합법적인 감청이란 무엇인가요?

합법적 감청(LI)은 법 집행 기관, 정보 서비스 또는 사법 또는 규제 감독을 받는 기타 승인된 정부 기관에서 음성 통화, 문자 메시지, 이메일, 인터넷 검색, VoIP 세션 및 인스턴트 메시징을 포함한 통신을 법적으로 승인된 방식으로 모니터링하는 것을 말합니다. 불법 감시나 대량 데이터 수집과는 달리 합법적인 감청은 법원 명령, 영장 또는 이에 준하는 법적 수단에 근거하여 특정 개인 또는 통신 채널을 대상으로 하며 국내 법률 및 국제 표준에 따라 수행됩니다.

합법적인 감청의 목적은 범죄 수사, 대테러 작전, 국가 안보 목표, 그리고 일부 관할권에서는 규제 집행을 지원하는 것입니다. 통신 사업자, 인터넷 서비스 제공업체(ISP), 오버더톱(OTT) 통신 플랫폼, 그리고 점점 더 많은 클라우드 서비스 제공업체는 법에 따라 허가된 감청을 가능하게 하는 기술적 역량을 인프라에 구축해야 합니다. 이 의무는 모든 전자 통신 서비스 제공업체가 승인된 기관의 요청에 따라 활성화할 수 있는 감청 인터페이스, 중개 시스템 및 전달 메커니즘을 구현하고 유지해야 한다는 것을 의미합니다.

합법적인 감청은 데이터 보존과는 근본적으로 다릅니다. 데이터 보존은 정해진 기간 동안 통신 메타데이터(누가 누구에게 언제, 얼마 동안 전화를 걸었는지 등)를 포괄적으로 저장하는 반면, 합법적 감청은 실제 통신 내용(발화된 단어, 메시지 텍스트, 전송된 파일)을 실시간 또는 거의 실시간으로 캡처하는 것입니다. 두 분야는 밀접하게 관련되어 있으며 통합 규정 준수 플랫폼을 통해 관리되는 경우가 많지만, 법적 및 운영상의 목적이 서로 다릅니다.

합법적 감청의 간략한 역사

합법적으로 통신을 감청한다는 개념은 현대 통신만큼이나 오래된 개념입니다. 아날로그 전화 시대에는 구리선을 물리적으로 도청하면 음성 대화를 캡처할 수 있었기 때문에 감청이 비교적 간단했습니다. 네트워크가 회로 전환형에서 패킷 전환형 아키텍처로 진화하고 통신이 유선에서 모바일 디바이스 및 인터넷 기반 플랫폼으로 이동함에 따라 합법적인 감청의 기술적 복잡성은 기하급수적으로 증가했습니다.

미국에서는 1994년 법 집행을 위한 통신 지원법(CALEA)이 통신 사업자에게 감청 기능이 내장된 시스템을 설계하도록 요구하는 최초의 포괄적인 입법 체계 중 하나였습니다. 유럽에서는 1996년 유럽연합 이사회가 결의안 96/C 329/01을 채택하여 유럽연합 회원국 전체에서 합법적인 감청을 조화롭게 시행하기 위한 토대를 마련한 감청에 관한 국제 요건을 제정했습니다. 이후 유럽전기통신표준협회(ETSI)는 ES 201 671로 시작하여 TS 102 232 제품군으로 발전한 기술 표준을 개발하여 감청 데이터의 포맷, 암호화 및 법 집행 기관에 전달되는 방법을 정의했습니다.

지난 10년 동안 새로운 도전 과제가 등장했습니다. 대부분 종단 간 암호화를 사용하는 WhatsApp, Telegram, Signal과 같은 OTT 메시징 서비스의 등장으로 입법자와 표준 기관은 합법적인 감청 의무를 비전통적 통신 플랫폼에 적용하는 방법을 재고해야 했습니다. ETSI는 TS 103 707(OTT 서비스용 LI)과 TR 103 854(커넥티드 차량용 LI)로 이에 대응했고, EU는 유럽 전자 통신 규정(EECC, 지침 2018/1972)을 채택하여 더 광범위한 서비스 제공업체로 감청 의무를 확대했습니다.

