TKG 2021에 따른 오스트리아의 합법적 감청 요건은 통신 사업자에게 고유한 과제를 제시합니다. 오스트리아의 통신 규제 환경은 이전의 TKG 2003을 대체하고 오스트리아의 법적 프레임워크를 유럽 전자 통신법(EECC)과 더욱 밀접하게 일치시키는 Telekommunikationsgesetz 2021(TKG 2021)의 도입으로 큰 변화를 겪었습니다. 사업자, 특히 MVNO와 신규 시장 진입자의 경우 오스트리아 시장에서 규정 준수를 달성하고 유지하기 위해서는 합법적인 감청에 대한 TKG 2021의 의미를 이해하는 것이 필수적입니다.
오스트리아의 합법적 감청에 대한 접근 방식은 잘 정의된 법적 프레임워크와 연방보안청(BRZ)을 통해 운영되는 중앙집중식 기술 인프라를 결합합니다. 이러한 이중 구조는 운영자가 TKG 2021 및 Strafprozessordnung(StPO)에 명시된 법적 요건과 감청된 통신을 전달하기 위해 BRZ에서 요구하는 기술 사양을 모두 충족해야 함을 의미합니다. 어느 한 쪽이라도 잘못하면 규제 제재, 형사 책임 또는 두 가지 모두에 해당할 수 있습니다.
TKG 2021에 따른 합법적 감청 오스트리아
TKG 2021은 공공 통신 서비스 제공업체가 합법적인 감청 요청에 협조해야 하는 일반적인 의무를 규정하고 있습니다. TKG 2021의 섹션 94는 사업자가 감청을 실행하고 그 결과 데이터를 관할 당국에 제공할 수 있는 기술적 역량을 유지해야 한다고 규정하고 있습니다. 이 의무는 규모나 비즈니스 모델에 관계없이 모든 공공 통신 서비스 제공업체에 적용되며, MVNO는 예외가 아닙니다.
감청 명령의 절차적 근거는 StPO(형사소송법)에 나와 있습니다. 오스트리아 법에 따라 합법적인 감청 명령은 일반적으로 검사의 신청에 따라 법원에서 발부해야 합니다. StPO는 감청 명령을 발동할 수 있는 범죄의 유형, 최대 감시 기간, 연장 허가 조건 등을 명시하고 있습니다. 운영자는 유효한 법원 명령을 준수해야 할 법적 의무가 있으며, 이를 거부하거나 부당하게 지연할 경우 처벌을 받을 수 있습니다.
오스트리아 법에서 중요한 차이점 중 하나는 콘텐츠 데이터(Inhaltsdaten)의 감청과 트래픽 데이터(Verkehrsdaten) 및 위치 데이터(Standortdaten)의 수집입니다. 각 범주에는 서로 다른 법적 기준과 절차적 요건이 있습니다. 콘텐츠 감청은 더 높은 증거 기준이 필요하고 더 엄격한 사법적 감독을 받는 반면, 트래픽 및 위치 데이터 요청은 여전히 사법적 승인이 필요하지만 더 광범위한 범죄에 적용됩니다.
또한 TKG 2021에서는 포괄적 데이터 보존을 무효화하는 유럽사법재판소(CJEU)의 판결 이후 논란이 되었던 데이터 보존 조항에 대한 업데이트도 소개했습니다. 오스트리아는 현재 보편적으로 적용되는 것이 아니라 특정 법적 요청에 따라 보존 의무가 발동되는 대상별 데이터 보존 시스템을 운영하고 있습니다. 운영자는 이러한 조항이 일반적인 LI 의무와 어떻게 상호 작용하는지 이해하여 규정 준수에 공백이 생기지 않도록 해야 합니다.
