그 발표는 파리의 복도에서 진정한 ‘독립의 외침’처럼 울려 퍼졌습니다. 총리는 정부에 WhatsApp과 Signal을 버리고 ‘토종’으로 소개된 메시징 앱인 Olvid를 채택하라고 명령했습니다. 목표는 분명했습니다. 외국 정보 기관의 마수로부터 국가 기밀을 보호하는 것입니다.
그러나 곧 씁쓸한 아이러니가 드러났습니다. Olvid의 핵심인 서버 인프라가 미국의 거대 기업인 Amazon Web Services(AWS) 내부에서 작동하고 있다는 것입니다.
일반 대중에게 이것은 단순한 기술적 호스팅 문제처럼 보입니다. 그러나 주권 사이버 보안 설계자에게 이는 일급 정치적 취약점입니다.
역외 적용과 주권의 충돌
Amazon의 인프라에 의존함으로써 Olvid는 자동으로 미국 CLOUD Act의 궤도에 진입합니다.
이 사건에 대한 법적 분석은 단순한 국가 ‘앱’ 채택으로는 전혀 해결되지 않는 관할권 불안의 시나리오를 보여줍니다. 전환점은 ‘통제’ 대 ‘현지화’의 개념에 있습니다.
CLOUD Act는 서버의 물리적 위치가 중요하지 않다고 규정함으로써 법적 패러다임을 근본적으로 바꿨습니다. 서비스 제공자(여기서는 AWS)의 협력 의무는 오직 미국과의 관할권적 유대에서만 비롯됩니다.
법적으로 이는 GDPR과 정면으로 충돌합니다. 유럽사법재판소는 미국의 감시법이 유럽과 동등한 수준의 보호를 제공하지 않는다고 이미 판결했습니다.
디지털 주권은 소프트웨어의 속성이 아니라 보관 사슬 무결성의 특성입니다.
FISA의 유령과 암호화의 거짓된 약속
더 나쁜 것은 미국 인프라에 대한 이러한 의존이 이 데이터를 해외정보감시법(FISA)의 그늘 아래 놓이게 한다는 것입니다.
이러한 위협에 직면하여 Olvid는 자사의 종단간 암호화가 충분한 방패가 된다고 주장합니다. 프라이버시 엔지니어링 관점에서 이 방어는 위험할 정도로 부분적입니다.
메시지 내용이 암호화되어 있더라도 AWS의 중앙 집중식 인프라는 메타데이터를 노출합니다. 누가 누구와 언제, 얼마나 자주, 어디서 대화하는지 아는 것은 정보 기관에게 종종 메시지 내용 자체보다 훨씬 더 가치 있습니다.
암호화는 텍스트를 보호하지만 중앙 집중식 서버는 연락처 네트워크를 배신합니다.
진짜 위험은 아직 오지 않았다
유럽의 인프라가 역외 법령의 적용을 받는 기관에 의존하는 한, 우리 통신의 법적 보안은 순전히 일시적이고 환상에 불과할 것입니다.
21세기 국가 안보는 완전한 인프라 및 하드웨어 독립성을 요구합니다. *“지금 수집하고 나중에 해독하라”*는 전략은 향후 10년 동안 가장 파괴적인 위협입니다.
오늘 가로챈 국가 기밀은 수학적 시한폭탄에 불과합니다.
(분석의 나머지 부분은 2부에서 읽어보세요: 시한폭탄과 영지식의 필요성)