파이브 아이즈에 대해서는 기본 개요 글에서 다뤘습니다. 이 글에서는 그 확장 동맹인 9 Eyes와 14 Eyes의 구성과 각 회원국의 법률 환경을 정리하고, VPN을 고를 때 어느 관할권이 안전한지에 대한 기준을 제시합니다.
파이브 아이즈의 확장
파이브 아이즈는 핵심 5개국으로 출발했지만, 추가 정보 공유 협력국이 단계적으로 늘어나면서 9 Eyes(+4개국)와 14 Eyes(+9개국)라는 더 큰 권역이 형성되었습니다. 14 Eyes는 공식 명칭이 SIGINT Seniors Europe(SSEUR)이며, 5 Eyes만큼 긴밀하지는 않지만 상당한 수준으로 정보가 공유됩니다.
| 구분 | 구성국 | 특징 |
|---|---|---|
| 5 Eyes | 미국, 영국, 캐나다, 호주, 뉴질랜드 | 가장 긴밀한 SIGINT 공유 |
| 9 Eyes | 5 Eyes + 덴마크, 프랑스, 네덜란드, 노르웨이 | 제한적 공유, 일부 협력 프로그램 운영 |
| 14 Eyes | 9 Eyes + 독일, 벨기에, 이탈리아, 스페인, 스웨덴 | SSEUR 명칭으로 운영되는 전략적 협력 구조 |
9 Eyes와 14 Eyes는 5 Eyes처럼 무조건적으로 모든 정보를 공유하지는 않지만, 특정 사안이나 작전에 따라 상당량의 데이터를 주고받는 것으로 알려져 있습니다.
주요 회원국별 데이터 보유 법률
미국 (5 Eyes)
미국에는 USA PATRIOT Act, FISA Section 702, Executive Order 12333 등 정보기관의 광범위한 감시를 허용하는 법률이 다수 존재합니다. 특히 National Security Letter(NSL)는 FBI가 법원의 영장 없이 통신 기록을 요청할 수 있게 해주는 도구이며, NSL을 받은 기업은 정보 제공 사실을 외부에 공개할 수 없는 함구령 의무가 부과됩니다. 이 때문에 미국 본사의 IT 기업은 정부 요청에 응했는지조차 사용자에게 알릴 수 없는 경우가 있습니다.
영국 (5 Eyes)
2016년 제정된 Investigatory Powers Act는 통칭 스누퍼스 차터(Snooper's Charter)로 불리며, 통신사와 ISP에 12개월 동안 사용자의 인터넷 접속 기록을 보관할 의무를 부과했습니다. 이 법은 영국 정부에 영국 본사 IT 기업의 데이터를 요청할 광범위한 권한을 부여하며, 일부 조항은 백도어 설치 명령까지 가능하게 합니다.
호주 (5 Eyes)
호주는 2018년 Assistance and Access Act를 통과시키면서 정부가 IT 기업에 암호화 해제 협력을 요구할 수 있게 되었습니다. 이론적으로는 백도어 의무 설치까지 가능한 환경이며, 호주 본사 IT 서비스 사용 시 이 법률의 적용 범위를 검토해야 합니다.
캐나다와 뉴질랜드 (5 Eyes)
캐나다는 Anti-terrorism Act 2015(C-51 법안)로 정보기관의 권한이 확대되었으며, 뉴질랜드는 Government Communications Security Bureau Act로 GCSB의 자국민 감시 권한이 확장되었습니다. 두 국가 모두 5 Eyes 회원국으로서 미국과 영국에 정보를 정기적으로 공유합니다.
독일, 프랑스, 네덜란드 (14 Eyes)
EU의 GDPR은 강력한 개인정보 보호 장치이지만, 국가 안보를 명목으로 한 통신 감청은 별도 법률로 광범위하게 허용됩니다. 독일 BND, 프랑스 DGSE, 네덜란드 AIVD는 각각 자국 시민 외 외국인 통신에 대해 폭넓은 감청 권한을 행사할 수 있습니다.
파이브 아이즈 외부의 안전한 관할권
파이브 아이즈 동맹 외부에 본사를 둔 VPN 업체가 일반적으로 더 안전한 선택지입니다. 다음 관할권이 대표적입니다.
| 관할권 | 특징 | 대표 VPN |
|---|---|---|
| 스위스 | 강력한 연방 데이터 보호법, EU와 5 Eyes 외부, 무로그 정책 법적 보호 | ProtonVPN |
| 파나마 | 의무적 데이터 보유 법률 없음, 외국 정부 요청에 응하지 않음 | NordVPN |
| 영국령 버진제도(BVI) | 독립된 사법권, 영국 본토 법률 미적용, 데이터 보유 의무 없음 | ExpressVPN |
| 아이슬란드 | 강한 언론 자유와 정보 자유, 데이터 보호 친화적 환경 | 일부 소규모 VPN |
| 루마니아 | 2014년 EU 데이터 보유 지침 위헌 판결로 강제 보유 의무 없음 | CyberGhost |
스위스가 특히 권장되는 이유
스위스는 연방헌법과 데이터보호법에서 통신의 비밀을 강하게 보장합니다. 외국 정부가 스위스 기업에 데이터를 요청하려면 스위스 법원의 정식 명령이 필요하며, 이 과정은 상당히 까다롭습니다. 또한 스위스는 5 Eyes는 물론 9 Eyes와 14 Eyes 어디에도 속하지 않습니다.
