본문 바로가기

IT/법령정책

Google의 국내 수사기관 수사 협조

[2007-09-28] - [서명덕기자의 人터넷 세상] - G메일은 비상구?…구글, 범죄수사 협조 논란

제목만 보고는 '구글이 범죄수사에 그렇게 적극적으로 협조했던가?'하는 의문이 들었었는데, 본문을 보니까 거꾸로군요. 2007년 상반기 통신자료/통신사실확인자료제공 현황에서 구글이 단 한번도 협조를 하지 않았던 것이 문제가 되었나봅니다.

먼저, 통신자료와 통신사실확인자료를 구분해야할 필요가 있습니다.

통신자료는 간단히 말해서 가입자 인적사항 및 활동 상황을 뜻합니다. 신상정보부터, 클럽 가입현황 등을 포괄하지만 활동 영역 안의 데이터는 해당되지 않으며, 정보통신망 이용촉진 및 정보보호등에 관한 법률 및 전기통신사업법에 의해 요청할 수 있습니다.

통신자료는 수사관서장의 승인에 의해 전기통신사업자에게 요청할 수 있으며, 따라서 통신자료/통신사실확인자료/압수수색 중 가장 많은 비중을 차지합니다. 가장 간단하게 요청할 수 있는 자료니까요.

통신사실확인자료는 간단히 얘기해서 로그자료를 뜻합니다. 특정인이 언제 어떤 아이피를 통해 전기통신사업자의 서비스를 이용했는지에 대한 자료인데, 이때 아이피와 해당 아이피를 통해 접속한 시간이 동시에 제공되며, 통신비밀보호법에 의해 요청됩니다.

통신사실확인자료는 사법경찰관의 요청으로, 지휘검사가 관할 지방법원에 허가를 요청하며, 관할 지방법원은 통신제한조치, 즉 감청에 준하여 허가서를 발부할 수 있습니다. 2005년 통신비밀보호법 개정 이전에는 지휘검사의 검사장이 허가서를 발부하였습니다만, 통신사실확인자료제공 요청이 너무 남발된다는 지적하에 법원 허가 사항으로 변경되었습니다.

그외에도 형사소송법에 의한 압수수색, 통신비밀보호법에 의한 통신제한조치(감청) 등이 전기통신사업자가 범죄수사목적 또는 국가안보목적으로 수사기관에 협조하는 방법입니다. 총 4가지가 되겠죠. 이중 거의 요청이 들어오지 않고 법원의 허가를 받기에도 까다로운 압수수색과 통신제한조치는 일단 제외하겠습니다.

주민등록법이 시행되고 있고, 각 포털에서 회원가입시 주민등록번호를 요구하는 것을 감안해보면 통신자료는 효력을 발휘합니다. 물론, 실명인증의 사각지대인 14세 이상 18세 미만의 고등학생 연령대(14세 미만은 보호자 동의가 있어야만 가입이 가능하고 18세 이상은 대부분 금융 거래 기록이 남기 때문에 실명 인증이 됩니다)에 대해서는 얘기가 다르겠지만요. 그런데 전기통신사업자의 서비스에서 주민등록번호를 안 받는다.라고 하게 되면 수사기관은 난감해집니다. 왜냐, 대부분 통신자료 제공요청은 주민등록번호로 가입 사항을 받아내기 때문입니다(아이디로 요청하는 경우는 많지 않습니다).

통신자료는 범죄수사목적일 때 요청할 수 있기 때문에 별별 이유가 다 있습니다. 국가보안법 위반부터 구멍가게 좀도둑까지. 법령상 벌칙은 없지만 의무가 부여되어있기 때문에 전기통신사업자들은 요청 사유가 어처구니 없어도 기본적으로 제공하게 됩니다.

구글의 경우를 한번 보죠. 한국 지사가 설립되어있긴 하지만 구글은 기본적으로 미국 기업이며, 한국의 전기통신사업자들과 달리 주민등록번호를 받지 않습니다. 즉, 인적사항은 거의 없는 껍데기에 불과합니다. 이런 구글 코리아에 수사기관이 기세 등등하게 통신자료 제공요청을 해봤자 제공할 자료가 없습니다. 구글 어카운트를 개설하신 분(대부분 G메일쪽이겠죠)은 아시겠지만, 하다못해 이름조차 내맘대로 넣을 수 있고, 제 구글 어카운트에는 이름을 제외한 제 신상정보가 단 한줄도 없습니다. 따라서, 통신자료 제공요청을 해봤자 구글 코리아에서는 "찾을 수 없다" 또는 "데이터가 존재하지 않는다" 식의 답변 밖에 보낼 것이 없지요. 그렇기 때문에 통신자료 제공 현황에서 구글 코리아는 제출한 자료가 "0"일 수 밖에 없습니다.

