2021년 구글과 아마존이 이스라엘 정부와 12억 달러 규모의 클라우드 컴퓨팅 계약을 협상했을 때, 고객 측은 특이한 요구를 했습니다: 양사는 이후 "윙킹 메커니즘"으로 불리게 된 협정의 일환으로 비밀 코드 사용에 동의해야 했습니다.
이 요구는 이스라엘이 글로벌 IT 대기업들의 클라우드 플랫폼에 저장된 데이터가 외국 법 집행 기관에 접근될 수 있다는 우려에서 비롯되었습니다. 이를 방지하기 위해 이스라엘은 구글과 아마존이 다른 국가들의 법적 의무를 우회하기를 원했습니다.
다른 주요 기술 기업들과 마찬가지로, 구글과 아마존의 클라우드 서비스는 수사 목적의 고객 데이터 제공 요청에 대해 경찰, 검찰 및 보안 기관들의 요청에 정기적으로 따릅니다. 이 과정은 종종 비밀스럽며, 기업들은 법적 권한이나 법원 명령으로 인해 고객 데이터가 공유되었을 때 고객에게 통지하는 것이 일반적으로 금지됩니다.
해당 기관들이 자국 데이터에 대한 통제권을 해외 당국에 빼앗길 것을 우려한 이스라엘은 비밀 경고 시스템을 고안했습니다. 기업들은 이스라엘 정부에 대한 지불에 신호를 내장하여, 이스라엘 데이터가 외국 법원이나 수사관에게 공개될 때마다 이를 알리도록 했습니다.
가디언이 +972 매거진 및 로컬 콜과의 공동 조사에서 검토한 유출 문서에 따르면, 구글과 아마존은 수익성 높은 이 계약을 확보하기 위해 이 "윙킹 메커니즘"에 동의했습니다. 이러한 문서들과 이스라엘 관료들의 설명에 기반한 이 조사는 양사가 2021년 협정(님버스 프로젝트로 알려짐) 하에 일련의 엄격하고 비전통적인 "통제"를 받아들인 방식을 보여줍니다. 구글과 아마존 모두 어떤 법적 의무도 회피한 것을 부인했습니다.
이러한 통제에는 미국 기업들이 다양한 이스라엘 정부 기관, 보안 서비스 및 군 부대가 그들의 클라우드 서비스를 사용하는 방식에 제한을 두는 것을 방지하는 조항들이 포함됩니다. 계약 조건에 따라, 양사는 이스라엘이 그들의 서비스 약관을 위반하더라도 이스라엘의 기술 접근을 정지하거나 철회할 수 없습니다.
이스라엘 관료들은 예상되는 위협에 대처하기 위해 이러한 조치들을 포함시켰습니다. 그들은 구글이나 아마존이 점령된 팔레스타인 영토에서의 인권 침해와 그들의 기술이 연루되면 직원이나 주주들의 압력에 굴복하여 이스라엘의 접근을 차단할까 봐 걱정했습니다. 또한 그들은 기업들이 해외에서, 특히 서안 지구와 가자 지구의 군사 점령에서 그들의 기술 사용과 관련하여 법적 도전에 직면할까 두려워했습니다.
님버스 협정은 구글과 아마존이 마이크로소프트가 최근 팔레스타인 전화 통화를 무차별적으로 감시하는 데 사용되는 기술에 대한 이스라엘 군의 접근을 차단했던 것과 같은 단독 행동을 취하는 것을 금지하는 것으로 보입니다. 이스라엘 군 및 공공 부문에 클라우드 서비스를 제공하는 마이크로소프트는 님버스 계약에 입찰했으나 이스라엘의 일부 요구를 거부한 후 경쟁사들에게 패배했습니다.
