@import url(http://act.jinbo.net/newsletter/newsletter.css);
CISPA의 정부 접근 구멍
|
---|
사이버 첩보 공유 및 보호법 – CISPA, 소위 “사이버 보안”법 – 이 국회로 돌아왔다. 전에도 말했지만, 이 법안은 프라이버시 문제로 논란이 되고 있는 바, 우리는 관심있는 이용자들이 자기 지역 국회의원들에게 법안을 반대하라는 메일을 보낼 것을 촉구한다.
이 법안의 문제점 상당부분은 모호한 용어에 기인한다. 특히 위험한 조항 중 하나는 기업들이 정보를 입수하고 공유할 수 있도록 고안된 조항으로, 이 조항은 기업 단위를 넘어설 수 있도록 광범위하게 초안이 마련되어 정부가 접근할 수 있는 구멍을 허용하고 있다.
‘정부접근구멍(Government Access Loophole)’이란 무엇인가?
법안은 “사이버 보안 제공자”와 “자기방어기관”에 새로운 권한을 부여하고 있는데, 정부가 “사이버 보안 제공자”로 간주될 가능성은 명확하게 배제하고 있다. 그러나 서술상의 불일치로 정부가 “자기방어 기관”의 정의에 충분히 포함될 수 있으며 CISPA가 부여하는 추가적인 많은 권한을 획득할 수도 있다.
이는 이 법상 “사이버 보안 제공자”가 “비-정부 기관”이어야만 하지만, “자기방어 기관” 혹은 “보호받는 기관”의 정의가 이러한 제한을 가지고 있지 않기 때문이다. 이러한 정의가 중요한 이유는, 당신의 정보를 획득하고 전달하는 CISPA의 권한을 누가 행사하도록 할 것인지를 규정하기 때문이다.
‘구멍’이 무엇을 의미하는가?
CISPA의 취지는 기업들에게 추가적인 권한을 주려는 것이지만, 이러한 정의 하에서 정부 또한 CISPA에 의해 부여되는 새로운 권한 일부를 주장할 수 있다는 것에 대해 우리는 우려하고 있다. 즉, “사이버 보안 목적”으로, 정부가 자신의 “권리 및 재산을 보호하기 위해 사이버 위협에 대한 정보를 식별하고 취득하는 사이버 보안 시스템을 이용”할 수 있도록 한 것이다.
실질적 측면에서, 그러한 “사이버 보안 시스템”이 정확히 어디까지 포괄하는지는 명확하지 않다. 모호한 정의 하에, 그러한 “시스템”은 포트 스캐닝 (port-scanning) 과 같은 기본적인 방어 소프트웨어 도구로부터 더 공격적이고 공세적인 대응조치까지 아우를 수 있다. 용어에 대한 더 자세한 내용은 FAQ를 참고하기 바란다.
만일 “사이버 보안 시스템”이 공격적인 대응조치 도구까지 포함한다면, 이 문구는 특히 위험하다. 왜냐하면 정부가 국내 사이버 보안 무기를 더 확장하는데 이것을 사용할 수 있기 때문이다. 일례로 정부는 연방 정부 네트워크에 대한 위협을 식별하고 그 정보를 기술자에게 전달하는 소프트웨어인 EINSTEIN을 이미 사용한 바 있다. 정부가 자기방어 기관으로 간주된다면, 위협 정보를 식별하고 취득하기 위해서 뿐만 아니라 무고한 이용자의 컴퓨터를 손상시킬 수 있는 공세적인 공격에
구멍에 대한 협소한 제한
법안은 물론 이 같은 잠재적인 정부의 권한을 제한하고 있다. 이 법안은 정부가 통제하는 “사이버 보안 시스템”이 “민간영역의 시스템 혹은 네트워크를 보호하기 위해 그러한 시스템이나 네트워크에 이용되는 것”을 허용하지 않고 있다. 그러나, 그것은 단지 한 가지 유형의 정부에 의한 남용만을 제한하고 있으며, 다른 유형의 구멍은 남겨놓고 있다. 다른 민간영역 시스템 혹은 네트워크를 보호하기 위해 “사이버 보안시스템”을 사용하는 것은 어떻게 되나? 혹은 공공영역의 시스템이나 네트워크를 보호하기 위해서는? 주정부가 소유하고 있는 “사이버 보안 시스템”은 어떠한가?
수정헌법 4조(*)는 정부가 CISPA의 권한을 사용할 가능성을 제한한다. 그러나 이 법안은 여전히 헌법적으로 위험한 함의를 가지고 있다. 정부는 사이버 위협 정보에 “기반한 (어떠한) 결정”에 대해 광범위한 법적 면책을 부여받을 수 있기 때문이다. 그리고 CISPA의 “그럼에도 불구하고(notwithstanding)” 조항은 (정부 기록의 개인정보를 보호하기 위한) ‘프라이버시법’과 (정부기록의 자동화된 결합의 이용을 제한하는) ‘컴퓨터연결 및 프라이버시보호법’과 같은 정부관련 프라이버시보호법률들을 무력화할 수 있다.
현재 상태로서는, CISPA가 위험하게 모호하다. 일련의 잘못 기술된 정의를 통해 정부의 권한을 확장하도록 허용해서는 안된다. 당신의 사적 정보를 검사할 수 있는 광범위한 능력을 이미 가지고 있는 정부에게 새로운 권한을 줄 의도로 이 법안이 입안되었다면, 입안자들은 우리가 실질적인 토론을 할 수 있도록 명확하고 분명한 용어를 제안해야만 한다.
그 때까지 우리는 인터넷 이용자들이 이 법안에 대한 반대에 동참하기를 촉구한다.
(*)역주: 국민의 사생활 침해를 막는 법을 제정해 놓은 것으로, 부당한 수색, 체포, 압수에 대하여 신체, 가택, 서류 및 동산의 안전을 보장받는 국민의 권리는 침해될 수 없다는 것을 기본 골자로 하고 있다.
|
2013-03-30