미국정부의 감시 및 검열요청에 대한 기업들의 대응

미국기업들이 자신들의 이용자들을 정부의 감시나 검열로부터 보호하기 위한 대응은 2013년 스노든의 폭로 이후에 양적 질적으로 훨씬 개선되었고 다음의 여러 가지 면에서 살펴볼 수 있다.

첫째 “투명성보고”라 하여 각자 해당 기업이 정부의 감시요청이나 검열요청을 받거나 수행한 숫자를 밝히는 것이다. 물론 법이 허용하는 한도 내에서 그렇게 하는 것인데, 법 자체가 잘못되어 있다고 해서 소송을 제기하는 기업들도 있다.

둘째 소송인데 이용자권리를 부당하게 침해하는 것으로 여겨지는 정부의 감시요청이나 검열요청에 대해 거부를 하고 이런 요청이 위헌임을 밝히는 소송을 제기하는 것이다. 특히 미국에서는 9.11 이후 투명성보고 자체를 규제하려는 정부의 시도가 있었는데 이러한 규제에 대한 위헌소송들도 진행 중이다. 셋째 입법노력이다. 감시나 검열이 광범위하게 이루어지지 않도록 또는 다른 방식으로 이용자들의 권리가 보호되도록 법을 개정하기 위한 것이다.

이외에도 미국의 최대 인터넷운동단체 전자프런티어재단(Electronic Frontiers Foundation)은 추가로 세 가지를 더 기업들의 이용자보호에 대한 판단기준으로 삼고 있다.1 네 번째는 기본적으로 영장이 없는 한 정보요청을 거부하는 가이다. 우리나라에서는 2012년 10월 네이버, 다음, 네이트, 카카오가 전기통신사업법 제83조 제3항 상의 “통신자료” (이용자신원정보) 요청이 영장이 없다는 이유로 거부하기 시작하였는데 바로 이러한 행동이 이 기준을 충족한다.

다섯 번째는 정보제공을 할 경우 이용자들에게 통지를 해주는가이다. 물론 법이 명시적으로 통지를 금지하는 경우는 어쩔 수 없다.2 하지만 우리나라 형사소송법도 마찬가지이지만 미국의 경우에도 이용자의 정보를 보관하고 있는 사업자가 이용자에게 해당 이용자 정보가 압수 수색된 사실을 통지해도 되는가에 대해서는 아무런 규정이 없다.3 EFF는 압수수색을 충실히 이행은 하더라도 통지를 금지하는 아무런 규정이 없다면 그러한 사실을 통지할 것을 요구하는 것이다. 참고로 EFF가 조사한 약 30개의 업체들 중 버라이존, 스냅챗, 마이스페이스, 콤캐스트, AT&T, 아마존을 제외한 모든 업체들이 이용자통지를 한다고 하였다. 우리나라의 경우 대부분 인터넷업체들이 전기통신 압수수색에 대해서 압수수색을 당한 사람들에게 통지를 하지 않고 있다.4 더욱이 통신사들의 경우에는 통지는 말할 것도 없고 통신이용자들이 정보제공 여부에 대한 열람요청을 하는 경우에도 이를 거부하고 있어 지금도 소송이 진행 중이다.5 여섯 번째 마지막으로는 국가의 요청에 대해 어떻게 대응할지에 대한 가이드라인을 이용계약 등을 통해 공개하고 있는가이다.

여기서는 앞선 세 가지 측면 즉 투명성보고, 소송활동, 입법 활동에 대해서 살펴보기로 한다.

 

Surveillance

 

투명성보고

2010년부터 투명성보고를 시작한 구글을 필두로 하여 2013년 이후 수많은 업체들이 수행하고 있다. 2014년2월 현재 투명성보고를 발간하는 주요 업체들과 가장 최근의 투명성보고서를 보면 다음과 같다. 이외에도 더 작은 규모의 업체들도 많이 있다.

