다른 뜻에 대해서는 아래의 문서를 참조하십시오.
- 빛을 굴절시키는데 쓰이는 과학 기구를 찾는다면 프리즘 문서로 가시면 됩니다.
- 케이티 페리의 정규 앨범을 찾는다면 PRISM(케이티 페리) 문서로 가시면 됩니다.
- 레인보우의 미니 4집을 찾는다면 Prism 문서로 가시면 됩니다.
- BEMANI 시리즈 수록곡을 찾는다면 prism 문서로 가시면 됩니다.
1 개요
미국 NSA에서 2007년부터 사용한 것으로 알려진 광범위 통신 감청 시스템. 정확히는 수집된 초기 정보들을 조합 분석하여 유의미한 자료로 만드는 정보 분석 소프트웨어 서버이며, 미 정부의 대외감시법령(FISA)에 따라 미국 대외첩보감시법원(USFISC)의 관할 하에서 이루어진 US-984XN이라는 이름으로 알려진 데이터 마이닝 프로젝트의 코드네임이다. 이것에 대한 정보는 2013년 6월 6일 전 NSA 직원 에드워드 스노든의 폭로에 의해 세상에 알려졌다.
2 상세
본래 FISA에 따르면 미 정부는 외국인 용의자에 대한 수사를 위해 해당 인물의 소속국가에 개인정보를 요청하는 과정을 거쳐야 한다. 그런데 이 과정을 용이하게 하기 위해 직접 국제적인 협력을 구하는 대신 미국 기반의 인터넷 서비스 업체의 검열을 통해 데이터 마이닝을 하겠다는 의도.
에드워드 스노든에 의해 폭로된 내용에 따르면 이 시스템에서는 따로 법원 명령을 받지 않고도 각 기업 서버에 직접 접속해 자신이 원하는 정보들을 취합해갈 수 있게 만들어져 있다고 하니 그 문제는 더욱 심각. 동일 문서에서 폭로된 G20 회의에서의 영국 정부의 외국 정부요인 불법도감청 사건도 그렇지만...
이 사건 자체도 그렇지만 NSA의 미국 내 전화 통화 감청 폭로도 겹쳐져 더욱 커다란 파문을 불러오는 중이다.
사실상 행정부에서는 미국 국민을 감시 대상으로 삼고 있지 않다고는 했지만... 미국 국민이 외국인에게 이메일을 보낼 경우 이것은 PRISM의 감찰 대상이 될 수 있다. 외국인이 미국 국민에게 보낸 이메일도 마찬가지. 이러한 경우는 실제 실례도 존재한다.
그럼 미국 국민이 아닌 한국 국민이나 다른 국가의 국민의 경우? 미국 서버에 저장된 당신의 모든 인터넷 내 기록들은 모두가 언제 PRISM의 감시 대상이 되어 있을지도 모른다. 물론 그럴 가능성은 한없이 낮겠지만, 미국의 동맹국 정부가 무언가 이권을 대가로 내세워 특정 인물의 감시를 요청한다면? 그렇기에 더욱 미국 법의 보호를 받지 않는 외국인의 개인 정보를 무단으로 사찰하는 행위는 위험할 수도.
또한 추가 폭로에서 미국의 중국에 대한 광범위한 해킹 공격에 대해서도 드러나서 그 동안 미국에 대한 중국발 해킹에 대해 강도높게 비난해 오던 미국 정부의 입장이 상당히 궁색해지기도 하였다. 하지만 미국 국가안보국에서는 “중국이 기업과 군사 비밀을 훔친 것과 미국이 테러리스트들을 추적하기 위해 감시활동을 벌인 것은 비교가능한 게 아니다."라며 양쪽의 입장을 동일시하는 것을 경계하기도 하였다.
한편 NSA 국장 키스 B. 알렉산더는 20일 청문회에 출석하여 이 PRISM 프로그램을 통해 지금까지 뉴욕 지하철과 증권거래소 등을 타겟으로 한 50건의 크고 작은 테러 시도를 미연에 방지했다고 역설하였으나, 이에 대해 스노든은 중요한 것은 그러한 테러 용의자들 뿐 아니라 선량한 시민들의 개인정보까지도 무차별적으로 수집 관리되고 있었다는 점이라고 지적했다.
FISA의 지지자인 다이앤 펜슈타인 상원의원은 이 청문회에서 FISA의 사찰 대상이 된 미국 시민의 수를 밝히라는 상원의원 론 와이든의 요구에 대해 "비밀스러운 이유로 인해" 비밀로 유지되어야 한다고 주장했다. 그는 자신이 그 기밀 사유가 담긴 문서를 가지고 있다고 주장했고 그것을 보여줄 순 있지만 아무도 그 문서를 읽게 할 수 없다고 이야기했다. CATO 연구소에서 게시한 청문회 동영상에 대해 웹진인 TechDirt에서 이 발언에 대해 '청문회에서 가장 정신나간 순간이었다'고 언급했다.
웹 개발자 웹진인 웹프로뉴스에서는 이 청문회에 대해 매우 실망스럽고 의회가 국민의 개인정보 보호에는 전혀 관심이 없다는 것만을 증명했다고 언급하기도 했다, 이와 관련해 기존에 개인정보 보호를 위해 발효된 ECPA(전자통신 개인정보 보호법)이 사실상 이러한 보안검열로 인해 무효화되고 있다고도 지적했다.
