캐나다 C‑22 법안과 데이터 수집 확대에 따른 보안 비용

Source: Tailscale Blog

Tailscale & Bill C‑22

Tailscale는 전 세계 사용자와 고객에게 서비스를 제공하는 캐나다 기업입니다.

Bill C‑22가 중요한 이유

우리는 Bill C‑22 – 법적 접근법(Lawful Access Act), 2026 – 를 면밀히 주시하고 있습니다. 이 법안은 전 세계적인 흐름을 반영합니다. 즉, 정부가 인터넷 시대에 맞춰 법적 접근 규칙을 업데이트하고 있다는 것이죠. 일부 제안은 합리적이지만, 다음과 같은 점에서는 지나칩니다:

• 기업에 필요 이상으로 데이터를 보관하도록 요구
• 감시 기능을 구축하도록 강제
• 보안 시스템을 설계 단계부터 접근하기 쉽게 만듦

누가 영향을 받나요?

• 캐나다 기업(예: Tailscale)
• 캐나다 내 사용자에게 서비스를 제공하는 모든 기업
• 현대 암호화 서비스를 이용해 프라이버시와 보안을 유지하는 모든 사용자

법 집행과 프라이버시 사이의 균형

법 집행기관과 정보기관은 중대한 범죄를 조사할 도구가 필요합니다. 요청이 다음과 같은 경우에만:

1. 구체적
2. 법적
3. 법원의 허가

제공자는 실제로 보유하고 있는 데이터만 제공해야 합니다.

Bill C‑22에 대한 우려

Bill C‑22의 문구는 이러한 원칙을 넘어서는 부분이 있으며 여러 가지 우려를 낳습니다:

• 사용자 데이터의 과도한 수집·보관 가능성
• 보안 메커니즘을 구축하거나 약화시켜야 하는 의무
• 해석이나 남용이 쉬운 광범위하고 모호한 표현

자세한 내용은 캐나다 의회 웹사이트에 있는 법안 첫 번째 독회를 확인하세요: Parliament of Canada website.

Bill C‑22가 바꾸는 내용 {#what-bill-c-22-would-change}

Bill C‑22는 “전자 서비스 제공자”를 위한 법적 접근 프레임워크를 도입합니다. 정의가 의도적으로 넓게 잡혀 있습니다:

• 디지털 정보를 생성·저장·처리·전송·수신·제공하는 모든 서비스를 포함.
• 캐나다인에게 제공되거나 캐나다에서 사업을 영위하는 기업에 적용.
• 전통적인 전화회사나 ISP에만 국한되지 않으며, 현대 인터넷의 대부분을 포괄합니다.

핵심 제공자

법안에 따라 “핵심 제공자”는 다음을 요구받을 수 있습니다:

1. 정부 접근을 가능하게 하는 기술 역량을 개발·평가·테스트·유지
2. 그러한 접근을 돕는 장비를 설치·사용·운영·유지

데이터 보관 요구사항

법령은 또한 특정 메타데이터(예: 전송 데이터) 를 최대 1년 동안 보관하도록 요구하는 규정을 허용합니다.

왜 중요한가

• 프라이버시 반발: 전 세계 정부는 사용자 프라이버시 보호를 위해 데이터 보관 기준을 낮추는 움직임(GDPR 등)을 보여왔습니다.
• 반대 방향: 강제 보관은 기술 기업이 원래보다 더 많은 개인 정보를 보관하게 만들며, 이는 사용자 보호가 아니라 규제 준수를 위한 것입니다.

“보안과 프라이버시에 관심이 있는 사람이라면 누구든지 우려해야 합니다. Tailscale도 마찬가지입니다.”

보안·프라이버시·캐나다 인터넷 미래에 대한 더 넓은 함의가 궁금하다면, 곧 발표될 우리의 분석을 기대해 주세요.

Tailscale VPN이 수집하는 것과 하지 않는 것

Tailscale의 VPN은 익명성 서비스가 아닙니다. 우리는 보안 연결을 위한 신원 인식 네트워크입니다. 서비스를 운영하려면 다음 정보를 알아야 합니다:

• 계정 및 디바이스
• 디바이스가 연결되는 IP 주소
• 운영 체제
• 연결 상태 및 기본적인 연결 정보

이 정보는 NAT 트래버설, 신뢰성, 악용 방지, 지원 등에 필요합니다.

제품이 하지 않는 것

• 트래픽 검사 없음 – Tailscale VPN은 고객 트래픽을 검사하지 않습니다.
• 브라우징 활동, 공개 DNS 질의, 콘텐츠 로그 없음 – Tailnet 내부 트래픽은 WireGuard로 종단 간 암호화되며, 고객 개인 키는 고객 디바이스를 떠나지 않습니다. 우리 릴레이 서버조차 트래픽을 복호화할 키가 없습니다.