* AT&T “Transparency Report”

http://about.att.com/content/csr/home/frequently-requested-info/governance/transparencyreport.html

* 버라이존 “Transparency Report: US Data”

http://transparency.verizon.com/international-report

* 드롭박스 “2013 Transparency Report”

https://www.dropbox.com/transparency

* 페이스북 “Global Governments Requests Report”

https://www.facebook.com/about/government_requests

* 구글 “Transparency Report: Requests for User Information”

http://www.google.com/transparencyreport/userdatarequests/US/

* 텀블러 “Calendar Year 2013 Law Enforcement Transparency Report”

http://transparency.tumblr.com/

* 트위터 “Transparency Report: Information Requests”

https://transparency.twitter.com/information-requests/2014/jan-jun

* 링크드인 “Transparency Report 1H 2014”

https://www.linkedin.com/legal/transparency

* 마이크로소프트 “Law Enforcement Requests Report”

http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

* 야후 “Government Data Requests: United States”

https://transparency.yahoo.com/government-data-requests/index.htm

* 애플 “Report on Government Information Requests: January 1- June 30, 2014”

https://www.apple.com/privacy/docs/government-information-requests-20140630.pdf

 

이들 투명성보고서는 정보요청을 한 정부의 국적을 기준으로 하여 국가별, 정보요청의 법적 정의에 따라 유형별로 분기별, 반년도별, 연도별 통계를 제공한다. 정보요청의 유형별 구분은 이용자의 신원정보만을 취득하는지(우리나라와 비교하자면, “통신자료제공”) 이용자의 통신내역만을 취득하는지(“통신사실확인”), 이용자의 통신내용을 취득하는지(“전기통신 압수수색”), 또는 이용자의 장래의 통신내용까지 보고받도록 하는지(“감청”) 등에 따라 이용자의 권리보장의 정도가 달라지며 또 이러한 정보요청의 법적 성격이 법원감청명령(wiretap order), 수색영장(search warrant), 저장정보에 대한 일반법원명령(Section 2703 order), 외국정보감시법원명령(Foreign Intelligence Surveillance Court order)과 같이 사법적 통제가 있는가 또는 소환장(subpoena), 국가안보서한(National Security Letter)6 등과 같이 사법적 통제가 없는가에 따라 이용자의 절차적 권리보호도 달라지므로7 투명성보고는 얼마나 이를 자세하게 분류하는가에 따라 질적 평가가 달라진다.8

또 보고자가 누군가에 따라서 투명성보고서의 범위도 달라진다. 구글, 트위터, 야후는 감시에 대한 투명성뿐만 아니라 검열에 대한 투명성보고도 시행하여 예를 들어 특정 게시물에 대한 삭제 및 차단 요청 또는 그 게시물을 검색에서 배제해달라는 요청에 대해서도 보고한다. AT&T나 버라이존의 경우 ‘게시물’이 존재하지 않으므로 ‘검열투명성보고’가 적용되지 아니한다. 이와 달리 통신사도 정보회사도 아닌 애플이나 마이크로소프트의 경우에는 가입자정보 확인이 주를 이루되 클라우드 보관정보에 대한 요청도 포함한다.

 

소송

페이스북은 2013년 7월 381개의 페이스북 비공개 계정의 정보를 뉴욕주 검찰에 제공하라는 뉴욕법원의 압수수색영장을 받게 되자 이 영장에 대한 항고소송을 제기하였다.9 당시 수사기관은 이들 페이스북 이용자들의 보험사기 혐의를 조사하고 있었으며 이들이 비공개 계정에 올린 건강한 모습의 사진들을 증거로 취득하고자 하였다. 페이스북은 영장에 작성기간에 대한 제한이 없어 범죄와 무관한 정보들까지 취득할 수 있으며 수사기관이 그렇게 취득한 정보를 무한정 보관하는 것은 프라이버시를 과도하게 침해하는 것이라고 주장하였으나 1심에서 패소 후 항소하였으나 항소심에서 집행정지가처분신청이 기각되고 수사기관이 법원모독명령에 대한 신청을 접수한 후10 영장이 요구하는 정보를 제공하였고 결국 2014년 6월 60여명이 기소되었다. 페이스북은 정보제공이 이미 이루어져 소의 이익이 상실된 이후에도 “모든 정보제공요청은 협소하게 재단되고 수사에 비례성이 있어야 하며 엄격한 사법통제 하에 있어야 하며. 물리적 증거에 대한 영장과 마찬가지로 디지털정보에 대한 영장도 범위가 구체적이고 협소해야 한다”며 ‘기 제공된 정보를 반환받기 (편집자 해설 – 검찰이 정보를 폐기하도록 하기) 위해’ 항소를 속개한다고 밝혔다.11