최근 몇 년 동안, 구글과 아마존의 클라우드 사업부는 마이크로소프트와 마찬가지로, 그들의 기술의 역할—그리고 특히 님버스 계약—이 이스라엘의 2년 간의 가자 지구 전쟁에서 어떻게 사용되었는지에 대해 조사를 받아왔습니다. UN 조사 위원회가 집단 학살 행위를 포함했다고 결론지은 이 공세 동안, 이스라엘 군은 방대한 양의 데이터와 정보를 저장 및 분석하기 위해 클라우드 공급자들에게 크게 의존해왔습니다. 한 데이터 세트는 마이크로소프트의 클라우드 플랫폼에 8월까지 저장되었던 대량의 가로채인 팔레스타인 통화 모음집을 포함했습니다. 정보 출처들은 이스라엘 군이 이 데이터를 아마존 웹 서비스(AWS) 데이터 센터로 이전하려고 의도했다고 지적했습니다.
가디언이 대량 감시 데이터를 자사 클라우드로 이동하려는 이스라엘의 계획을 인지하고 있었는지 질문받았을 때, 아마존은 응답하지 않았습니다. 회사 대변인은 아마존이 "고객의 프라이버시를 존중하며, 그들의 동의 없이는 관계에 대해 논의하지 않거나, 클라우드에 저장된 '그들의 워크로드를 가시화하지 않는다'"고 진술했습니다.
아마존과 구글 모두 윙킹 메커니즘에 대해 질문받았을 때 법적으로 구속력 있는 명령을 우회한 것을 부인했습니다. 구글 대변인은 "미국 기업으로서 미국 정부에 대한 우리의 법적 의무, 또는 다른 어떤 국가에서든, 우리가 이를 회피할 것이라는 생각은 단호히 잘못된 것입니다"라고 말했습니다.
이 이야기와 관련된 정보가 있다면, 해리 데이비스와 유발 아브라함에게 다음의 안전한 방법들을 통해 연락할 수 있습니다:
- 가디언 앱의 'Secure Messaging' 기능을 사용하세요. 이는 종단 간 암호화되며 일반 앱 활동 내에 숨겨져 있습니다. 앱을 다운로드하고, 메뉴로 가서 'Secure Messaging'을 선택한 후 'UK Investigations' 팀을 선택하세요.
- 시그널 메신저를 통해 사용자 이름 hfd.90으로 해리에게 메시지를 보내세요.
- 덜 민감한 소통을 위해서는 harry.davies@theguardian.com으로 이메일을 보내세요.
- Tor 네트워크를 안전하게 사용할 수 있다면, 가디언의 SecureDrop 플랫폼에 접속하세요.
- theguardian.com/tips를 방문하여 더 많은 안전한 연락 옵션과 안내를 확인하세요.
구글 대변인은 또한 이스라엘이 구글의 정책을 따르기로 동의했다는 이전 진술을 언급하며, "우리는 님버스 계약, 그 목적, 그리고 이를 관장하는 서비스 약관 및 허용 사용 정책에 대해 매우 명확하게 밝혀왔습니다. 아무것도 바뀌지 않았습니다. 이것은 다른 것을 거짓으로 암시하려는 또 다른 시도로 보입니다"라고 덧붙였습니다.
그러나, 이스라엘 정부 문서들은 관료들이 기업들이 내부 프로세스를 조정하고 표준 계약 조건보다 이스라엘의 요구를 우선시하기로 동의한 후 구글과 아마존으로부터 상당한 양보를 확보했다고 믿었음을 드러냈습니다. 계약 체결 몇 달 후 유포된 정부 메모는 "[기업들은] 이스라엘 정부의 민감성을 이해하고 우리의 요구사항을 받아들일 의사가 있다"고 언급했습니다.
높이 솟은 구름 형상에서 이름을 딴 님버스 계약은 공공 부문 및 군사 데이터를 상업용 데이터 센터에 저장하기 위한 이스라엘 정부의 핵심 프로젝트입니다. 처음에는 7년 동안 지속되며 연장될 수 있습니다. 데이터가 구글과 아마존의 이스라엘 내 새로운 데이터 센터에 수용됨에도 불구하고, 관료들은 진화하는 미국 및 유럽 법률들이 법 집행 기관이 직접 요청이나 소환장을 통해 데이터에 더 쉽게 접근할 수 있도록 허용할 수 있다고 우려했습니다.
