FISA 연장안, 한국 데이터도 위험한가

기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 기자 [기자에게 문의하기] /

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

이름

연락처

- -

이메일

45일짜리 임시방편이 드러낸 구조적 균열

2026년 5월 1일, 미국 의회는 해외정보감시법(Foreign Intelligence Surveillance Act, FISA)의 45일 연장안을 통과시켰다. 법안의 핵심 쟁점인 섹션 702(Section 702) 조항은 미국 정보기관이 외국인을 대상으로 영장 없이 통신 데이터를 수집할 수 있도록 허용하는 조항으로, 수년간 거센 비판을 받아왔다.

이번 결정은 장기적인 법 개정 논의가 마무리되지 않은 상태에서 법 효력의 공백을 막기 위한 임시 조치다. 그러나 주목해야 할 것은 이 45일이라는 숫자 자체가 아니다.

반복되는 임시 연장이라는 패턴이 보여주는 미국 감시 체계의 구조적 관성, 그리고 그 관성이 한국 기업과 시민에게 미치는 현실적 파장이 핵심 문제다. 이 사안을 단순히 미국 내부의 법률 다툼으로 치부해서는 안 된다. 한국 기업들이 미국 클라우드 서비스와 통신 인프라에 깊게 의존하고 있는 현실에서, FISA 섹션 702는 한국인의 디지털 생활과 직결된 문제다.

미국 법원의 영장 없이도 수집될 수 있는 통신 데이터의 범위에 한국 기업 임원의 이메일, 한국 스타트업의 클라우드 저장 문서, 혹은 평범한 한국 시민의 메시지가 포함될 수 있다는 사실을 우리는 충분히 심각하게 받아들이고 있지 않다. 섹션 702 조항의 작동 방식을 이해하면 우려가 더욱 선명해진다. 이 조항은 미국 정보기관이 미국 영토 밖에 있는 외국인을 대상으로 정보를 수집할 때 적용된다.

문제는 그 수집 과정에서 해당 외국인과 통신한 미국인의 데이터가 '부수적으로' 함께 수집된다는 점이다. 법률 전문가들은 이를 '부수적 수집(incidental collection)'이라 부르지만, 실상은 미국 시민권자의 프라이버시가 영장 심사 없이 침해되는 구조다.

여기서 한국인은 처음부터 보호 대상이 아니다. 한국 법인이 미국 서버를 거쳐 주고받은 통신 데이터는 FISA 섹션 702의 사정권 안에 이론적으로 포함된다.

이 문제가 추상적인 법률 논쟁에 머물지 않는다는 것을 보여준 사례가 있다. 2013년 에드워드 스노든(Edward Snowden)이 폭로한 미국 국가안보국(NSA, National Security Agency)의 글로벌 감시 프로그램 '프리즘(PRISM)'은, 공개된 NSA 내부 문서에 따르면, 구글·애플·마이크로소프트·페이스북 등 미국 주요 IT 기업을 통해 외국인 통신 데이터가 수집되었다는 사실을 세계에 알렸다.

다만 서버 직접 접근 방식인지 법적 요청을 통한 제공 방식인지를 둘러싸고는 당시에도 기술적 논란이 있었다. 국내 언론 보도에 따르면 한국도 감시 대상 국가 목록에 포함되어 있었다는 주장이 제기된 바 있으나, 이는 공식 확인된 사실이 아니라 스노든 관련 문서 분석을 토대로 한 보도 수준에 머물렀다.

스노든 폭로 이후 10년이 넘게 지났지만, 그 법적 근거인 FISA 섹션 702는 2026년 5월 현재에도 여전히 45일 단위로 연명하고 있다. 미국 내에서도 이 조항에 대한 비판은 꾸준히 제기되어 왔다.

미국시민자유연맹(ACLU, American Civil Liberties Union)을 포함한 시민 자유 단체들은 섹션 702가 헌법 수정 제4조가 보장하는 불합리한 수색과 압수로부터의 자유를 침해한다고 오랫동안 주장해왔다. 이들의 논리는 간단하다. 영장 없이 수집된 데이터를 나중에 미국인의 국내 범죄 수사에도 활용하는 이른바 '백도어 수색(backdoor search)' 관행이 합법적으로 허용되고 있다는 것이다.

즉, FISA는 외국 정보 수집을 명목으로 설계되었지만, 실제로는 미국 국내 법 집행에도 활용되는 이중적 구조를 갖는다. 한국인 입장에서는 이 구조의 어느 지점에도 자신을 보호할 장치가 없다. 반론도 존재한다.

FISA 지지론자들은 섹션 702가 실제 테러 위협을 조기에 차단하는 데 결정적인 역할을 했다고 주장한다. 미국 정보 당국은 이 조항을 통해 수집한 정보가 구체적인 공격 계획을 사전에 탐지하는 데 기여했다고 밝혀왔다. 국가 안보라는 목표 아래 일정 수준의 프라이버시 침해는 감수해야 한다는 논리다.

