파이브 아이즈(5 Eyes)란? 글로벌 감시 동맹 완벽 정리

파이브 아이즈(Five Eyes, FVEY)는 미국, 영국, 캐나다, 호주, 뉴질랜드 5개국의 정보기관이 신호정보(SIGINT)를 상호 공유하는 국제 감시 동맹입니다. 1946년 UKUSA 협정에서 출발해 70년 넘게 유지되어 온 세계 최대 규모의 정보 공동체이며, 파이브 아이즈의 존재는 VPN을 고를 때 본사 위치가 왜 중요한지를 결정하는 가장 핵심적인 요소입니다.

파이브 아이즈의 시작과 역사

파이브 아이즈의 뿌리는 제2차 세계대전 중 영국과 미국이 추축국의 통신을 함께 해독하던 협력 관계입니다. 영국의 블레츨리 파크와 미국의 알링턴 홀이 추축국 암호를 공동 분석하면서 양국 정보기관 사이에 신뢰가 쌓였고, 전쟁 직후 이 협력을 정식 협정으로 명문화한 것이 1946년의 UKUSA 협정입니다.

이후 캐나다는 1948년, 호주와 뉴질랜드는 1956년에 차례로 합류하면서 현재의 5개국 체제가 완성되었습니다. 협정의 내용은 수십 년간 1급 비밀로 분류되어 있었고, 2010년에 영국 정부가 공식 문서를 공개하면서 그 실체가 처음으로 일반에 알려졌습니다.

UKUSA 협정의 핵심 원칙

이 협정의 가장 중요한 원칙은 회원국 사이에 수집한 신호정보를 거의 제한 없이 공유한다는 것입니다. 한 국가에서 수집한 정보를 다른 회원국이 자유롭게 활용할 수 있어, 사실상 단일 감시 네트워크처럼 작동합니다. 또한 회원국끼리는 서로의 시민을 정보 수집 대상으로 삼지 않는다는 비공식 약속도 있었지만, 스노든 폭로 이후 이 약속이 실제로는 잘 지켜지지 않았다는 사실이 드러났습니다.

파이브 아이즈 구성국과 정보기관

다섯 개 기관은 단순히 정보를 교환하는 수준을 넘어, 공동으로 감청 시설을 운영하기도 합니다. 영국의 멘위드 힐(Menwith Hill) 기지는 미국 NSA가 운영하는 해외 최대 감청 시설이며, 호주의 파인 갭(Pine Gap) 시설은 미국과 호주가 공동 운영합니다.

파이브 아이즈가 수집하고 공유하는 정보

파이브 아이즈가 다루는 정보는 주로 신호정보(SIGINT) 영역에 해당합니다. 구체적으로 다음과 같은 데이터가 수집과 공유의 대상이 됩니다.

• 해저 광케이블을 통한 국제 통신 데이터
• 위성과 무선 통신 감청 데이터
• 이메일, 메신저, 통화의 메타데이터
• 인터넷 트래픽 패턴과 IP 활동 기록
• 특정 키워드 기반 자동 필터링 결과
• 대형 IT 기업의 사용자 데이터 일부

특히 메타데이터는 통신 내용 자체가 아니라 누가, 언제, 누구와 통신했는지에 대한 정보이기 때문에 법적 제약이 상대적으로 약합니다. 그러나 메타데이터만으로도 한 사람의 인간관계, 일상 패턴, 위치 이동을 매우 정밀하게 재구성할 수 있다는 점에서 프라이버시 위협으로 평가됩니다.

스노든 폭로로 드러난 실체

파이브 아이즈의 존재가 본격적으로 대중에게 알려진 계기는 2013년 에드워드 스노든의 폭로였습니다. 미국 NSA의 계약직원으로 일하던 스노든은 NSA의 내부 문서 수만 건을 가디언과 워싱턴포스트에 전달했고, 이를 통해 PRISM, XKeyscore, MUSCULAR 같은 대규모 감시 프로그램의 실체가 처음 공개되었습니다.

PRISM 프로그램

PRISM은 NSA가 마이크로소프트, 구글, 야후, 페이스북, 애플 등 9개 대형 IT 기업의 서버에 직접 접근해 사용자 데이터를 수집하던 프로그램입니다. 이메일, 채팅, 영상통화, 사진, 저장 파일이 모두 대상이었습니다.

XKeyscore 프로그램

XKeyscore는 거의 모든 인터넷 활동을 실시간으로 검색할 수 있게 해주는 NSA의 데이터베이스 시스템입니다. 분석관이 키워드를 입력하면 전 세계 인터넷 트래픽 중 일치하는 통신을 즉시 추출할 수 있었습니다.

MUSCULAR 프로그램

MUSCULAR는 영국 GCHQ와 미국 NSA가 공동으로 운영한 프로그램으로, 구글과 야후의 자체 데이터센터 사이를 오가는 내부 통신을 직접 감청했습니다. 기업 동의 없이 진행된 점에서 큰 논란이 되었습니다.