이 위험에 대처하기 위해, 이스라엘 관료들은 님버스 협정에 특정 통제 조치들을 포함시켰습니다. 님버스 협정에 따라, 기업들은 이스라엘 정부에게 암호화된 메시지—"윙크"라고 불리는—를 보내야 합니다. 이 메시지는 법적으로 공개가 금지되더라도, 이스라엘 데이터를 넘기도록 강제한 국가의 신원을 드러낼 것입니다. 협정의 최종본을 포함하는 이스라엘 재무부의 유출 문서들은 이 비밀 코드가 기업들이 이스라엘 정부에 지불하는 "특별 보상"으로 표시된 지불의 형태를 취할 것임을 나타냅니다.
문서들에 따르면, 이러한 지불은 정보를 이전한 후 24시간 이내에 이루어져야 하며 관련 외국의 전화 국가 번호와 일치해야 합니다. 금액은 1,000에서 9,999 세켈 사이입니다. 예를 들어:
- 구글이나 아마존이 미국 당국(국가 번호 +1)에 정보를 제공하고 그들의 협력을 공개할 수 없다면, 그들은 이스라엘 정부에 1,000 세켈을 지불해야 합니다.
- 그들이 이탈리아(국가 번호 +39)로부터 이스라엘 데이터 요청을 받는다면, 그들은 3,900 세켈을 지불해야 합니다.
만약 기업들이 금지 명령으로 인해 어떤 국가가 데이터를 받았는지 암시조차 할 수 없다면, 그들은 이스라엘 정부에 기본 금액 100,000 세켈(약 30,000 달러)을 지불해야 합니다.
전직 미국 검사를 포함한 법률 전문가들은 이 협정이 기업들에게 매우 이례적이고 위험하다고 말했습니다. 그들은 그러한 암호화된 메시지들이 소환장을 비밀로 유지하도록 요구하는 미국 법률을 위반할 수 있다고 지적했습니다. 전직 미국 정부 변호사는 "매우 교묘해 보이며, 만약 미국 정부나 법원이 이를 이해한다면, 그들이 특히 동정적이지 않을 것 같습니다"라고 말했습니다.
여러 전문가들은 이 메커니즘을 법의 문자에는 부합할 수 있지만 그 정신에는 부합하지 않을 수 있는 "영리한" 우회 방법으로 설명했습니다. 전직 미국 고위 보안 관리는 "일종의 천재적이지만, 위험합니다"라고 말했습니다.
이스라엘 관료들은 이러한 우려들을 인정한 것으로 보이며, 문서에서 구글과 아마존이 미국 명령에 어떻게 대응하는지에 대한 그들의 요구가 미국 법률과 "충돌할 수 있다"고 언급했습니다. 그러면 기업들은 "계약을 위반하거나 그들의 법적 의무를 위반하는 것" 사이에서 선택을 직면하게 될 것입니다.
구글과 아마존 모두 님버스 계약이 발효된 이후 이 비밀 코드를 사용했는지에 대한 가디언의 질문에 응답하지 않았습니다. 아마존 대변인은 "우리는 고객 데이터와 관련된 합법적이고 구속력 있는 명령에 대응하기 위한 엄격한 글로벌 프로세스를 가지고 있습니다. 우리는 합법적으로 구속력 있는 명령에 대한 우리의 기밀 유지 의무를 우회하기 위한 어떤 절차도 가지고 있지 않습니다"라고 진술했습니다. 구글은 이스라엘의 어떤 요구를 수용했는지에 대해 논평을 거부했지만 "우리가 어떻게든 불법 활동에 연루되었다는 것을 암시하는 것은 거짓이며, 터무니없습니다"라고 말했습니다. 이스라엘 재무부 대변인은 "이스라엘이 기업들에게 법을 위반하도록 강요한다는 기사의 암시"를 부인하며, 근거 없다고 말했습니다.