BRZ: 오스트리아의 중앙 LI 인터페이스
연방통신센터(BRZ)는 오스트리아의 연방 컴퓨팅 센터로, 합법적인 감청 생태계에서 중추적인 역할을 담당하고 있습니다. BRZ는 감청된 통신이 운영자로부터 요청하는 법 집행 기관에 전달되는 중앙 플랫폼을 운영합니다. 이 중앙 집중식 모델은 네덜란드의 NBIP와 개념이 유사하며, 오스트리아의 모든 사업자는 BRZ의 시스템에 기술적으로 연결되어야 합니다.
BRZ 인터페이스 사양은 감청된 데이터를 포맷, 암호화 및 전송하는 방법을 정의합니다. 사업자는 HI1, HI2 및 HI3에 대한 ETSI 표준에 따라 필요한 핸드오버 인터페이스를 구현해야 하며, 시스템이 규정된 형식으로 감청 관련 정보(IRI)와 통신 내용(CC)을 모두 제공할 수 있는지 확인해야 합니다. BRZ는 등록된 운영자에게 자세한 기술 문서를 제공하며, 운영자가 실시간 감청 주문을 처리하도록 허용되기 전에 이러한 사양을 준수하는지 테스트합니다.
BRZ의 역할은 단순한 데이터 전송 그 이상입니다. 또한 감청 명령에 대한 관리 워크플로우를 관리하여 법원 명령을 운영자에게 전달하고 운영자가 감청의 활성화, 수정 또는 비활성화를 확인할 수 있는 안전한 채널을 제공합니다. 이 관리 인터페이스(ETSI 용어로는 HI1에 해당)는 운영자가 프로세스의 무결성과 기밀성을 보장하기 위해 보안 인증 및 로깅 메커니즘을 구현하도록 요구합니다.
오스트리아 시장에 처음 진출하는 사업자의 경우 규정 준수 여정에서 가장 먼저 BRZ와 협력하는 것이 중요합니다. BRZ는 온보딩 세션을 진행하고, 기술 사양을 제공하며, 상호운용성 테스트 일정을 잡습니다. 특히 호스트 MNO의 인프라와 조율해야 하는 MVNO의 경우 일정, 개발 및 테스트 주기가 길어질 수 있으므로 사업자는 이 프로세스에 몇 개월을 고려해야 합니다.
MVNO별 고려 사항
오스트리아에서 운영되는 MVNO는 다른 유럽 시장과 마찬가지로 합법적인 감청에 대한 법적 의무는 등록 서비스 제공자인 MVNO에 있지만, 감청할 수 있는 기술적 능력은 호스트 MNO에 있는 경우가 많다는 근본적인 문제에 직면해 있습니다. TKG 2021은 MVNO에 대한 감청 의무를 면제하거나 감면하지 않습니다. 독일연방통신규제청(RTR)에 신고를 한 경우 감청 의무를 전적으로 부담해야 합니다.
즉, MVNO는 BRZ와 연동할 수 있는 중개 기능을 포함한 자체 LI 인프라를 구축하거나 호스트 MNO와 공식 계약을 체결하여 MNO가 MVNO를 대신하여 차단을 수행해야 합니다. 후자의 경우에도 MVNO는 해당 계약이 BRZ 요건을 충족하는지 확인하고 MVNO가 프로세스에 대한 가시성과 통제권을 유지해야 합니다. 공식적인 계약과 기술적 검증 없이 단순히 MNO에 책임을 위임하는 것은 오스트리아 규제 당국이 간과하지 않을 컴플라이언스 리스크입니다.
MVNO의 아키텍처 모델도 중요합니다. 자체 핵심 네트워크 요소를 운영하는 풀 MVNO는 차단 기능을 보다 직접적으로 제어할 수 있으며 BRZ와 직접 인터페이스하는 LI 시스템을 구현할 수 있습니다. 호스트 MNO의 인프라에 더 많이 의존하는 라이트 MVNO와 리셀러는 더 큰 의존성에 직면하며 계약 및 절차적 안전장치에 더 많은 투자를 해야 합니다.