한 국가의 법망을 우회하는 구조

스노든 폭로 이후 가장 충격적이었던 사실은 파이브 아이즈가 사실상 각국의 자국민 감시 금지 법률을 우회하는 통로로 활용되고 있다는 점입니다. 예를 들어 미국 NSA는 미국 시민에 대한 직접 감시가 법적으로 제한되지만, 영국 GCHQ가 미국 시민 데이터를 수집한 뒤 이를 NSA와 공유하는 방식으로 우회가 가능했습니다.

역방향도 마찬가지입니다. GCHQ가 영국 시민 감시에 제약을 받으면 NSA가 영국 시민 데이터를 수집해 공유하는 식입니다. 이 구조는 각국 법원이 통제하기 어려운 회색 지대를 만들어내며, 시민이 어느 국가의 법적 보호를 받든 사실상 무력화될 수 있다는 우려가 제기되었습니다.

한국 사용자에게 미치는 영향

한국은 파이브 아이즈 회원국이 아닙니다. 그러나 한국 사용자의 인터넷 트래픽은 다음과 같은 경로로 파이브 아이즈 감시 범위에 들어갈 수 있습니다.

• 해외 서비스를 이용할 때 트래픽이 미국, 영국, 일본 등을 경유하는 경우
• 구글, 페이스북, 인스타그램 등 미국 기반 서비스 이용 시 자동으로 미국 서버에 데이터 저장
• 해외 VPN의 본사가 파이브 아이즈 회원국인 경우, 한국 사용자 데이터도 강제 제출 대상이 될 수 있음
• 해외 클라우드 저장소(드롭박스, 원드라이브, 아이클라우드 등) 사용 시 데이터 보관 위치가 회원국 영토

한국 사용자가 직접 통제할 수 있는 영역은 제한적이지만, 적어도 VPN을 고를 때 본사 위치를 파이브 아이즈 외부로 선택하는 것은 가장 손쉬운 방어 수단입니다.

VPN 사용자가 반드시 알아야 할 이유

VPN 서비스의 본사가 파이브 아이즈 회원국에 있다면, 해당 정부가 VPN 업체에 사용자 활동 기록 제출을 강제할 수 있는 법적 권한을 가집니다. 업체가 무로그(no-log) 정책을 표방하더라도, 본사 위치의 법률 환경 자체가 강력한 신호가 됩니다.

특히 다음과 같은 조건이 결합되면 위험도가 높아집니다.

• 본사가 5 Eyes, 9 Eyes, 14 Eyes 회원국에 위치
• 활동 기록 정책이 외부 감사를 받은 적이 없음
• 서버가 디스크 기반으로 운영되어 영구 저장 가능
• 결제 시 신용카드와 계좌 등 신원이 노출되는 수단만 지원
• 투명성 보고서를 발행하지 않음

반대로 본사가 파나마, 스위스, 영국령 버진제도와 같이 동맹 외부에 있고, 무로그 정책에 대해 외부 감사를 받았으며, RAM 전용 서버를 운영하는 업체라면 상대적으로 안전한 선택지가 됩니다.

자주 묻는 질문

파이브 아이즈가 한국 사용자의 데이터를 직접 수집할 수 있나요?

한국 통신사 데이터에 직접 접근할 권한은 없습니다. 다만 한국 사용자가 해외 서비스를 사용할 때 트래픽이 회원국 영토를 경유하면 그 시점에 수집 대상이 될 수 있습니다. VPN으로 트래픽 경로를 통제하는 것이 한 가지 대응입니다.

5 Eyes 외부 국가 VPN이면 무조건 안전한가요?

관할권은 중요한 신호이지만 그것만으로 충분하지는 않습니다. 무로그 정책의 외부 감사 여부, 서버 운영 방식, 실제 정부 요청에 대한 대응 이력을 함께 확인해야 합니다. 다음 글에서 이 부분을 자세히 다룹니다.

무료 VPN을 사용해도 되나요?

무료 VPN은 운영비를 어딘가에서 충당해야 하기 때문에 사용자 데이터를 광고주에게 판매하거나, 광고를 트래픽에 주입하는 경우가 흔합니다. 일부 무료 VPN은 본사 위치가 불명확하거나 중국에 있는 경우도 있어 파이브 아이즈와는 별개의 위험이 됩니다.

스노든 폭로 이후 파이브 아이즈가 약화되었나요?

오히려 더 강화된 것으로 평가됩니다. 폭로 이후 일부 법적 제약이 추가되긴 했지만, 동시에 데이터 수집 권한을 명문화한 새로운 법률(영국 Investigatory Powers Act 등)이 통과되면서 합법적인 감시 범위가 오히려 넓어졌습니다.

다음 글에서 다룰 내용

파이브 아이즈는 5개국으로 시작했지만, 협력 범위가 확대되면서 9 Eyes와 14 Eyes라는 확장 동맹이 추가로 운영되고 있습니다. 다음 글에서는 각 동맹 회원국의 데이터 보호 법률을 비교하고, VPN 본사 위치별 권장도를 정리합니다.

시리즈 다음 글

• 2편, 5/9/14 Eyes 관할권 비교
• 3편, VPN 업체별 정보 공개 사례