전 세계 합법적 감청을 위한 법적 프레임워크

합법적인 감청은 국내법, 지역 지침 및 국제 협약이 복합적으로 적용됩니다. 구체적인 법적 수단은 국가마다 다르지만 기본 원칙은 일관적입니다. 통신 사업자는 유효한 법적 명령이 있을 경우 통신에 대한 승인된 액세스를 허용해야 한다는 것입니다. 다음은 전 세계의 합법적인 감청 의무를 규정하는 주요 법적 프레임워크에 대한 개요입니다.

유럽 연합

유럽 전자 통신 규정(지침 2018/1972)은 EU 전체 감청 정책의 초석입니다. 이 지침은 기존 전화, VoIP, 이메일 및 개인 간 메시징 플랫폼을 포함한 모든 전자 통신 서비스 제공업체가 국가 당국의 요청이 있을 경우 합법적인 감청을 허용하도록 요구합니다. 각 EU 회원국은 이 지침을 국내법에 반영하고 있습니다. 독일에서는 통신법(TKG), 특히 108조(이전의 110조)와 기술법(Technische Richtlinie TR TKÜV)이 사업자가 충족해야 하는 정확한 기술 및 운영 요건을 정의하고 있습니다. 독일연방네트워크청(Bundesnetzagentur)은 차단 시스템을 인증하고 규정 준수를 감독하는 규제 기관의 역할을 합니다. 또한 EU 전자 증거 규정(EU) 2023/1543은 유럽 생산 및 보존 명령을 통해 전자 증거에 접근하기 위한 새로운 국경 간 프레임워크를 도입하며, 2026년 8월 18일부터 전면 적용됩니다.

미국

1994년 제정된 법집행을 위한 통신 지원법(CALEA)에 따라 통신 사업자는 합법적인 감청이 가능하도록 장비와 시스템을 설계해야 합니다. CALEA는 광대역 인터넷 액세스 제공업체와 특정 VoIP 서비스를 포함하도록 점진적으로 확대되었습니다. 연방수사국(FBI)과 법무부가 규정 준수를 감독하며, 기술 표준은 통신 산업 솔루션 연합(ATIS)과 통신 산업 협회(TIA)에서 유지 관리합니다. 해외정보감시법(FISA)은 정보 관련 감청을 위한 별도의 법적 프레임워크를 제공하며, FISA 법원을 통해 관리됩니다.

영국

수사권법 2016(일반적으로 스누퍼 헌장이라고도 함)은 영국에서 합법적인 감청의 법적 근거를 제공합니다. 이 법은 감청 영장, 장비 감청 영장 및 대량 데이터 수집 승인에 대한 프레임워크를 수립합니다. 이 법은 독립적인 감독 기관으로 수사권감독청(IPCO)을 설립했습니다. 서비스 제공업체는 영구적인 감청 기능을 유지할 의무가 있으며 내무부 장관이 발행하는 기술 역량 고시를 준수해야 합니다.

아시아 태평양

2018년 통신 및 기타 법률 개정(지원 및 접근) 법에 의해 개정된 호주의 통신(감청 및 접근) 법 1979(TIA 법)에 따르면 통신 사업자는 감청 기능을 구축해야 하며, 논란의 여지가 있지만 필요한 경우 암호화를 우회하는 기술 지원을 제공해야 합니다. 인도에서는 1885년 인도 전신법 5조 2항에 따라 2009년 정보 기술(정보 감청, 모니터링 및 암호 해독을 위한 절차 및 안전장치) 규칙에 따라 중앙 및 주 정부가 감청을 명령할 수 있는 권한이 있습니다. 일본의 범죄 수사를 위한 감청법 1999는 감청을 심각한 범죄 범죄로 제한하고 사법부의 허가를 요구하는 등 보다 제한적인 프레임워크를 제공합니다.