페이스북의 이와 같은 공격은 일정한 성과를 나았다. 페이스북은 1심에서부터 영장에 대해 페이스북 이용자들에게 통지하려고 하였으나 검찰 측이 요청하여 얻은 법원명령에 의해 통지하지 못하여 왔고 2014년6월 항소변론서가 제출되자 검찰은 이 명령신청을 철회하여 이 명령이 해제되었고 모든 페이스북이용자들에게 정보제공사실을 통지하였고 이 사건 자체에 대해서도 공개할 수 있게 되었다.

구글, MS, 트위터, 링크드인 등 10여개 회사들이 페이스북의 항소와 이용자통지요청에 대해 지지서면을 제출하였다.12

야후는 2007년부터 에드워드 스노든이 2013년에 폭로했던 NSA의 프리즘프로그램에 대해 정면으로 반대하는 소송을 제기했고 이 소송은 법원의 공개금지명령에 따라 비밀로 유지되어 오다가 야후가 2014년9월에 이 공개금지명령에 대한 해제요청을 인용 받음으로써 세상에 밝혀지게 되었다.13 프리즘프로그램 이전에는 NSA는 개별대상에 대해서 통신내역을 취득하는 명령(우리나라의 통신사실확인자료 취득에 해당)을 외국정보감시법원에서 발부받아왔으나 이번에는 처음으로 NSA측에서 국외자들의 것이라고 주장하는 수많은 숫자의 이메일주소들에 대하여 한꺼번에 통신내역을 취득하는 명령을 발부받았던 것이다.14 외국정보감시법은 “외국세력이나 외국세력의 요원에 의해 이용되고 있을 개연성이 있는 통신매체(계정)”에 대해서는 매우 낮은 사법심사를 통해 감시될 수 있도록 허용하고 있었는데, 2007년 부시정부는 법개정을 추진하여 바로 “외국세력 또는 그 요원에 의해 이용되고 있는가”에 대해 개연성이 아니라 합리적인 근거만으로도 외국정보감시법원 하의 감시명령이 발부될 수 있도록 하였다. 이에 따라 NSA측은 특정되지 않은 다수 국외자들의 이메일주소들에 대해서는 통신내역을 취득하는 명령을 받았던 것이고 바로 이것이 프로그램이었던 것이다. 야후는 미국헌법 상 내국인(미국인)에 대해서는 외국정보감시법에 따른 절차가 적용되기 위해서는 최소한 “외국세력 또는 그 요원이 감시대상 매체(계정)를 이용하고 있다는 개연성”이 있어야 한다고 주장하였으나 외국정보감시법원의 상급법원인 외국정보감시항소법원은 이를 거부하였고 야후는 어쩔 수 없이 프리즘프로그램에 참여하게 되었던 것이다.15

MS는 2013년 12월 아일랜드의 데이터서버에 있는 미국인의 정보에 대한 압수수색영장이 발부되자 해외에 있는 유체물에 대해 미국법원의 압수수색 영장이 효력이 없듯이 해외에 있는 정보에도 효력이 없다는 소송을 제기하였고 1심에서 패소한 상태이나16 MS는 끝까지 항소하겠다고 밝혔다.17