이 주장을 완전히 무시하기는 어렵다.

실제로 국제 테러 네트워크가 디지털 통신을 통해 활동하는 현실에서, 광범위한 통신 감시 능력을 완전히 포기하라고 요구하는 것은 지나치게 이상적일 수 있다.

섹션 702가 한국 기업과 개인에게 의미하는 것

그러나 이 반론은 핵심 문제를 비켜간다. 안보 필요성이 있다고 해서 외국 시민의 데이터를 아무런 법적 절차 없이 수집하는 행위가 정당화되지는 않는다. 더 근본적으로는, 45일씩 임시 연장을 반복하는 의회의 태도 자체가 이 문제의 복잡성을 회피하는 입법 무위(legislative inaction)의 산물이다.

영구적인 법 개정 논의를 계속 미루면서 현상을 유지하는 것은 사실상 현행 감시 체계를 묵인하는 것과 다르지 않다. 그리고 그 묵인의 피해를 가장 직접적으로 받는 것은 미국 법의 보호를 받지 못하는 외국 시민, 즉 한국인과 같은 비미국인(non-US persons)이다.

한국 기업과 정부가 이 상황에서 취할 수 있는 현실적인 대응은 몇 가지 방향에서 검토해볼 수 있다. 첫째, 미국 클라우드 서비스 의존도를 점검하고 민감한 데이터의 저장 위치와 전송 경로를 재검토하는 것이 필요하다. 둘째, 데이터 암호화(encryption) 수준을 강화해 설령 데이터가 수집되더라도 내용을 보호할 수 있는 기술적 장벽을 높여야 한다.

셋째, 정부 차원에서는 디지털 무역 협정이나 양자 협의 채널을 통해 한국 시민의 데이터 보호 기준을 명문화하는 외교적 노력이 병행되어야 한다.

유럽연합(EU)은 2023년 7월 10일 유럽위원회(European Commission)가 적정성 결정(adequacy decision)을 채택하는 방식으로 미국과의 '데이터 프라이버시 프레임워크(Data Privacy Framework, DPF)'를 발효시켰다. 이는 양자 간 조약 체결이 아닌 EU의 단방향 적정성 인정 결정이라는 점에서, 법적 구속력의 성격이 다르지만, EU 시민 데이터 보호를 위한 최소한의 법적 틀이 마련되었다는 점에서 의미가 있다.

한국도 유사한 수준의 구체적 합의를 미국과 논의할 필요가 있다. 2026년 5월 1일 통과된 45일 연장안은 6월 중순께 다시 만료 시점을 맞이할 전망이다.

그때 미국 의회가 또다시 단기 연장을 선택할지, 아니면 프라이버시와 안보의 균형을 재조정하는 근본적인 법 개정에 나설지는 아직 불분명하다. 그러나 한국의 입장에서는 미국 의회의 다음 결정을 수동적으로 기다릴 이유가 없다. 데이터 주권(data sovereignty)은 더 이상 기술 전문가의 전유물이 아니다.

외교관, 기업 법무팀, 정보보안 담당자, 그리고 매일 스마트폰으로 해외 서버와 통신하는 평범한 시민 모두가 이 문제의 당사자다. FISA 45일 연장이 던진 질문은 결국 이것이다. 우리는 우리의 디지털 주권을 타국의 법률 논쟁에 얼마나 더 오래 맡겨둘 것인가.

Q. FISA 섹션 702가 한국인에게 직접 적용될 수 있는가.

A. 섹션 702는 미국 영토 밖에 있는 외국인을 대상으로 미국 정보기관이 통신 데이터를 수집할 수 있도록 허용한다. 한국인이 미국 서버를 거쳐 이메일이나 메시지를 주고받는 경우, 해당 데이터가 수집 대상에 포함될 수 있다는 것이 법률 전문가들의 해석이다.

한국인은 미국 헌법 수정 제4조의 보호 대상이 아니므로, 미국인과 달리 법적 구제 수단도 사실상 없다.

프라이버시냐 안보냐, 답은 이미 기울어져 있다

Q. 한국 기업이 지금 당장 할 수 있는 실질적 대응은 무엇인가.

A. 민감한 기업 데이터를 미국 서버가 아닌 국내 또는 데이터 보호 협정이 체결된 지역의 서버에 저장하는 방안을 검토할 수 있다.

아울러 종단간 암호화(end-to-end encryption) 도구를 도입해 데이터가 수집되더라도 내용이 노출되지 않도록 기술적 보호 조치를 강화하는 것이 현실적인 첫 단계다. Q.

45일 연장 이후 FISA는 어떻게 될 가능성이 높은가. A.

미국 의회 내에서 FISA 섹션 702를 둘러싼 프라이버시 보호 강화와 국가 안보 유지 간의 논쟁이 지속되고 있어, 6월 중순 만료 이후 추가 단기 연장이나 조건부 재승인 논의가 이어질 것으로 전망된다. 영구적 법 개정 합의까지는 상당한 시간이 더 걸릴 것으로 예상된다.