2016년 1월 11일, 진보네트워크센터를 포함한 세계 171개 시민사회 단체, 기업, 개인들이 세계 각 국의 지도자들에게 강력한 암호화를 지지할 것과 디지털 보안을 약화시킬 수 있는 법, 정책, 명령 등을 거부할 것을 촉구하는 서신을 발송했습니다. 이 서신은 더 많은 단체 및 개인들이 지지할 수 있도록 홈페이지를 통해 공개되어 있습니다.
https://www.SecureTheInternet.org
파리 테러를 전후하여 프랑스, 인도, 영국, 중국, 미국 등 정부들은 강력한 암호화를 훼손하는 법률이나 정책 제안을 내놓고 있습니다. 한국 정부 역시 예외가 아닙니다. 통신사 및 SNS 등 인터넷서비스 사업자들에게 감청설비 구비를 의무화하는 통신비밀보호법 개정안(서상기 의원안 및 박민식 의원안)이 이미 국회에 계류되어 있습니다. 법률안에 ‘암호화’와 관련한 명시적 표현이 있는 것은 아니지만, 감청설비 구비를 의무화하면 사실상 카카오와 같은 SNS 서비스 사업자들은 ‘비밀채팅’과 같은 종단간 암호화 서비스를 이용자들에게 제공할 수 없게 될 것입니다. 또한, 한국 정부는 사이버 테러방지법 제정을 통해 국정원에게 민간 네트워크를 상시 사찰할 수 있는 길을 열어주고자 하고 있습니다. 국정원은 RCS라는 해킹 프로그램을 불법적으로 이용하여 민간을 사찰했다는 의혹을 받고 있으나, 국정원에 대한 사회적인 감독은 미약한 상황입니다.
정보 수사기관이 이용자의 통신에 언제든지 접근할 수 있도록 하기 위해 감청설비 구비를 의무화하거나 암호화에 “백도어”를 설치하라는 요구는 흔히 범죄 수사나 테러 방지라는 명분 하에 이루어지고 있지만, 보안 전문가들은 이러한 요구는 테러 방지에는 효과가 없는 반면, 오히려 온라인 상에서 이용자의 보안과 안전을 위협할 것이라고 얘기합니다. 실제 범죄자들은 다른 강력한 보안 수단을 사용할 수 있는 반면, 취약점이 있는 기술은 수사기관 뿐만 아니라 범죄자들에게도 이용되어 일반 이용자들의 보안과 안전을 위협할 수 있기 때문입니다.
유엔 표현의 자유 특별보고관인 데이비드 케이는 “암호화와 익명성, 그리고 그 이면의 보안 개념은 디지털 시대의 의사 표현의 자유권을 행사하는데 필요한 프라이버시와 보안을 제공한다”고 지적한 바 있습니다. 정부와 국회가 진정으로 시민들의 인권과 사이버 보안을 원한다면, 감청설비 의무화법이나 테러방지법 제정을 중단하고, 여전히 실명을 강제하는 국내 법률을 정비하는데 노력해야 할 것입니다.
이 서신은 국제 정보인권단체인 Access Now에 의해 조직이 되었으며, 세계 각 국의 지도자들에게 전달될 것이라고 합니다. 또한, 이에 찬성하시는 분들은 홈페이지를 통해서 연명하실 수 있습니다.
아래는 이 서신의 전문입니다.
별첨자료. 세계 각 국의 정부 지도자들에게 보내는 공개 서신
세계 각 국의 정부 지도자들에게 보내는 공개 서신
우리는 여러분이 보안 통신 도구와 기술의 개발 및 이용을 지원하고, 강력한 암호와의 사용을 금지하거나 저해하는 정책을 거부하며, 다른 지도자들도 그렇게 하도록 촉구함으로써 여러분의 시민, 경제, 그리고 정부를 보호할 것을 촉구합니다.
암호화 도구, 기술, 서비스들은 피해를 방지하고, 무단 접근으로부터 디지털 기반 시설과 사적인 통신을 보호하기 위해 필수적입니다. 자유롭게 암호화를 개발하고 사용할 수 있는 능력은 오늘날 세계 경제의 주춧돌입니다. 디지털 시대에 경제 성장은 국내 및 국경 간 모두에서, 신뢰하고 우리의 거래를 인증하며 통신하고 사업을 수행하는 것을 안전하게 할 수 있는 능력에 의해 가능해지게 됩니다.
최근 일부 저명한 기술자들과 전문가들은 암호화를 약화 시키는 법이나 정책이 “인터넷을 보다 안전하게 하기 위해 현재 확산되고 있는 좋은 관행으로부터 후퇴할 것을 강요”하고, “시스템의 복잡성을 상당히 증가 시키고” 관련 비용을 높이며, “집중화된 목표물을 만들어서 나쁜 사람들을 유인하게 될 것”이라고 설명합니다. 암호화가 되지 않는다면, 범죄자나 다른 악의적인 사람들이 금융 정보나 신원 정보를 포함한 민감한 개인정보에 더 쉽게 접근할 수 있게 됩니다. 한번 획득된 민감한 정보들은 팔리거나, 공개될 수 있고, 사람들을 협박하거나 난처하게 만드는데 이용될 수 있습니다. 또한, 암호화가 미흡한 기기나 하드웨어는 범죄자들의 주된 목표물입니다.