MS는 2014년5월에 자신의 클라우드서비스 고객회사의 개별고객 1인에 대한 정보를 FBI가 요청한 것에 대하여 소송을 제기하였고 FBI는 이 정보요청을 철회하였다.18 MS는 2013년12월에 “이용자정보를 제공하라는 명령을 받으면 그 이용자에게 통지하겠다”고 선언한 바 있으며19 FBI는 정보요청서에 이용자통지를 금하는 조건을 부과했기 때문이다. MS는 수사의 필요는 항상 “수사기관이 직접 클라우드고객회사로부터 직접 취득하거나 또는 우리가 클라우드고객회사의 동의를 얻어 제공하는 방식”으로 제공이 가능하다는 원칙을 고수하고 있다.

트위터는 2014년9월 외국정보감시법원 영장과 국가안보서한의 숫자를 정확하게 밝힐 수 있도록 해달라며 법무부 상대로 소송을 제기하였다.20 이는 2013년 상반기에 MS, 구글을 포함한 5개 회사가 법무부 상대로 소송을 제기하여 2014년1월에 법무부와 합의21함으로써 각각의 숫자를 1,000단위로 또는 두 가지 유형을 합하여 250 단위로 공개할 수 있게 되었으나 트위터는 이 합의에 불참하면서 제기된 소송이다.

이외에도 위에 열거된 각 회사들의 투명성보고 페이지를 보면 각 회사가 개별적으로 영장의 범위를 축소한다거나 이용자통지를 위해 국가를 상대로 크고 작은 소송을 제기하고 있음을 알 수 있다.

 

입법 활동

2013년12월 AOL, 애플, 페이스북, 구글, 링크드인, MS, 트위터, 야후는 “정부감시를 개혁하라(Reform Government Surveillance)”라는 제하의 홈페이지22를 개설하고 대통령과 의회에 다음의 다섯 가지 원칙을 지켜줄 것을 요구하였다(에버노트와 드롭박스는 2014년 후반에 이 연대체에 합류한다).

첫째 수사상의 필요와 이용자 권리 사이의 균형을 존중하는 감시규제를 제정하되 감시는 반드시 특정되어 있는 당사자에 대해서만 이루어져야 한다. 즉 NSA의 프리즘프로그램과 같이 대상을 구체적으로 특정하지 않고 단순한 공통점을 가진 수많은 사람들에 대해서 한꺼번에 정보요청을 하는 것은 금지해달라는 것이다. 우리나라로 보면 일종의 기지국수사에 대응되는 형태의 수사의 금지를 요청한 것으로 볼 수 있다.

둘째 감시는 사법적 통제가 있어야 하며 이 사법절차는 당사자주의(adversarial)적일 것을 요청하고 주요결정들은 신속하게 공개되어 사법적 판단 자체도 국민의 감시 하에 놓여야 한다. 비밀리에 결정을 내리는 “외국세력에 대한 감시”를 관장하는 외국정보감시법원(Foreign Intelligence Surveillance Court, 줄여서 FISC)을 염두에 둔 것인데 당사자주의의 의미는 원래 “일방적으로(ex parte23 )” 이루어지는 FISC재판에 피감시자의 이익을 대변할 변호인24 을 상설할 것을 요청한 것이다. 우리나라의 경우 “반국가활동의 혐의가 있는 외국인”(통신비밀보호법 제7조)에 대해서는 대통령의 승인만으로 감청이 가능하도록 되어 있어 현행법 비교만으로도 훨씬 열악하게 되어 있다.

셋째 사업자들이 자신에게 접수되거나 자신이 수행한 정보제공의 통계를 공개하는 것을 정부가 규제하지 않아야 하며 정부 스스로도 그 통계를 공개해야 한다.

넷째는 국가 간 정보이전의 자유를 보장하라는 것으로서 서버를 국내에 위치시키라는 등의 요구에 대해 반대하는 것인데 국내에 위치한 서버는 해당 국가 정부에 의한 감시행위에 기속되기 때문이다. 미국에는 일반적인 개인정보보호법이 없기 때문에 이와 같은 요구는 불필요하다. 외국의 개인정보호법이 이러한 규정을 두지 않도록 미국이 외교적 노력을 경주해줄 것을 요청하는 취지로 이해된다.