파나마와 BVI의 특수성
파나마와 영국령 버진제도는 의무적 데이터 보유 법률 자체가 없습니다. 즉 기업이 자발적으로 데이터를 보관하지 않는 한, 법적으로 보유할 의무도 없고 제출할 의무도 없습니다. 이는 무로그 정책을 채택한 VPN 업체에게 가장 우호적인 환경입니다.
14 Eyes 회원국 본사 VPN의 위험도 평가
14 Eyes 회원국에 본사를 둔 VPN이 무조건 위험하다는 의미는 아닙니다. 다음 세 가지가 결합되면 위험도가 크게 낮아집니다.
- RAM 전용 서버: 디스크에 데이터를 영구 저장하지 않아 압수 수색 시에도 회수할 데이터 자체가 없습니다.
- 외부 보안 감사: 무로그 정책이 실제로 지켜지는지 PwC, Deloitte, Cure53 같은 독립 기관이 검증합니다.
- 투명성 보고서: 받은 정부 요청 건수와 응답 내용을 정기적으로 공개합니다.
예를 들어 Surfshark는 네덜란드(9 Eyes) 본사이지만 RAM 전용 서버와 Cure53 감사, 투명성 보고서 발행으로 신뢰도를 보완하고 있습니다. Mullvad는 스웨덴(14 Eyes) 본사이지만 가입 시 어떤 개인정보도 받지 않는 익명 모델로 관할권 약점을 우회합니다.
VPN 본사 위치별 권장도
| 위치 | 권장도 | 비고 |
|---|---|---|
| 5 Eyes 회원국 | 낮음 | 강력한 보완책이 없는 한 회피하는 것이 안전합니다. |
| 14 Eyes 회원국 | 중간 | RAM 서버와 외부 감사가 필수 조건입니다. |
| EU 외부, 데이터 법 강한 국가 | 높음 | 스위스, 아이슬란드 등이 해당됩니다. |
| 5/9/14 Eyes 외부 + 데이터 법 없음 | 매우 높음 | 파나마, BVI 등 가장 안전한 선택입니다. |
관할권 외에 함께 봐야 할 것
관할권은 출발점일 뿐, 그것만으로 안전을 보장하지는 못합니다. 다음 항목을 함께 검토해야 합니다.
- 무로그 정책의 외부 감사 여부와 감사 기관 신뢰도
- 서버가 RAM 전용으로 운영되는지 여부
- 킬 스위치, DNS 누수 방지 등 기술적 보호 장치
- 현금이나 암호화폐 등 익명 결제 수단 지원
- 정기적인 투명성 보고서 발행 여부
- 오픈소스 클라이언트 공개 여부
자주 묻는 질문
14 Eyes 회원국 본사 VPN을 절대 쓰지 말아야 하나요?
절대 금지는 아닙니다. RAM 전용 서버, 외부 감사 통과, 투명성 보고서 발행 같은 보완 장치가 충분히 갖춰져 있다면 14 Eyes 회원국 본사 VPN도 안전하게 사용할 수 있습니다. 다만 보완 장치가 약하다면 회피하는 것이 좋습니다.
한국 본사 VPN은 없나요?
한국에 본사를 둔 VPN은 일부 존재하지만, 한국의 통신비밀보호법과 사이버 안보 관련 법률을 고려하면 데이터 보호 측면에서 해외 검증된 VPN보다 우수하다고 보기는 어렵습니다.
중국 VPN은 안전한가요?
중국 본사 VPN은 파이브 아이즈와는 완전히 별개의 위험이 있습니다. 중국 국가정보법에 의해 모든 기업이 정부 요청에 협조할 의무가 있고, 무료 또는 저가 VPN 중 일부는 사용자 데이터 자체가 상품으로 거래된 사례가 있어 적극적으로 피하는 것이 좋습니다.
관할권이 좋아도 무료 VPN은 위험한가요?
네, 관할권과 무관하게 무료 VPN은 운영비를 광고나 데이터 판매로 충당하기 때문에 위험합니다. ProtonVPN처럼 검증된 무료 플랜이 있는 서비스는 예외이지만, 일반적으로 무료 VPN은 회피 대상입니다.
다음 글에서 다룰 내용
관할권은 중요한 신호이지만, 실제로 각 VPN 업체가 과거에 정부 데이터 요청을 받았을 때 어떻게 대응했는지가 진짜 시험대입니다. 다음 글에서는 NordVPN, Surfshark, ProtonVPN, ExpressVPN, Mullvad 5개 업체의 실제 정보 공개 사례와 대응을 정리합니다.
NordVPN
파이브 아이즈 외부 관할권에 위치하며 PwC 외부 감사를 두 차례 통과한 무로그 VPN입니다. 최대 10대 동시 연결과 30일 환불 보증을 제공합니다.
NordVPN 최대 73% 할인받기시리즈 다른 글