MVNO에게 특히 복잡한 영역 중 하나는 VoLTE 트래픽 처리입니다. 오스트리아 사업자들이 음성 서비스를 LTE로 마이그레이션하고 점점 더 5G로 전환함에 따라 음성 통화 차단이 서킷 스위치형 인프라에서 패킷 스위치형 인프라로 전환되었습니다. VoLTE 서비스를 위해 호스트 MNO에 의존하는 MVNO는 기술적 메커니즘이 기존의 서킷 전환 차단과 크게 다르기 때문에 LI 계약에서 VoLTE 통화 차단을 보장해야 합니다.
기술 구현 요구 사항
오스트리아의 LI에 대한 기술 요구사항은 ETSI 표준을 따르지만 BRZ에 맞게 조정된 내용이 포함되어 있습니다. 사업자는 BRZ에서 지정한 형식의 IRI(HI2를 통한) 및 CC(HI3를 통한) 제공을 지원해야 합니다. IRI는 가로채는 통신 유형에 따라 발신 및 수신 번호, 타임스탬프, 셀 식별자, IP 주소 등 필요한 모든 메타데이터를 포함해야 합니다.
음성 감청의 경우, CC는 실시간 오디오 스트림으로 전달되어야 합니다. 데이터 감청의 경우, CC는 대상의 세션과 관련된 IP 패킷으로 구성됩니다. 두 경우 모두, 데이터는 암호화된 전송 메커니즘을 사용하여 BRZ로 안전하게 전달되어야 합니다. BRZ는 운영자가 따라야 하는 암호화 프로토콜과 키 관리 절차를 지정합니다.
또한 운영자는 강력한 표적 식별 기능을 구현해야 합니다. 오스트리아의 감청 명령은 전화 번호(MSISDN), IMSI, IMEI, IP 주소 또는 이메일 주소로 대상을 식별할 수 있습니다. 사업자의 LI 시스템은 이러한 식별자를 활성 세션 또는 가입자로 확인하고 그에 따라 감청을 시작할 수 있어야 합니다. MVNO의 경우, 대상을 정확하게 식별하고 추적하기 위해 호스트 MNO의 가입자 관리 시스템과의 통합이 필요할 수 있습니다.
운영자가 실시간 감청 명령을 받기 전에 BRZ를 사용한 테스트는 필수입니다. 테스트 프로세스에는 음성 통화 차단, SMS 차단, 데이터 세션 차단, 다양한 선택기를 사용한 대상 식별 등 여러 시나리오가 포함됩니다. 운영자는 모든 테스트 케이스를 통과해야만 운영 인증을 받을 수 있습니다. BRZ는 각 사업자의 인증 상태에 대한 기록을 유지하며 시스템이 업그레이드되거나 수정될 경우 주기적으로 재인증을 요구할 수 있습니다.
규정 준수 일정 및 시행
오스트리아의 통신 규제 기관인 RTR은 합법적인 감청 의무를 포함하여 TKG 2021의 준수를 감독할 책임이 있습니다. RTR은 일반적으로 독일의 BNetzA와 같은 방식으로 LI 시스템에 대한 사전 감사를 수행하지는 않지만, 불만 사항을 조사하고 규정 위반 신고에 대응하며 제재를 부과할 수 있는 권한을 가지고 있습니다. 또한 오스트리아 형사 사법 시스템은 StPO의 방해 조항에 따라 유효한 감청 명령을 준수하지 않는 사업자를 추적할 수 있습니다.
오스트리아 시장에 진출하는 사업자는 BRZ에 처음 참여한 시점부터 완전한 운영 역량을 갖추기까지 최소 6개월에서 12개월의 규정 준수 일정을 계획해야 합니다. 이 일정에는 기술 개발, 통합 테스트, BRZ 상호 운용성 테스트 및 내부 프로세스 개발이 포함됩니다. 공급망이 더 복잡한 MVNO의 경우, 특히 LI 조항을 포함하도록 호스트 MNO와의 계약을 재협상해야 하는 경우에는 더 오랜 시간이 소요될 수 있습니다.