다섯째 원칙은 국경을 넘어선 정보제공요청에 대해서는 형사공조조약(mutual legal assistance treaty)에 따라 처리해 달라는 것이다. 이는 외국정부가 미국 내 기업들에게 이용자정보에 대한 압수수색영장을 제시하면 미국 내 기업들은 우선 거부를 한 후 형사공조조약을 따를 것을 요청하여온 관행을 그대로 인정해달라는 것이다. 형사공조조약에 따르면 외국 중앙집중기구(Central Authority)에 해당하는 미국연방법무부에 외국수사기관이 압수수색영장 등을 제시하면 미국법무부가 이 영장이 타당하다고 판단하면 스스로 미국법원에서 영장을 발부받아 미국 내 기업에 제시하여 이를 집행한다. 이 원칙은 역으로도 작동하는데 즉 미국법원이 미국 내 기업에 해외서버에 저장해둔 이용자정보에 대해 발부한 압수수색영장 역시 그 서버가 위치한 법원의 영장에 의해서만 압수수색이 이루어질 수 있도록 해달라는 것이다.

—————————————————

  1. https://www.eff.org/who-has-your-back-2014 [본문으로]
  2. 우리나라의 대응되는 조항들과 비교하자면, 통신비밀보호법 제11조 제1항 및 제13조의5는 감청과 통신사실확인에 대해 그와 같은 통지를 금지하고 있다. 이는 감청과 통신사실확인은 장래에 통신당사자에 의해 생성될 정보를 취득하는 행위이기 때문에 사전에 통신당사자에게 통지가 이루어질 경우 수사 자체가 무산되기 때문이며, 대신 국가가 사후에 통지하도록 의무화하는 조항을 두고 있다. [본문으로]
  3. 우리나라의 대응되는 조항들과 비교하자면, 통신비밀보보호법에는 감청, 통신사실확인, 전기통신 압수수색 3가지 감시행위에 대해서 국가가 사후에 통지하도록 의무화하는 조항을 두고는 있지만 전기통신 압수수색에 대해서는 통신사업자가 국가의 사후통지 이전에 또는 이와 무관하게 통지하지 못하도록 하는 규정은 형사소송법, 통비법 어디에도 존재하지 않는다. 이는 압수수색이 완료되면 증거인멸 가능성은 사라지기 때문에 통신사업자가 사후에 통지하더라도 수사에 방해가 되지 않기 때문으로 추측된다. 물론 같은 논리라면 “과거의 통신사실확인” – 기술적 산업적으로 가능하다면 “과거의 통신내용취득(감청)”의 경우에도 –에 대해서도 통지금지조항이 적용될 필요가 없겠지만 이에 대해서는 입법체계 상의 정비가 필요해 보인다. [본문으로]
  4. 우리나라 사업자들이 사후통지를 하지 않는 이유는 물론 통비법이 전기통신의 압수수색에 대해 국가가 사후통지 의무가 있으므로 이보다 앞서할 경우 국가의 사후통지가, 뒤에 할 경우 사업자의 통지가 중복적이 되기 때문인 것으로 파악되지만 이용자보호 측면에 있어서는 중복적이라 할지라도 통지를 하는 것이 올바를 것으로 보인다. 특히 국가에 의한 사후통지가 법이 요구하는 대로 제대로 이루어지는 비율이 매우 낮다.