이것은 단순히 정책상의 선택이 아니라 제품에 내재된 설계입니다. Tailscale VPN은 오픈 소스이므로, 암호화된 연결을 처리하는 코드는 누구나 확인할 수 있습니다. 이러한 극단적인 프라이버시 보호가 캐나다 제품이 전 세계 사용자에게 사랑받는 이유입니다.

Bill C‑22가 우려되는 이유

Bill C‑22는 데이터 최소화(보안 미덕)를 컴플라이언스 문제로 전환시킬 위험이 있습니다.

• 목표형 vs. 대량 수집 – 특정 조사에 필요한 데이터를 보존하는 것은 목표형이며 책임이 있습니다. 반면, 언젠가 유용할 수도 있다는 이유로 대량 수집·보관을 강제하면 범위에 포함된 모든 서비스의 설계 인센티브가 바뀝니다.
• 새로운 공격 표면 – 법이 기업에게 메타데이터를 더 많이 보관하도록 강제하면 새로운 데이터베이스가 생깁니다. 이 데이터베이스는 접근 제어, 감사 로그, 백업, 운영자, 보존 시스템, 법적 절차, 사고 대응 계획 등을 필요로 합니다. 이는 공격 표면이 늘어나고 도난·오용 유혹이 커지는 상황입니다.

가장 안전한 데이터베이스는 아예 만들지 않은 데이터베이스입니다.

보안 시스템은 덜 수집하고, 덜 노출하고, 불필요한 민감 접근 경로를 없앨 때 가장 강력합니다. 반대로 데이터를 더 많이 수집·보관하도록 요구하는 법은 장기적인 위험을 증가시킵니다. 법적 목적을 위해 설계된 시스템이지만, 그 시스템 자체가 부적절한 권한, 버그, 공격자에게 새로운 표적이 됩니다.

우리의 입장

• Tailscale는 실제로 보유하고 있는 데이터에 대해 법적이고 구체적인 요청에만 응합니다.
• 더 많은 데이터 수집, 메타데이터 보관 확대, 암호화 약화, 새로운 접근 시스템 구축을 강요하는 법에 반대합니다.

Bill C‑22가 바뀌어야 할 방향 {#how-bill-c-22-should-change}

캐나다는 소비자를 보호하는 안전한 인프라를 구축하기에 좋은 장소가 되어야 합니다. 현재 초안대로라면 Bill C‑22는 잘못된 방향으로 나아가고 있습니다.

다행히도 수정이 가능합니다. 의회는 심각한 조사에 대한 목표형 법적 접근을 유지하면서도, 보안 서비스가 더 많은 데이터를 수집하거나 아키텍처를 약화시키거나 새로운 공격 표면을 만들도록 강제하지 않을 수 있습니다.

최소한의 수정안

• 가상의 미래 법적 접근 요청을 위한 접근 도구 구축 요구를 삭제
  법적 접근은 구체적인 조사, 구체적인 계정, 구체적인 법원 허가와 연결돼야 합니다. 구체적인 사안이 없으면 감시 도구를 강제해서는 안 됩니다.

• 광범위한 메타데이터 보관을 삭제하거나 엄격히 제한
  제공자는 필요하지 않은 데이터를 수집·보관하도록 강제받아서는 안 됩니다. 보존 명령은 목표형이어야 하며, 추측에 기반해서는 안 됩니다.

• 적용 범위 축소
  보안 소프트웨어 서비스가 통신 인프라 규칙에 무차별적으로 포함되지 않도록 해야 합니다. 법안은 누가 대상인지, 왜 포함되는지를 명확히 해야 합니다.

• 암호화와 보안 아키텍처를 명시적으로 보호
  기술 역량 요구가 보안을 손상시켜서는 안 됩니다. 강제적인 암호화 약화, 키 에스크로, 클라이언트 측 스파이웨어, 보안 보장을 무너뜨리는 제품 변경을 금지해야 합니다.

• 투명성 보고 허용
  제공자는 정부 요청, 명령, 컴플라이언스 의무에 대한 집계 정보를 공개할 수 있어야 합니다.

• 취약점 공개 보호
  제공자가 보안 취약점을 공개·보고·수정하는 것을 금지하는 법은 없어야 합니다.

• 독립적인 감시와 일몰 조항 추가
  특수 권한은 독립 기관의 검토를 거쳐야 하며, 의회가 증거 기반 검토 후 재승인하지 않으면 자동 소멸하도록 해야 합니다.

캐나다에 거주하면서 프라이버시를 중시한다면, 당신의 국회의원에게 연락하세요.

캐나다에 거주하지 않는다면: 같은 논쟁이 여러 나라에서 다른 법안 번호와 약간 다른 문구로 진행되고 있습니다. 원칙은 동일합니다—보안 서비스가 정부 감시를 쉽게 하기 위해 설계가 바뀌어서는 안 됩니다.

캐나다는 공공 안전과 안전한 인프라 사이에서 선택을 강요받을 필요가 없습니다.