[심층분석] 캐나다 C-22 법안이 보여주는 '합법적 감시'의 딜레마 — 백도어 없는 보안은 가능한가

왜 지금 이 법안이 주목받는가

2026년 3월 13일, 캐나다 정부는 Bill C-22(합법적 접근법, Lawful Access Act)를 공식 발의했다. 이 법안은 수십 년간 이어져 온 '합법적 접근(lawful access)' 논쟁의 최신판으로, 법 집행기관이 ISP·통신사가 보유한 개인정보에 접근하는 절차와 캐나다 네트워크 내 감시·모니터링 역량 구축을 골자로 한다.

Hacker News에서 451점, 121개 댓글을 기록하며 뜨거운 반응을 얻은 이유는 명확하다. 지난해 봄 국경 조치 법안(Bill C-2)에 몰래 삽입됐던 광범위한 영장 없는 개인정보 접근 조항이 위헌 논란 끝에 철회된 뒤, 형태를 바꿔 다시 돌아왔기 때문이다. 개선된 부분도 있지만, 핵심적인 백도어 감시 리스크는 여전히 남아 있다는 것이 전문가들의 진단이다.

기술 분석: 법안의 두 축

법안은 크게 두 파트로 나뉜다.

1부: 데이터 및 정보에 대한 적시 접근

• 서비스 확인 명령(Confirmation of Service): 법 집행기관이 통신사에 특정인이 가입자인지 여부만 확인 요청할 수 있는 권한. 기존 Bill C-2가 의사·변호사 등 '캐나다에서 서비스를 제공하는 모든 자'를 대상으로 했던 것에서, 통신 사업자로 범위를 축소했다.
• 판사 승인 제출 명령(Production Order): 가입자의 상세 정보(이름, 주소, IP 등)는 판사의 심사·승인을 거쳐야 제공되도록 변경. 이는 캐나다 대법원의 최근 판례(R v. Spencer 등)를 반영한 개선이다.
• 자발적 공개, 긴급 상황, 해외 정보 요청 등에 대한 부가 규정도 포함.

2부: SAAIA(승인된 정보 접근 지원법)

이 부분이 기술 커뮤니티가 가장 우려하는 지점이다. SAAIA는 캐나다 네트워크 인프라 내에 합법적 감청(Lawful Interception) 역량을 의무적으로 구축하도록 요구한다. 이는 사실상 통신 사업자에게 감시용 백도어 인프라를 내장하라는 것과 같다.

기술적으로 이는 ETSI LI(Lawful Interception) 표준이나 미국의 CALEA(Communications Assistance for Law Enforcement Act)와 유사한 구조다. 통신 장비에 패킷 미러링·메타데이터 수집 기능을 탑재하고, 법원 명령 시 실시간 감청이 가능하도록 아키텍처를 설계해야 한다.

문제는 이러한 백도어가 한번 존재하면 공격 표면(attack surface)이 된다는 점이다. 2024년 중국 해커 그룹 Salt Typhoon이 미국 CALEA 인프라를 악용해 통신사를 침투한 사례가 이를 생생하게 증명한다.

업계 맥락: 글로벌 감시 법제의 흐름

캐나다의 C-22는 고립된 현상이 아니다.

| 국가 | 법률/정책 | 핵심 내용 |
|------|-----------|----------|
| 미국 | CALEA (1994~) | 통신사 감청 인프라 의무화 |
| 영국 | Investigatory Powers Act (2016) | ISP의 인터넷 접속 기록 12개월 보관 의무 |
| 호주 | Assistance and Access Act (2018) | 암호화 우회를 위한 기술 지원 명령 |
| EU | Chat Control 제안 (2022~) | 메시징 앱 내 콘텐츠 스캔 의무화 논의 |
| 캐나다 | Bill C-22 (2026) | 메타데이터 접근 + 네트워크 감시 역량 구축 |

공통된 흐름은 메타데이터 수집의 일상화와 암호화 통신에 대한 접근 요구 강화다. Five Eyes 동맹국 중심으로 이 움직임이 가속화되고 있으며, E2E 암호화를 기본으로 채택한 Signal, WhatsApp 같은 서비스와의 긴장이 높아지고 있다.

한국 개발자에게 미치는 영향

한국도 통신비밀보호법과 전기통신사업법을 통해 유사한 합법적 감청 체계를 운영하고 있다. 이 이슈가 한국 개발자에게 시사하는 바는 다음과 같다.

• 글로벌 서비스 운영 시 법적 리스크: 캐나다 시장에 서비스를 제공하는 한국 기업이라면 SAAIA의 기술적 요구사항을 파악해야 한다. 통신 서비스 제공자의 범위가 어디까지 확대될지 주시할 필요가 있다.
• 보안 아키텍처 설계 원칙: 합법적 감청 인프라가 곧 보안 취약점이 된다는 교훈은 보편적이다. 설계 단계에서부터 Zero Trust 아키텍처를 적용하고, 감청 인터페이스가 존재할 경우 접근 통제와 감사 로그를 철저히 구현해야 한다.
• 프라이버시 바이 디자인: GDPR, 개인정보보호법 등 프라이버시 규제와 감시 법제 사이의 긴장은 계속될 것이다. 개발자로서 데이터 최소 수집 원칙과 엔드투엔드 암호화를 기본값으로 삼는 것이 장기적으로 유리한 전략이다.

핵심 요약과 토론

Bill C-22는 기존의 무분별한 영장 없는 접근을 개선했지만, 네트워크 레벨의 감시 인프라 의무화라는 더 근본적인 문제를 그대로 안고 있다. 보안 전문가들이 수년간 경고해온 것처럼, 백도어는 "선한 자만 쓰는 문"이 아니다.

토론 질문: 국가 안보와 범죄 수사를 위한 합법적 감청 역량과, 백도어가 만드는 보안 취약점 사이의 균형점은 어디에 있을까? 기술적으로 '안전한 백도어'는 구현 가능한 개념인가?