    “경찰, 통신자료 확인 후 당사자 통지 38.5%에 불과”, 연합뉴스 2014년 10월 19일, available : http://www.yonhapnews.co.kr/society/2014/10/19/0701000000AKR20141019054000004.HTML

    이와 관련하여 보다 장기적인 논의를 필요로 하는 논점은 다음과 같다. 정보와 관련되어 사업자의 이용자보호는 개인정보보호법에 의해 규율되고 있는데 개인정보보호법은 적법한 수사기관의 요청 등에 대해서는 정보주체의 동의 없이 정보제공을 할 수 있다고만 되어 있을 뿐 “통지”에 대해서는 아무런 규정이 없다. 이는 다른 나라의 개인정보보호법들도 마찬가지인데 최초 입법을 할 때 발생한 불비로 보이며 동의 없이 정보제공을 하는 경우에도 통지는 해야 하는 방식으로 개정이 필요할 것으로 예상된다. [본문으로]

  5. http://m.mt.co.kr/renew/view.html?no=2013041613428298059 [본문으로]
  6. 국가안보서한에 대한 자세한 설명 및 2013년부터 진행되고 있는 국가안보서한 제도에 대한 위헌소송에 대해서는 http://www.wired.com/2013/03/nsl-found-unconstitutional  [본문으로]
  7. 각종 정보요청의 유형에 대한 자세한 소개는 박경신, <표현 통신의 자유>, 논형 (2013), 제18장 및 제19장 참조 [본문으로]
  8.  http://oti.newamerica.net/sites/newamerica.net/files/articles/Transparency_categories_chart_022614.pdf [본문으로]
  9. http://www.bbc.com/news/technology-28055909 [본문으로]
  10. http://newsroom.fb.com/news/2014/06/fighting-bulk-search-warrants-in-court/ [본문으로]
  11. 전게서 [본문으로]
  12. http://www.bbc.com/news/technology-28739329 [본문으로]
  13. http://yahoopolicy.tumblr.com/post/97238899258/shedding-light-on-the-foreign-intelligence [본문으로]
  14. http://gizmodo.com/the-nsa-was-going-to-fine-yahoo-250k-a-day-if-it-didnt-1633677548 [본문으로]
  15. Yahoo!‘s Brief of Appellant in Case No.08-01, Yahoo! v. U.S., filed in Foreign Intelligence Surveillance Court of Review on May 29, 2008, available : https://cdt.org/files/2014/09/1-yahoo702-brief.pdf  [본문으로]
  16. http://www.mondaq.com/x/314792/disclosure+electronic+discovery+privilege/Long+arm+of+US+Law+US+Microsoft+Ruling+and+the+implications+for+Irish+Data+Centres ; http://www.siliconrepublic.com/enterprise/item/37212-microsoft-vs-us-govt-legal [본문으로]
  17. http://blogs.microsoft.com/on-the-issues/2014/06/04/unfinished-business-on-government-surveillance-reform/ [본문으로]
  18. http://www.siliconrepublic.com/enterprise/item/37009-microsoft-successfully-chal; http://blogs.technet.com/b/microsoft_on_the_issues/archive/2014/05/22/new-success-in-protecting-customer-rights-unsealed-today.aspx [본문으로]
  19. http://blogs.microsoft.com/blog/2013/12/04/protecting-customer-data-from-government-snooping/ [본문으로]
  20. http://www.washingtonpost.com/world/national-security/twitter-sues-us-government-over-limits-on-ability-to-disclose-surveillance-orders/2014/10/07/5cc39ba0-4dd4-11e4-babe-e91da079cb8a_story.html [본문으로]
  21. http://www.washingtonpost.com/business/technology/us-to-allow-companies-to-disclose-more-details-on-government-requests-for-data/2014/01/27/3cc96226-8796-11e3-a5bd-844629433ba3_story.html  [본문으로]
  22. http://reformgovernmentsurveillance.com [본문으로]
  23. 양 당사자가 없이 일방 즉 여기서는 NSA등의 수사기관의 주장만 청취하여 결정하는 절차를 통틀어 이르는 형용어 [본문으로]
  24. http://www.blumenthal.senate.gov/newsroom/press/release/blumenthal-unveils-major-legislation-to-reform-fisa-courts [본문으로]
저자 : 박경신

고려대학교 법학전문대학원 교수