5 Eyes 정보 감시 동맹
글로벌 정보 감시 동맹 중 파이브 아이즈부터 포틴 아이즈는 미국과 영국을 주축으로 한 글로벌 정보감시동맹입니다.
온라인 활동을 감시당하는 게 기분이 좋진 않지만 테러나 사이버 위협에 대응을 위한 거라면 어느 정도 수용은 불가피한 것 같습니다.
5 Eyes(파이브 아이즈)
5 Eyes(Five Eyes)는 뉴질랜드, 미국, 영국, 캐나다, 호주로 구성된 정보 동맹인데요.
이들 국가는 신호정보 공동협력을 위한 다자간 UKUSA 공식 협정의 당사국입니다.
이 동맹은 2차 대전 이후 형성된 가장 긴밀한 정보 공유 네트워크로, 회원국들은 서로의 시민들을 감시하고 정보를 교환할 수 있습니다. 회원국들은 이 협정을 자국 시민들을 감시하는 수단으로 활용할 수 있는데요.
1946년 UKUSA 협정(UK-USA Agreement)을 기반으로 성립됐으며, NSA(미국), GCHQ(영국), CSE(캐나다), ASD(호주), GCSB(뉴질랜드) 등 국가 정보기관 간 법률적 협력을 기반으로 신호정보(SIGINT) 공유합니다.
상호 간 최상의 신뢰도를 자랑하며, 실시간으로 기술 인프라 등을 전면적으로 공유합니다.
필요에 따라 공동작전도 수행하고, 민간 감시 수준도 상당히 높습니다.
2013년 에드워드 스노든의 폭로로 대중에게 널리 알려졌는데 감청, 이메일이나 인터넷 감시, 위성통신 도청 등 광범위한 디지털 감시 활동 수행하고 있습니다.
9 Eyes(나인 아이즈)
9 Eyes(Nine Eyes)는 5 Eyes에 노르웨이, 네덜란드, 덴마크, 프랑스 4개국이 추가된 확장 동맹인데요.
공식적인 조약은 없고, 5 Eyes보다 낮은 등급의 정보 공유 파트너들입니다.
군사 및 SIGINT 관련 협력 확대를 위한 비공식 다자 정보 공유체계로 5 Eyes 내부 문서에 따르면, 이들 국가는 2차 협력 파트너로서 일부 감시 데이터에 접근할 수 있지만 5 Eyes처럼 전면적인 데이터 공유는 아니라고 밝혔습니다.
상호 협력 수준의 중간 신뢰도를 가지며, 기술 인프라는 일부 공유하고 있습니다.
제한적인 공동작전을 수행하며, 민간 감시 수준은 자세히 알려진 바가 없습니다.
주로 군사/보안 협력을 위주로 하고 있습니다.
프랑스는 기술적으로 강력한 정보기관(DGSE)을 보유하고 있지만 5 Eyes에 들어가지 않았던 이유는 미국과 영국 중심의 구조에 대한 경계심 일부만 협력하는 것으로 전문가들은 보고 있습니다.
14 Eyes(포틴 아이즈)
14 Eyes(Fourteen Eyes)는 9 Eyes에 독일, 벨기에, 스웨덴, 스페인, 이탈리아가 추가된 동맹인데요.
미국 NSA가 주도하여 1980년대부터 형성됐습니다.
구 소련 감시를 위한 냉전시대의 협력에서 출발했고, 현재는 테러, 사이버 위협, 조직범죄, 군사 첩보 관련 정보 공유에 중점을 두고 있습니다.
테러나 사이버 위협 대응 정도의 동맹으로 상호 신뢰도가 높지 않으며, 기술 인프라 공유는 거의 없습니다.
국가 간 자율성과 독립성을 유지해 공동작전은 드물고, 민간 감시 수준 또한 낮은 편입니다.
스노든이 공개한 문서에 이 그룹의 정식 명칭은 SSEUR(SIGINT Seniors Europe)로 언급되었습니다.
주요 특징과 영향
5, 9, 14 Eyes 동맹은 디지털 통신을 감시하는 국제 정보 공유 네트워크로 이들 국가는 종종 국내 개인정보보호법을 우회하여 정보를 공유함으로써 인터넷 트래픽, 전화 통화, 메타데이터에 대한 감시 능력을 가지고 있습니다.
이들 동맹은 국경을 넘나드는 협조적 정보 수집을 위한 법적 프레임워크를 제공하는 가장 크고 중요한 협정들입니다.
이러한 동맹들은 각국의 개인정보보호와 프라이버시에 중요한 영향을 미치며, 특히 VPN 서비스나 온라인 프라이버시 보호를 고려할 때 해당 서비스 제공 업체가 어느 국가에 기반하고 있는지가 중요한 고려 사항이 됩니다.
감시 기술 및 수단
PRISM(프리즘)
국가안보국(NSA, National Security Agency)이 Microsoft, Google, Yahoo, Facebook, YouTube, Skype, Apple, AOL 등 미국 내 대형 IT 기업들의 서버에 직접 접근하여 서버에서 이메일, 첨부 파일, 화상 통화, 소셜 미디어 기록 등을 수집.
Foreign Intelligence Surveillance Act (FISA) 수정법 (2008)을 법적 근거로 하여 감시.
주로 미국 NSA가 수집된 정보를 활용하고, 일부 정보는 5 Eyes 국가와 공유.