중동 및 아프리카

중동과 아프리카의 많은 국가에서 광범위한 사이버 보안 또는 국가 안보 프레임워크의 일환으로 합법적인 감청 관련 법률을 제정했습니다. 아랍에미리트의 루머 및 사이버 범죄 퇴치에 관한 연방법 제34호에는 합법적인 감청에 관한 조항이 포함되어 있습니다. 남아프리카공화국의 2002년 통신 감청 및 통신 관련 정보 제공에 관한 법률 70(RICA)은 제공업체 협력 및 데이터 보존 요건을 포함하는 포괄적인 감청 프레임워크를 수립하고 있습니다. 이러한 지역에서는 기술 구현을 위해 ETSI 기반 표준을 점점 더 많이 채택하고 있습니다.

ETSI의 합법적인 감청 표준은 유럽 전역에서 사용될 뿐만 아니라 중동, 아프리카, 아시아 일부 지역 및 라틴 아메리카의 규제 기관에서 채택하거나 참조하고 있습니다. 이 표준은 사업자의 네트워크 내부에 위치하여 대상 통신을 격리하는 내부 감청 기능(IIF), 감청된 데이터를 형식화, 상호 연관 및 암호화하는 중개 및 전달 기능(MF/DF), 전달된 정보를 수신하고 처리하는 기관의 시스템인 법 집행 모니터링 시설(LEMF)의 세 가지 아키텍처를 정의하고 있습니다. 이 아키텍처는 운영자의 네트워크와 법 집행 도메인을 명확하게 분리합니다.

합법적인 감청은 어떻게 이루어지나요? 기술 아키텍처

합법적인 감청 시스템의 기술 아키텍처는 정상적인 네트워크 운영을 방해하지 않으면서 효율적이고 안전하게 승인된 감청을 수행할 수 있도록 설계되었습니다. 구현 방식은 네트워크 유형과 공급업체에 따라 다르지만 핵심 아키텍처는 ETSI에서 정의하고 전 세계적으로 채택된 표준화된 모델을 따릅니다. 이러한 구성 요소를 이해하는 것은 규정 준수 인프라를 계획하는 사업자에게 필수적입니다.

1단계: 워런트 활성화 및 대상 프로비저닝

합법적인 감청 절차는 법 집행 기관(LEA)이 유효한 법적 명령(일반적으로 법원에서 발급한 영장 또는 사법부의 허가)을 서비스 제공업체에 제시하면 시작됩니다. 영장에는 대상 신원(예: 전화번호, 이메일 주소, IP 주소 또는 디바이스 식별자), 감청 범위(콘텐츠, 메타데이터 또는 둘 다) 및 승인된 기간이 명시되어 있습니다. 제공업체의 LI 관리 기능은 영장의 유효성을 검사하고 합법적 감청 관리 시스템(LIMS)이라고도 하는 감청 관리 시스템에 대상을 제공합니다. 이 시스템은 모든 활성 영장의 수명 주기를 유지하고 승인된 대상만 감청할 수 있도록 보장합니다.

2단계: 내부 차단 기능(IIF)

대상이 프로비저닝되면 스위치, 세션 경계 컨트롤러, 미디어 게이트웨이, 심층 패킷 검사(DPI) 프로브 또는 전용 LI 노드와 같은 사업자의 네트워크 요소에 내장된 내부 차단 기능이 대상의 통신을 격리하기 시작합니다. 기존 음성 통화의 경우 IIF는 시그널링(통화 설정, 해체, 포워딩 이벤트)과 미디어 스트림(실제 오디오)을 캡처합니다. 인터넷 트래픽의 경우 IP 세션 데이터, 웹 브라우징 활동, 이메일 콘텐츠 또는 인스턴트 메시지를 캡처할 수 있습니다. IIF는 네트워크 내에서 투명하게 작동하므로 대상은 감청 사실을 알 수 없어야 하며 다른 모든 사용자의 서비스 품질에는 영향을 미치지 않아야 합니다.