또한, 부시 정부 하에서 시작된 이 PRISM 프로그램에 대한 정보를 유출한 에드워드 스노든에 대해 부시정부의 실세였던 딕 체니 전 부통령은 국가에 대한 반역자이며 애초에 처음부터 중국 스파이일 수도 있다고 강력하게 비난했다. 그는 9.11 이전부터 NSA의 감시가 있었다면 그러한 테러는 막을 수 있었을 것이라고도 이야기하며 이러한 국가적 감시 시스템의 필요성을 역설하기도 했다.
하지만 아이러니하게도, 당시 기록을 보면 이미 미 정부와 국방부, FBI에서는 사전에 이러한 테러 가능성에 대한 정보를 가지고 있었던 것으로 드러나 9.11 사태가 미 정부에서 꾸민 사건이라는 음모론이 널리 퍼지기도 했었다.
반면 론 폴 텍사스 주 공화당 하원의원은 이 폭로를 발표한 스노든을 애국자로 치켜세우면서, “미국 정부 내 누군가가 스노든을 순항 미사일이나 무인기(드론) 미사일로 사살하지 않을까 우려된다” 라고 밝히기도 하였다.
미국시민자유연맹(ACLU)과 뉴욕시민자유연맹(NYCLU) 등 미국 시민단체에서는 이 사건에 대해 미 정부를 고발하는 등 이래저래 오바마 2기 행정부 최대의 스캔들로 손꼽히고 있다.
3 기업들의 반응
야후의 CEO인 마리사 메이어는 최근 6개월 동안 미국 사법부에서 12,000~13,000건 정도의 정보 요구가 있었고, 그들에게 이러한 정보 제출 요구에 대해 보다 투명하게 할 것을 요구했었다고 밝혔다. 정확한 정보요구 건수는 FISA상의 기밀로 분류되어 말할 수 없다는 언급과 함께.
페이스북에서는 자신들은 이것과 관련해 미 정부에 어떠한 정보도 제공한 적이 없다고 주장했지만, 원래부터 페이스북의 개인정보 유출 문제는 심각했다는 것을 생각하면 글쎄...
애플에서는 자신들은 정부에 서버 접근권한을 제공한 적도 없으며 프리즘이라는 시스템에 대해서도 전혀 들어본 바가 없다고 부정했다. 그런데 폭로된 정보에 따르면 프리즘은 인터넷 업체로부터 자료를 받아오는 시스템이 아니라 이미 받아와서 적재된 데이터베이스 내 원시적 정보를 분석하는 도구라는 것. 즉 업체에서 이 코드네임을 알고 있어야 할 이유가 없다. 즉 PRISM은 NSA가 미국 기반의 인터넷 업체로부터 축적한 다양한 인터넷 내 첩보들을 조합, 분석, 교차비교 및 조회할 수 있도록 해주는 일종의 분석 도구라는 것.
구글에서도 자신들은 정부의 요구에 의해 사용자의 개인 정보를 제공한 적이 없다며, 오직 적법한 요구에 대해서만 사용자 정보를 공개한다고 밝혔다. 거기에 추가로 구글에서는 FISA의 정보공개 불허 판결에 대해 미국 수정헌법에 의거하여 정확한 FISA의 개인정보 요구 건수와 거기에 포함된 사람들의 수를 밝힐 권리가 있다고도 주장하고 있다.
4 기업 별 개인정보 제공내역
아래는 각 기업별로 고시한 개인정보 제공 건수로, PRISM건과 관계없이 기업 차원에서 공시한 자료를 토대로 함. 실제 PRISM 관련 제공건수는 이보다 더 적을 수도, 많을 수도 있음.
PRISM 폭로건에 따르면 전체 개인정보의 98%는 구글과 마이크로소프트, 페이스북에서 수집된 정보라고 한다.
4.1 애플
총 개인정보 요구 수: 4,000 ~ 5,000
기간: 2012년 12월 1일 ~ 2013년 3월 13일
요구된 장치/계정 수: 9,000 ~ 10,000
추가로 제공된 정보: 애플 사는 아이메시지와 페이스타임이 단말 대 단말로 암호화되어 전달되기 때문에 애플사에서 감청이 불가능하다고 밝혔다. 쿠퍼티노 시의 애플 본사 측에서는 또한 음성인식 검색 시스템인 시리를 이용한 정보의 위치정보 등 데이터를 저장하지 않는다고 이야기했다.
4.2 구글/유튜브
전세계적 사용자 정보 요구건수: 21,389
전세계적 요구 대상계정 수: 33,634
전 세계에 대한 구글의 데이터 제공 건 비율: 총 요구건의 66%
미국 내 사용자 정보 요구건수: 8,438
미국 내 요구 대상계정 수: 14,791
미국 내 구글의 데이터 제공 건 비율: 총 요구건의 88%
기간: 2012년 6월 1일 ~ 2012년 12월 31일
4.3 페이스북
사용자 정보 요구건수: 9,000 ~ 10,000
총 대상계정 수: 18,000 ~ 19,000
대상기간: 2012년 6월 1일 ~ 2012년 12월 31일
4.4 마이크로소프트
FISA 요구건을 포함한 총 미국 사용자 정보 요구건수: 6,000 ~ 7,000
대상기간: 2012년 6월 1일 ~ 2012년 12월 31일
대상계정: 31,000 ~ 32,000