그렇지만 구글 코리아에서도 제출할 수 있는 자료는 통신사실확인자료, 즉 로그자료입니다. 인적사항이 껍데기라 하더라도, 적어도 어떤 계정이 언제 어떤 아이피로 로그인했는지 여부를 확인할 수 있는 로그 자료는 껍데기가 아닙니다. 로그 자료 가지고 어떻게 하냐구요? 수사기관은 그 로그 자료를 가지고 다른 국내 전기통신사업자 - ISP를 포함하는 - 에게 통신자료 제공 요청을 해서 구글에 로그인하여 사용한 IP와 시간을 제시하고, 그 시간대에 그 IP로 로그인한 모든 가입자의 정보를 요구(사용 IP와 사용시간을 제시하고, 그 IP와 시간에 이용한 사용자의 인적사항을 요청하는 것은 법원 허가사항인 통신사실확인자료 요청이 아니고, 수사관서장의 승인 사항인 통신자료 제공 요청에 해당)합니다. 대상자가 국내에 있다면 충분히 찾을 수 있습니다.

그런데도 구글 코리아에서 통신사실확인자료를 제출했다는 얘기가 없습니다. 10건 정도 요청이 들어왔음에도 불구하고 제출건수가 "0"라는 얘기는 즉, ① 단순히 수사관서들이 통신자료 제공 요청만을 했거나, ② 수사관서들이 구글 코리아에 주민등록번호를 들이밀고 '이 주민등록번호로 가입한 사용자가 로그인한 기록을 회신해주세요'라고 했다는 얘기밖에 안됩니다. 애초에 주민등록번호를 받지 않는 서비스에 주민등록번호를 들이미니 시작부터 안되잖아요?

구글이 미국 회사여서 국내 수사기관을 무시한 것도 아니고, 구글, 아니 글로벌 서비스에 대한 이해도가 부족한 수사기관쪽에 약간 더 문제가 있는게 아닌가 싶습니다. 이런 업무를 하다보면 법령에 대한 이해도가 높지 않는 수사관들이 몇몇분 계시는 것도 사실이니까요.

이런 구글이라 하더라도, 피해갈 수 없는 것이 있으니, 바로 압수수색과 통신제한(감청)입니다. 보통 압수수색을 하게 되면 메일 서버를 떼가는게 아닌가 싶긴 하실텐데, 그랬다간 서비스가 안되고, 압수수색한다고 서버 떼가는 동안 발생하는 서비스 중단에 대한 피해를 과연 수사기관에서 배상하겠습니까? -_- 뻔한 얘기를.. 그래서 대부분 이메일 데이터 압수에 국한되는 압수수색영장의 집행은 오프라인 상과 달리 사업자가 데이터를 추려서 제공하는 방식으로 진행됩니다. 물론 여기서 위변조가 발생하면 협조 당사자(담당 직원 또는 책임자)가 처벌받으니 위변조는 즐치는거죠. 그렇기 때문에 구글 코리아는 압수수색을 할 경우 아주 간편하게 제공할 수 있습니다. 설령 서버를 떼가려 하더라도 미국까지 가야하고, 미국 수사당국의 승인도 받아야하니 가벼웁게 데이터 추려서 제공받는 게 편하겠죠. 더더욱이, Gmail은 G메일 개인정보보호정책에도 나와있다시피 지워진 메일을 최대 60일까지 보관할 수 있으며, 오프라인 저장 장치에 백업할 수 있다고도 나와있습니다. 삭제 즉시 복구되지 않는 국내 포털 메일 서비스에 비해 지워진 메일까지 충실히 압수수색될 수 있다는 여지가 있다는 얘깁니다.

2007/09/11 - [IT/메일] - 신정아씨의 메일이 정말 복구된 것일까요?

구글이 통신자료를 제공하지 못했다고않았다고 안심할 것이 아닙니다. 오히려 압수수색의 경우 삭제한 메일까지 보관하는 Gmail 덕분에 국내 포털 메일 서비스를 쓸때보다 더 문제가 발생할 수도 있습니다. 이제, 구글도 수사협조 업무를 담당할 직원도 뽑는 것으로 보아 예전보다는 보다 많은 자료가 넘어갈 수 있고, 빠르면 올 하반기 현황에서는 구글의 이름이 등장할 수도 있겠네요.

정 꺼림칙하고 뭔가 찝찝하시면 국내에서 수사협조 요청을 하기 매우 어렵고(사실상 불가능), 국내 법인조차 존재하지 않는 AOL메일 어떠세요? 뭐, 무엇보다도 수사기관에서 내 정보를 뒤질만한 죄를 안 짓고 사는게 최선이겠죠. :) ⓣ