유엔 표현의 자유 특별보고관은 “암호화와 익명성, 그리고 그 이면의 보안 개념은 디지털 시대의 의사 표현의 자유권을 행사하는데 필요한 프라이버시와 보안을 제공한다”고 지적했습니다. 우리가 다음 십억 명의 이용자들을 연결하기 위해 나아가고 있는 지금, 한 국가에서의 암호화에 대한 제한은 세계적인 영향을 가질 수 있습니다. 암호화와 다른 익명화 도구와 기술은 법률가, 언론인, 내부 고발자, 조직가들이 국경을 넘어 자유롭게 소통하고 공동체의 향상을 위해 일할 수 있도록 합니다. 그것은 또한 이용자들이 자기 개인정보의 무결성을 보장하고, 개인들이 기업이나 정부, 그리고 서로 인증할 수 있도록 보장합니다.
우리는 여러분이 통신과 시스템의 무결성을 강화함으로써 이용자의 안전과 보안을 지원할 것을 촉구합니다. 모든 정부는 암호화 및 기타 보안 통신 도구 및 기술에 대한 접근을 제한하거나 그것을 저해하는 법, 정책, 혹은 기업과의 비밀 협약을 포함한 여타 명령이나 관행들을 거부해야 합니다. 이용자들은 정부가 정당한 절차와 인권에 대한 존중 없이, 콘텐츠, 통신 기록, 혹은 암호화 키에 강제로 접근할 것이라는 두려움 없이, 단대단 암호화를 포함한, 접근 가능한 가장 강력한 암호화를 이용할 수 있는 선택권을 가져야 하며, 기업들은 그러한 암호화를 제공할 수 있는 선택권을 가져야 합니다.
따라서,
정부는 모든 형태의 암호화에 대한 이용자의 접근을 금지하거나 혹은 다른 방식으로 제한해서는 안되며, 혹은 등급이나 종류에 따라 암호화의 구현이나 이용을 금지해서는 안됩니다;
정부는 도구, 기술, 서비스에 “백도어” 혹은 취약점을 두도록 설계하거나 구현하도록 지시해서는 안됩니다;
정부는 암호화되지 않은 데이터나 암호화 키에 대한 제3자의 접근을 허용하도록 도구, 기술, 서비스를 설계하거나 개발하도록 요구해서는 안됩니다;
정부는 더 높은 수준의 정보 보안을 증진하기 위한 것을 제외하고, 암호화 표준을 약화 시키거나 저해하려고 해서는 안되며, 의도적으로 암호화 표준의 수립에 영향을 미쳐서는 안됩니다. 어떤 정부도 안전하지 않은 암호화 알고리즘, 표준, 도구, 기술들을 지시해서는 안됩니다;
정부는 사적 혹은 공적 계약을 통해 위의 원칙에 부합하지 않는 행위를 하도록 기관에 강요하거나 압력을 행사해서는 안됩니다.
강력한 암호화 및 이에 의존하고 있는 보안 도구와 시스템은 사이버 보안을 개선하고, 디지털 경제를 활성화하며, 이용자를 보호하는데 핵심적입니다. 세계적인 성장과 번영을 위해, 그리고 조직가와 활동가들을 위한 도구로서 인터넷이 계속 역할 하기 위해서는 신뢰할 수 있는 네트워크를 통해 사적이고 안전하게 통신할 수 있는 능력과 권리가 요구됩니다.
더 안전한 미래를 향해 함께 일할 수 있기를 바랍니다.
To the leaders of the world’s governments –
We urge you to protect the security of your citizens, your economy, and your government by supporting the development and use of secure communications tools and technologies, rejecting policies that would prevent or undermine the use of strong encryption, and urging other leaders to do the same.
Encryption tools, technologies, and services are essential to protect against harm and to shield our digital infrastructure and personal communications from unauthorized access. The ability to freely develop and use encryption provides the cornerstone for today’s global economy. Economic growth in the digital age is powered by the ability to trust and authenticate our interactions and communicate and conduct business securely, both within and across borders.
Some of the most noted technologists and experts on encryption recently explained (PDF) that laws or policies that undermine encryption would “force a U-turn from the best practices now being deployed to make the Internet more secure,” “would substantially increase system complexity” and raise associated costs, and “would create concentrated targets that could attract bad actors.” The absence of encryption facilitates easy access to sensitive personal data, including financial and identity information, by criminals and other malicious actors. Once obtained, sensitive data can be sold, publicly posted, or used to blackmail or embarrass an individual. Additionally, insufficiently encrypted devices or hardware are prime targets for criminals.
