유리창에 비친 애플스토어 로고

ⓒ Private

금주 수요일(2월 28일)이면 애플은 중국 내 아이클라우드(iCloud) 서비스의 사용자 데이터 저장 방식에 중대한 변경사항을 적용할 예정이다. 이에 따라 중국 정부가 이제는 중국 내 애플 사용자들을 자유롭게 감시할 수 있게 될 것이라는 우려가 급증하고 있다.

애플은 강력한 프라이버시 보호와 보안 유지 정책으로 이름나 있다. 애플은 기본적으로 강력하게 암호화된 서비스를 제공하며, FBI가 휴대전화의 보안을 해제할 수 있도록 허용하는 내용의 미국 법원 판결이 나오자 이에 항소하면서 각 일간지의 헤드라인을 장식하기도 했다. 애플의 최고경영자 팀 쿡은 애플의 모든 소비자들에게 프라이버시 보호의 중요성을 설명하는 편지를 개인적으로 보내기까지 했다.

그러나 중국에서는 다른 상황이 펼쳐졌다. 애플은 중국 사용자들이 ‘애플 뉴스’ 어플리케이션에 접속하는 것을 차단하고, 중국 앱스토어에서 VPN 어플리케이션을 삭제하는 등의 행보를 보이며 비판의 대상이 됐다. 이번 아이클라우드 업데이트는 중국의 억압적인 법률문화로 인해 애플이 기존 자사의 사용자 프라이버시 및 보안 정책을 유지하기 어렵게 됐음을 시사하는 가장 최근 사례다. 이러한 변경사항 적용이 의미하는 바는 무엇일까? 애플의 소비자들은 스스로를 보호하기 위해 어떤 선택을 할 수 있을까?


1. 중국의 애플 아이클라우드 서비스에 무슨 일이 일어나고 있나?

2월 28일, 애플은 중국 내 아이클라우드 서비스의 운영권을 중국 기업인 구이저우빅데이터산업발전(GCBD)에 이전한다. 이로 인해 중국 사용자들이 애플의 클라우드 기반서버에 저장한 사진, 문서, 연락처, 메시지를 비롯한 모든 사용자 데이터와 컨텐츠 역시 영향을 받게 됐다. 2017년부터 시행된 중국의 새로운 사이버보안법에 따르면 클라우드 서비스는 반드시 중국 현지 기업이 운영해야 한다. 즉 애플과 같은 기업은 중국 현지에 서버를 임대하거나, 중국 현지 기업과 합작 운영을 해야 하는 것이다.

 

2. 사용자 데이터를 중국 서버에 저장하는 것이 개인에게 어떻게 위협이 될 수 있나?

중국 국내법에 따라 중국 정부는 사생활권, 표현의 자유 등 사용자의 기본권에 대한 충분한 보호조치 없이도 중국 내에 저장된 모든 사용자 데이터를 사실상 아무런 제한 없이 열람할 수 있다. 중국 경찰은 광범위한 재량권을 행사하며, 대략적이고 모호하게 구성된 법과 규제를 이용해 ‘국가 안보’ 등 형사범죄 혐의를 들먹여 반대세력과 저항세력을 침묵하게 만들거나 정보를 검열할 수 있다. 또한 인권옹호자 등에게 괴롭힘을 가하거나 이들을 기소할 수도 있다. 이로 인해 중국의 인터넷 사용자들은 단순히 정부의 심기를 거스르는 정보와 생각을 표현하고, 소통하거나 열람하기만 해도 체포 및 구금을 당할 위험에 놓이게 된다.

게다가, 중국의 사이버보안법에 따르면 네트워크 운영자는 법집행관 및 국가정보요원에게 “기술적 협조 및 지원”을 의무적으로 제공해야 한다. 즉 중국 정부가 GCBD에 찾아와 범죄 수사 목적으로 어떤 아이클라우드 사용자의 정보를 요청한다면, 기업은 해당 정보를 제공해야 할 법적 의무가 있으며 이에 항의하거나 거부할 법적 수단이 거의 없는 것이다.

애플 최고경영자 팀 쿡이 2017년 12월 중국 우전에서 열린 세계 인터넷 컨퍼런스에서 발언하고 있다.

애플 최고경영자 팀 쿡이 2017년 12월 중국 우전에서 열린 세계 인터넷 컨퍼런스에 참석해 발언하고 있다.

 

3. 애플은 자사의 암호화 키를 직접 관리하고 있으며 백도어 침입이 불가능할 것이라고 한다. 이 정도면 중국 사용자들을 보호할 수 있지 않나?

