2024-03-29 17:50 (금)
Riseup 이메일 서비스의 영장카나리아 종료 후에 대한 우려
상태바
Riseup 이메일 서비스의 영장카나리아 종료 후에 대한 우려
  • 페소아 기자
  • 승인 2016.11.30 00:41
이 기사를 공유합니다

영장카나리아는 매우 유용하나 적절하게 구현되지 않았을 때는 취약할 수 있다. 암호화 메일 서비스인 Riseup.net의 일부 사용자들은 서비스의 영장카나리아가 만료될 것이라는 공지 이후의 서비스 상태에 대해 우려를 표하고 있다.

영장카나리아(warrant canary)는 정보매개자들이 정보제공이 이루어졌음을 이용자에게 알리지 못하도록 한 법적 제약을 회피하기 위해 이용자의 정보제공이 이루어지지 않음을 주기적으로 알리는 통지방식을 말한다.

비밀유지를 이유로 활동가들과 기자들이 많이 사용하는 서비스인 Riseup이 영장카나리아가 데드라인 내에 업데이트되지 않는 것을 해커스뉴스와 레딧의 토론에서 확인되었다.

영장카나리아는 보통 웹페이지에 공개되어 있다. 제거되었을 때 그들은 회사나 서비스가 비밀 감시 명령을 받았음을 의미하고 누군가에게 말하는 것을 방지할 수 있다.

Riseup의 마지막 영장카나리아는 8월 16일 현재 서비스는 "국토안보부나 FISA법원의 명령을 받고 있지 않고 우리는 FISA 법원이나 다른 유사한 정부의 법원 명령에 복종하라는 명령을 받지 못했다"라고 밝히며, "하드웨어나 소프트웨어에 결코 백도어를 설치하지 않았으며, 거기에 대한 요청을 받은 적도 없다. 제3자에게 사용자 통신을 공개하지 않는다"라고 밝혔다. 영장카나리아의 시그니처는 아직 유효하지만, 거기에 대한 업데이트는 없다.

Riseup은 영장카나리아를 분기마다 한번 정도 업데이트한다고 말했다. 1년 중 마지막 분기가 10월 1일에 시작되엇고, 12월 31일까지 영장카나리아를 업데이트해야한다. 또는 일부해 석에 따르면, 해당 분기는 마지막 영장카나리아의 날로부터 3개월 기간을 의미할 수도 있다. 그러나 11월 16일의 마감시한을 놓침으로써 일부 사용자들은 자신들의 계정에 대해 걱정을 표했다.

Riseup의 공동설립자는 비공식 트윗에서 서비스를 중단할 생각이 없으며, 그것은 억압적인 감시의 대상이 될 때 발생할 것이라고 설명했다. Riseup은 금요일 늦은 트윗에서 혼란스러워할 필요 없으며 시스템은 완전히 통제되고 있음을 분명히 했다. 그러나 서비스는 무엇을 언제했는가에 대한 밝힘없이 세부사항을 추가했다.

일부 사용자들은 해당 트윗을 통해 안심하지 못하고 있다.  "그렇다면 무엇을 의미하는가. 서비스가 위험해졌는가 아닌가", "canary가 업데이트되지 않으면 서비스는 멈추게 된다. 만약 서비스가 위험해진 것이 아니라면 이것은 무엇인가 잘못되고 있는 것이다"라고 사람들은 말하고 있다.

Apple, Github, Reddit 등 비밀보장명령을 받은 후 안심문구를 삭제한 많은 회사들이 영장카나리아를 사용한다. 작년에 출시 된 무료 사용 도구 덕분에 회사들은 영장카나리아를 쉽게 발급 할 수 있었지만 시기와 업데이트에 관해서는 전반적으로 일관성이 없었다. 영장카나리아는 최신상태로 항상 유지하는 것이 좋고, 모호하거나 대략적인 시간보다는 다음 발표날짜를 특정해야 할 것이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★