오스트리아의 규제 집행 환경은 진화하고 있습니다. 통신 시장이 더욱 세분화되고 새로운 MVNO, IoT 사업자, OTT 사업자가 시장에 진입함에 따라 LI 규정 준수에 대한 규제 당국의 관심이 높아질 것으로 보입니다. 강력한 규정 준수 프레임워크를 조기에 구축하는 사업자는 향후 규제 변화에 적응하고 단속 조치를 피할 수 있는 유리한 위치에 서게 될 것입니다.
실용적인 권장 사항
오스트리아에서 합법적인 감청 규정 준수를 준비하는 사업자에게는 몇 가지 실용적인 단계를 권장합니다. 먼저 TKG 2021과 StPO의 관련 섹션을 철저히 검토하여 법적 의무를 이해합니다. 형사소송법과 통신 규정 간의 상호 작용에는 전문 지식이 필요하므로 오스트리아의 통신에 대한 전문 지식을 갖춘 법률 고문을 고용하세요.
계획 프로세스 초기에 BRZ에 연락하여 온보딩 절차를 시작하고 최신 기술 사양을 확보하세요. 사내 또는 관리형 서비스 제공업체를 통해 BRZ의 인터페이스 요구 사항을 충족하도록 기술 인프라를 개발하세요. LI 관리 시스템이 수신 및 활성화부터 모니터링 및 비활성화에 이르기까지 차단 명령의 전체 수명 주기를 지원하는지 확인하세요.
MVNO인 경우, 호스트 MNO 계약을 검토하고 필요한 경우 재협상하여 LI 책임을 명시적으로 다루세요. 감청 요청에 대한 명확한 에스컬레이션 경로와 응답 시간 약속을 수립하세요. 마지막으로 액세스 제어, 기밀 유지 절차, 감사 추적 등 감청 요청을 처리하기 위한 내부 프로세스를 개발하고 문서화하세요.
결론
오스트리아의 합법적인 감청 프레임워크는 TKG 2021에 의해 고정되고 BRZ를 통해 운영되며, 체계적이지만 까다로운 규정 준수 환경을 나타냅니다. MVNO와 신규 시장 진입자의 경우 법적 의무와 기술적 요구 사항이 결합되어 있기 때문에 조기 계획, 규제 기관 및 BRZ와의 적극적인 참여, 강력한 LI 인프라에 대한 투자가 필수적입니다. 규정 미준수로 인한 결과(규제 제재, 형사 책임, 평판 손상)는 처음부터 올바르게 대응하는 데 드는 비용보다 훨씬 더 큽니다. 오스트리아의 LI 환경을 이해하고 규정 준수에 대한 체계적인 접근 방식을 취함으로써 사업자는 이 중요한 유럽 시장에서 장기적인 성공을 위한 탄탄한 기반을 구축할 수 있습니다.
BRZ가 기술 인터페이스를 현대화함에 따라 합법적인 감청 오스트리아 규정 준수 환경은 계속 진화하고 있습니다. 사업자는 합법적인 감청 오스트리아 구현이 현재 사양과 일치하도록 해야 합니다.
관련 기사
관련 주제에 대한 자세한 내용은 다음 문서를 참조하세요:
- 네덜란드의 LI 요건: BWNI, NBIP 및 MVNO가 알아야 할 사항
- 이탈리아의 LI 프레임워크: 가란테, AGCOM, 그리고 해외 사업자가 놓치는 것들
- BNetzA LI 감사를 통과하는 방법: 검사관이 실제로 확인하는 사항
외부 리소스
다음 외부 리소스에서 추가 컨텍스트와 공식 문서를 확인할 수 있습니다:
