. 오히려 독일은 2022년 유럽사법재판소(ECJ) 판결에 의해 “이유없는 무차별적 온라인 데이터 보관은 EU법에 위배된다.”며 데이터 보존법을 폐지했나 봅니다.
오히려 스위스가 자국 내 보안 기업과 생태계를 박살내면서까지 강행할지 궁금해집니다. 그렇게까지 해야할 이유는 뭘까요? 일자리는 어느 국가나 매우 민감한 이슈인데 이를 감내할만큼 큰 국가적 피해가 있는 걸까요?
스웨덴 Mullvad의 미소?
스위스가 만약 법안 통과를 강행한다면 ProtonVPN은 엄청난 타격을 입게될 것이고, 경쟁자인 Mullvad가 반사이익을 얻지 않을까? 라고 생각했는데 Mullvad가 위치한 스웨덴도 만만치 않습니다. Signal, WhatsApp, iMessage와 같은 서비스에도 암호화 백도어를 생성하도록 요구하는 법안 통과를 고려 중이며 2026년에 통과될 가능성도 있다고 합니다. – 출처: Techradar
그리고 2024년 기준으로 스웨덴 정부는 데이터 보존 기간을 최대 10개월까지 연장하는 방안을 검토하기 시작했다는군요. 만약 스웨덴까지 밀어붙이면 뮬바드도 두개골이 쪼개지는 수준의 타격을 입게될 것입니다.
결론과 요약
익명 서비스의 프라이버시 환경 초토화 될 수 있음 특히 스위스 VPN 기업은 직격탄을 맞게된다. 법안이 최종 통과될 경우, 스위스의 프라이버시 기업들은 대규모 해외 이전 가능성까지 거론되는 상황.
| 주요 변화 내용 | 세부 설명 |
|---|---|
| 사용자 신원 확인 | 신분증 등으로 신원 확인을 해야하며 6개월간 보관한다. |
| 로그/메타데이터 저장 | 사용자의 접속 기록, IP 주소 등 6개월간 저장 의무화 된다. |
| 암호 해제 요구 | 정부 요청하면 복호화 제공 |
| 적용 대상 확대 | 5,000명 이상 사용자 서비스(혹은 1억 스위스프랑 이상의 매출 기업)를 제공하는 기업 – 특히 VPN, 메신저, 이메일, SNS 등 |
강건너 불구경이라 흥미진진하다는 생각을 하다가 한국에서 누굴 걱정하고 있음.. ㅜㅜ
처음오신 분, V린이 분들은 블로그 메뉴에서 VPN 탭을 눌러서 핵심 정보를 얻어가세요.
익프 쓰다 프로톤으로 갈아탔는데 이게 무슨 날벼락같은 소식인가요
2년짜리 결제했는데 ㅜㅜ
법안이 보류라도 되길 바라는 수 밖에 없습니다. 스위스 정부 기세가 쉽게 포기할 느낌은 또 아닌데.. 외부인인 우리로서는 지켜보는 수 밖에요ㅕㅜㅜ
정부에서 이 법안을 시행하면 스위스에 있는 컴퓨터&인터넷 보안관련 업체들 타격이 크겠네요
아마 테러나 극단주의 범죄 등에서 용의자 추적을 위해서 제한적으로 시행한다고 말은 하겠지만 국가나 정부가 개인을 완전히 특정하거나 추적할 수 있다는 건 걱정할 수 밖에 없죠 범죄할 생각 1도 없는 일반 사용자도 말이죠
정확하게 보셨어요. 정부가 원하면 언제든 우리 모두의 정보가 노출될 수 있다는 의미라 정말 무겁고 무서운 주제입니다.