XKEYSCORE(엑스키스코어)
미국, 호주, 독일, 그리고 포틴 아이즈에 포함되어 있지 않는 일본 등이 거의 실시간 전 세계 인터넷 활동을 검색 및 분석할 수 있는 도구.
일반 시민을 포함한 이메일, SNS 활동, 브라우저 기록, 검색어 입력까지 추적.
특정 IP, 키워드, 언어로 검색 가능.
(ex: “무정부주의” 입력 시 감시 대상 등록 가능)
TEMPORA(템포라)
영국 GCHQ가 해저 광케이블을 도청해 메타데이터와 콘텐츠를 수집.
유럽 대서양 해저 광케이블(BT, Vodafone 등 협조)
모든 통신을 일시 저장 후 NSA와 공유.
하루 수페타바이트(1PB = 1,000TB) 규모 수집.
ECHELON(에셜론)
위성, 무선, 마이크로파, 해저 케이블 등을 감시하는 글로벌 통신 감청 시스템.
냉전 시절 소련 감시 목적으로 시작해서 민간 감시로 확대.
키워드 기반 통신 자동 감시 (“폭탄”, “이슬람”, “탈레반” 등)
UPSTREAM(업스트림)
미국 내 인터넷 백본(통신사 레벨)을 NSA가 감청하는 프로그램
AT&T 등과 협력하여 광케이블 네트워크 상 데이터 직접 수집
하위 구성 프로그램으로 FAIRVIEW (AT&T 협력), STORMBREW (Verizon 협력), OAKSTAR (다국적 협력자)
FIVE-EYES CLOUD(파이브 아이즈 클라우드)
공동 데이터 저장소 및 분석 도구(비공개)
미국과 유럽 간 갈등
에드워드 스노든 폭로 사태 이후 신뢰 붕괴
2013년 독일 총리 앙겔라 메르켈의 휴대폰 감청 사실이 공개되며 독일 정보기관이 NSA 협력 중단 요구.
EU GDPR vs 미국 감시체계의 충돌
유럽은 개인정보 보호(GDPR)를 법적으로 강화했지만 미국은 국가 안보 예외 조항을 통해 감시 가능한데요.
미국과 유럽연합(EU) 간의 개인정보 이전을 규율하는 EU-US 프라이버시 실드(Privacy Shield) 협약은 2020년 7월 16일, 유럽사법재판소(CJEU)에 의해 무효화되었습니다. 이 판결은 ‘Schrems II’ 사건으로 알려져 있으며, 주요 이유는 미국의 감시법과 관행이 EU 개인정보보호법(GDPR)에서 요구하는 개인정보 보호 수준을 충족하지 못한다는 점이었습니다.
프라이버시 실드 무효화 배경
미국의 광범위한 감시 프로그램 : 유럽사법재판소(CJEU)는 미국 정보기관이 EU 시민의 개인 정보에 대해 필요한 범위와 비례성을 넘는 감시를 할 수 있다고 판단했습니다.
법적 구제 수단 부재 : EU 시민들이 미국 법원에서 미국 정부의 감시에 대해 실질적인 권리 구제를 받기 어렵다는 점도 문제로 지적됐습니다.
감시 관련 옴부즈퍼슨 제도의 한계 : 프라이버시 실드 내 옴부즈퍼슨의 독립성과 권한이 충분하지 않다고 판단했습니다.
이로 인해 프라이버시 실드를 통한 EU에서 미국으로의 개인정보 이전은 법적 근거를 상실했고, 기업들은 표준 계약 조항(Standard Contractual Clauses, SCCs) 등 다른 수단을 엄격한 조건 하에서 사용해야 했습니다.
이후 조치와 새로운 협정
2023년 7월, 유럽연합 집행위원회는 미국과 새로운 개인정보 이전 협정인 EU-US 데이터 프라이버시 프레임워크(Data Privacy Framework)에 대해 적정성 결정을 내렸습니다. 이 결정은 미국이 국가 안보 목적의 데이터 접근을 필요한 범위 내로 제한하고, EU 시민들이 미국 정보기관의 부적절한 데이터 수집에 대해 독립적이고 효과적인 구제 절차를 이용할 수 있도록 보장하는 내용을 포함합니다.
미국 대통령의 행정명령과 법무부 규정 등도 이 새로운 체계의 핵심 요소로, 미국 내 감시 활동에 대한 새로운 구속력 있는 보호장치를 마련했습니다.
이 협정은 GDPR에 따른 EU 시민 개인정보 보호 수준과 동등한 보호를 제공한다고 인정되어, 미국 기업과의 데이터 이전이 다시 합법적으로 가능해졌습니다.
마치며...
에드워드 스노든의 폭로는 당시 전 세계에 큰 충격을 주는 사건이었는데요.
애플과 구글 등이 종단 간 암호화를 확대하고, Tor(토르), Signal(시그널) 등 프라이버시와 관련된 기술이나 앱이 알려지는 계기가 됐습니다.
만약 영국이 EU를 탈퇴하지 않았다면 영국 GCHQ가 이를 감시하고 미국에 전달하는 방식으로 제3국 감시 우회 문제가 발생했을 거고, 미국은 영국을 통해 자국민을 영국은 미국을 통해 EU 감시하는 사태가 발생했을 수도 있었겠네요. 😂