3단계: 중개 및 전달 기능(MF/DF)

중개 기능은 IIF로부터 감청된 원시 데이터를 수신하고, 관련 ETSI 표준에서 요구하는 형식(일반적으로 TS 102 232에 따라 인코딩된 ASN.1)으로 정규화하고, 감청 관련 정보(IRI)를 통신 내용(CC)과 연관시키고, 보안 전송을 위해 암호화를 적용하고, 형식이 지정된 데이터를 핸드오버 인터페이스를 통해 법 집행 기관에 전달합니다. 전달 기능은 LEA의 모니터링 시설에 대한 보안 통신 채널을 관리하여 세션 관리, 흐름 제어 및 전달 확인을 처리합니다. 이 구성 요소는 다양한 네트워크 요소의 다양한 내부 형식을 표준화된 핸드오버 형식으로 변환하여 규정을 준수하는 모든 LEMF가 처리할 수 있도록 하기 때문에 매우 중요합니다.

4단계: 법 집행 모니터링 시설(LEMF)

LEMF는 법 집행 기관에서 운영하는 시스템으로, 감청된 통신을 수신, 해독, 저장 및 제시하는 역할을 합니다. LEMF는 두 가지 유형의 데이터를 수신합니다: IRI(통화 세부 기록, 세션 정보, 가입자 식별자 및 위치 데이터 등의 메타데이터)와 CC(오디오 스트림, 메시지 텍스트, 파일 전송 등의 실제 콘텐츠)입니다. 최신 LEMF는 분석가를 위한 그래픽 인터페이스를 제공하고 실시간 모니터링, 기록 검색, 대상 상관관계 및 사례 관리를 지원합니다. 운영자는 LEMF에 대한 가시성이 없으며 전송된 후에는 가로챈 데이터에 액세스할 수 없습니다.

누가 합법적인 감청 요건을 준수해야 하나요?

합법적인 감청 의무의 범위는 지난 20년 동안 크게 확대되었습니다. 원래 유선 전화 및 모바일 네트워크 사업자와 같은 전통적인 통신 사업자로 제한되었던 규제 범위는 이제 훨씬 더 광범위한 조직을 포괄합니다. 규정 준수를 위한 첫 번째 단계는 조직이 해당 범위에 속하는지 여부를 이해하는 것입니다.

ICS가 합법적인 감청 규정 준수를 지원하는 방법

ICS(International Carrier Services GmbH)는 독일에 본사를 둔 합법적 감청 및 규정 준수 기술 전문 회사입니다. 합법적 감청 인프라를 구현, 유지 또는 업그레이드해야 하는 통신사업자 및 서비스 제공업체를 위한 엔드투엔드 솔루션을 제공합니다. 당사의 포트폴리오에는 영장 관리, 중재 및 인계를 위한 합법적 감청 관리 시스템(LIMS), 신속한 배포를 위한 플러그 앤 플레이 하드웨어 어플라이언스, 규정 준수 기능을 아웃소싱하려는 사업자를 위한 관리형 LI 운영, 규정 해석, 시스템 설계 및 인증을 포함하는 자문 서비스 등이 포함됩니다.

당사의 솔루션은 독일 연방통신국(Bundesnetzagentur)의 인증을 받았으며 TS 102 232, TS 103 707, TS 102 657 및 TR 103 854를 지원하는 ETSI 호환 아키텍처를 기반으로 구축되었습니다. 모바일 네트워크, 고정 광대역 서비스, VoIP 플랫폼 또는 OTT 메시징 애플리케이션을 운영하든 ICS는 모든 관할권과 네트워크 기술에서 합법적인 감청 의무를 준수할 수 있도록 기술, 전문 지식 및 운영 지원을 제공합니다.