이스라엘 관료들은 또한 활동가들과 권리 단체들이 그들의 기술이 인권 침해와 연루되면 구글과 아마존에 압력을 가하거나 유럽 국가들에서 법원 명령을 구하여 이스라엘과의 사업을 제한하거나 종료하려 할까 봐 우려했습니다. 이러한 위험들을 완화하기 위해, 이스라엘은 기업들의 정책이 변경되더라도 기업들이 그들의 클라우드 플랫폼에 대한 이스라엘의 접근을 취소하거나 제한하는 것을 금지하는 조항들을 님버스 협정에 포함시켰습니다. 기업들은 이스라엘의 기술 사용이 그들의 서비스 약관을 위반하거나 그들의 정책에 반한다고 믿으면 그들의 서비스를 제한할 수 있습니다. 그러나, 재무부 분석에 따르면, 이스라엘이 저작권을 위반하거나 기술을 재판매하지 않는 한, 정부는 이스라엘 법률 하에서 허용되는 어떤 서비스든 사용할 수 있습니다.
구글과 아마존의 표준 허용 사용 정책 모두 그들의 클라우드 플랫폼이 타인의 법적 권리를 침해하거나 개인들에게 심각한 해를 끼치는 활동에 사용되는 것을 금지합니다. 그럼에도 불구하고, 님버스 프로젝트에 참여한 한 이스라엘 관료는 군사 및 정보 정보를 포함한 데이터 유형에 대한 제한이 이러한 플랫폼에 저장되는 데 없다고 진술했습니다. 가디언이 본 협정 조건들은 이스라엘에게 클라우드에서 원하는 어떤 콘텐츠라도 이전하거나 생성할 권리를 부여합니다.
이스라엘은 기업들이 고객이 그들의 이익에 해롭다고 판단하면 서비스를 중단하는 것을 방지하기 위해 이러한 조항들을 포함시켰습니다. 작년에, 더 인터셉트는 님버스 프로젝트가 수정된 비밀 정책 하에 운영된다고 보도했으며, 유출된 내부 문서는 구글이 이스라엘의 서비스 사용을 제한할 수 없다는 것을 이해하고 있었다고 나타냈습니다.
대조적으로, 마이크로소프트는 군이 대량의 가로채인 팔레스타인 통화 모음집을 자사의 애저 플랫폼에 저장했다는 보도를 확인한 후 이스라엘의 일부 클라우드 및 AI 서비스 접근을 정지했습니다. 마이크로소프트는 이스라엘 군에 이 사용이 그들의 서비스 약관을 위반한다고 통지하며, 민간인에 대한 대량 감시를 지원하지 않는다고 진술했습니다.
님버스 협정 하에서, 구글과 아마존은 이스라엘 정부에 대해 차별적인 것으로 간주될 것이기 때문에 유사한 행동을 취하는 것이 금지됩니다. 이를 위반하면 재정적 제재와 계약 위반에 대한 법적 소송이 발생할 수 있습니다.
이스라엘 재무부 대변인은 구글과 아마존이 이스라엘의 핵심 이익을 보호하는 엄격한 계약상 의무에 구속된다고 강조했습니다. 그들은 비공개 상업 세부 사항을 공개함으로써 기사의 주장을 검증하지 않을 것이라고 말하며, 협정의 기밀 조건을 공개하는 것을 거부했습니다.
자주 묻는 질문
물론입니다. 다음은 이스라엘이 구글과 아마존에게 은밀한 신호 사용을 요청했다는 보도에 관한 자연스러운 대화체로 작성된 명확하고 직접적인 답변과 함께 FAQs 목록입니다.
초보자 수준 질문
1. 이 이야기를 간단히 설명해 주세요.
이스라엘 정부가 구글 및 아마존과 같은 기술 대기업들에게 그들의 시스템에 비밀스러운, 숨겨진 신호를 사용하라고 요청했다는 보도입니다. 이 신호는 특정 사용자나 데이터를 식별하고 우선순위를 부여하여, 그들이 표준 법적 규칙이나 서비스 제한을 우회할 수 있도록 했을 것입니다.
2. 은밀한 신호란 무엇인가요?
은밀한 신호는 소프트웨어 시스템 내의 숨겨진 코드 조각, 디지털 플래그, 또는 비밀 핸드셰이크입니다. 일반 사용자에게