The United Nations Special Rapporteur for freedom of expression has noted, “encryption and anonymity, and the security concepts behind them, provide the privacy and security necessary for the exercise of the right to freedom of opinion and expression in the digital age.” As we move toward connecting the next billion users, restrictions on encryption in any country will likely have global impact. Encryption and other anonymizing tools and technologies enable lawyers, journalists, whistleblowers, and organizers to communicate freely across borders and to work to better their communities. It also assures users of the integrity of their data and authenticates individuals to companies, governments, and one another.
We encourage you to support the safety and security of users by strengthening the integrity of communications and systems. All governments should reject laws, policies, or other mandates or practices, including secret agreements with companies, that limit access to or undermine encryption and other secure communications tools and technologies. Users should have the option to use – and companies the option to provide – the strongest encryption available, including end-to-end encryption, without fear that governments will compel access to the content, metadata, or encryption keys without due process and respect for human rights. Accordingly:
Governments should not ban or otherwise limit user access to encryption in any form or otherwise prohibit the implementation or use of encryption by grade or type;
Governments should not mandate the design or implementation of “backdoors” or vulnerabilities into tools, technologies, or services;
Governments should not require that tools, technologies, or services are designed or developed to allow for third-party access to unencrypted data or encryption keys;
Governments should not seek to weaken or undermine encryption standards or intentionally influence the establishment of encryption standards except to promote a higher level of information security. No government should mandate insecure encryption algorithms, standards, tools, or technologies; and
Governments should not, either by private or public agreement, compel or pressure an entity to engage in activity that is inconsistent with the above tenets.
Strong encryption and the secure tools and systems that rely on it are critical to improving cybersecurity, fostering the digital economy, and protecting users. Our continued ability to leverage the internet for global growth and prosperity and as a tool for organizers and activists requires the ability and the right to communicate privately and securely through trustworthy networks.
We look forward to working together toward a more secure future.
Access Now, ACI-Participa, Advocacy for Principled Action in Government, Alternative Informatics Association, American Civil Liberties Union, American Library Association, Amnesty International, ARTICLE 19, Asociación por los Derechos Civiles, Asociatia pentru Tehnologie si Internet (ApTI), Association for Progressive Communications (APC), Australian Lawyers for Human Rights, Australian Privacy Foundation, Bill of Rights Defense Committee, Bits of Freedom, Blueprint for Free Speech, Bolo Bhi, the Centre for Communication Governance at National Law University Delhi, Center for Democracy and Technology, Center for Digital Democracy, Center for Financial Privacy and Human Rights, Center for Media, Data and Society at the School of Public Policy of Central European University, Center for Technology and Society at FGV Rio Law School, Chaos Computer Club, CivSource, Constitutional Alliance, Consumer Action, Consumer Federation of America, Consumer Watchdog, ContingenteMX, Críptica, Defending Dissent Foundation, Digitalcourage, Digitale Gesellschaft, Digital Empowerment Foundation, Digital Rights Foundation, Electronic Frontier Finland, Electronic Frontier Foundation, Electronic Frontiers Australia, Electronic Privacy Information Center, Engine, Enjambre Digital, Eticas Research and Consulting, European Digital Rights, Fight for the Future, Föreningen för digitala fri- och rättigheter (DFRI), Freedom of the Press Foundation, Free Press, Free Press Unlimited, Free Software Foundation, Fundacion Acceso, Future of Privacy Forum, Future Wise, Globe International Center, The Global Network Initiative (GNI), Government Accountability Project, Hiperderecho, Human Rights Watch, Instituto Demos, the International Modern Media Institute (IMMI), Internet Democracy Project, IPDANDETEC, IT-Political Association of Denmark, Jonction, Karisma Foundation, Korean Progressive Network Jinbonet, Media Alliance, Modern Poland Foundation, Myanmar ICT for Development Organization (MIDO), Net Users’ Rights Protection Association (NURPA), New America’s Open Technology Institute, Niskanen Center, One World Platform Foundation, OpenMedia, Open Net Korea, Open Rights Group, Panoptykon Foundation, Paradigm Initiative Nigeria, Patient Privacy Rights, PEN American Center, PEN International, Point of View, Privacy International, Privacy Rights Clearinghouse, Privacy Times, La Quadrature du Net, R3D (Red en Defensa de los Derechos Digitales), R Street Institute, Reinst8, Restore the Fourth, Samuelson-Glushko Canadian Internet Policy & Public Interest Clinic (CIPPIC), Security First, SFLC.in, Share Foundation, Simply Secure, SonTusDatos (Artículo 12, A.C.), Student Net Alliance, Sursiendo, Comunicación y Cultura Digital, TechFreedom, Tully Center for Free Speech at Syracuse University, Usuarios Digitales, Viet Tan, Vrijschrift, WITNESS, World Privacy Forum, X-Lab, Xnet, Zimbabwe Human Rights Forum