애플이 GCBD 및 중국 정부에 아이클라우드 사용자의 암호 해제된 데이터 접근 권한을 허용할 것인지에 모든 것이 달려 있다. 사용자가 중국 내 아이클라우드 서비스 약관에 동의하면, “합법적으로 필요한 경우” 법집행기관에 자신들의 정보와 컨텐츠를 제공하도록 허용하는 데에도 동의하게 된다. 중요한 것은, 이제부터 애플은 중국 사용자들의 암호화 키를 미국이 아닌 중국에 저장한다는 점이다. 이 때문에 중국법상 합법적인 정보 제공 요청이라면 애플은 암호 해제된 데이터를 전달할 수밖에 없다.

중국의 법 조항 대부분이 사생활과 표현의 자유 등 기본권을 충분히 보호하지 못하고 있는 상황에서, 정부의 정보 요청이 중국법상 합법인가 아닌가를 단순히 확인하는 것만으로는 해당 요청으로 인해 발생할 수 있는 인권침해 문제까지 다룰 수는 없다. 애플은 정부의 정보 요청이 사용자의 인권을 침해하는지 여부를 평가할 것인지, 평가한다면 어떻게 진행할 것인지에 대해 아직 입장을 밝히지 않았다. 직접 시험대에 오르기 전까지는 애플이 어떻게 대처할 것인지는 알 수 없다. 안타깝게도 그 때가 오는 것은 아마도 시간 문제에 불과할 것이다.

“백도어”, 혹은 법집행기관 및 정부기관이 정식 요청 없이 암호 해제된 사용자 데이터에 접근할 수 있도록 허용하는 기술적인 수단에 대해서는, 그 사용을 차단하려는 애플의 노력은 감탄할 만하다. 그러나 법집행기관이 범죄 수사 목적이라는 말 한 마디만으로 쉽게 암호 해제된 사용자 정보를 입수할 수 있다면, 그러한 노력도 의미 없는 일이 될 것이다.

 

4. 중국의 아이클라우드 사용자들은 자신의 정보를 보호하기 위해 어떻게 해야 하나?

중국 정부로부터 개인적인 정보를 보호하기 위해 가장 좋은 방법은 해당 정보를 중국 내 서버에 저장하지 않는 것이다. 중국 이외의 국가에서 발행한 신용카드를 소지한 사용자는 해외 주소를 이용해 계정을 개설한 후, 아이클라우드 데이터를 중국 외부에 저장할 수 있다. 그 외에 중국 사용자들에게 남은 유일한 방법은, 아이클라우드 계정을 삭제하고 영구히 서비스에서 탈퇴하는 것이다. (애플은 이곳에서 탈퇴 절차에 대한 설명을 제공하고 있다.) 개인 사용자는 자신의 선택으로 인해 발생할 수 있는 위험에 대해 진지하게 고려해야 하지만, 애플 역시 아이클라우드 동기화 해제를 기본으로 설정하고, 사용자에게 서비스 이용으로 인해 발생할 수 있는 위험에 대해 분명하게 경고하는 등의 방법으로 중국 사용자들을 보호해야 한다.

애플은 프라이버시가 필수적인 인권이라고 생각합니다.”

애플 공식 홈페이지

 

5. 정보통신기술 기업이 중국에서 책임감 있는 운영을 하려면 어떻게 해야 하는가?

기업은 세계 어디서든 사업을 운영하는 과정에서 모든 인권을 존중해야 할 책임이 있다. 기업의 제품과 서비스를 이용하는 사용자들은 중국에서 사생활과 표현의 자유가 위협받을 가능성이 있다는 점과, 이에 대응해 기업이 어떤 조치를 취했는지에 대해 명백하고 구체적인 정보를 제공받아야 한다. 기업은 정기적으로 입증 가능한 인권영향평가를 수행하고, 인권을 존중하기 위해 관리감독 및 실사, 책무성 절차를 시행하고 있음을 공개적으로 증명해야 한다. 마지막으로, 기업은 중국 정부가 인권을 보호하고 존중하도록 영향력을 발휘하고, 정부가 인권을 위협하는 행동을 할 때는 과감히 발언하고 맞서기 위해 최선을 다해야 한다. 만약 인권침해의 높은 위험을 경감시키는 것이 불가능하다고 판단될 경우, 기업은 중국에서의 사업 운영을 하지 않기로 결정해야 할 수도 있다.

 

애플의 공식 홈페이지에서는 이렇게 선언하고 있다. “애플은 프라이버시가 필수적인 인권이라고 생각합니다.” 애플이 이 말을 행동으로 옮길 수 있을 것인지는 아직 지켜봐야 할 것이다.