1월 말에 발표된 Bitfury의 생산 준비가 완료된 Lightning Network 제품 및 서비스 모음인 Peach는 개발자, 사용자 또는 상인이 Lightning 구현에서 원하는 모든 것을 제공하는 것으로 보입니다. 이 제품은 내장된 전자상거래 플러그인을 포함하고 있으며, 판매 시점용 하드웨어 구성 요소, 개발자를 위한 툴킷 및 전체 시스템을 지원하는 자체 Lightning 노드를 갖추고 있습니다.
다양한 용도로 사용되는 이 제품군은 광범위한 범위를 가지고 있습니다… 한 암호화 분석 그룹은 조금 너무 넓다고 생각합니다.
Block Digest는 “비트코인과 관련된 최신 기술 및 시장 뉴스를 다루는 격주 팟캐스트”로, Bitfury의 Peach가 사용자 프라이버시를 심각하게 침해한다고 주장합니다. 그들에게 Peach Lightning 노드는 어떤 데이터도 빠져나갈 수 없는 감시탑이며, 각 Peach 애플리케이션은 Bitfury가 사용자에 대한 개인 및 재무 정보를 볼 수 있는 감옥입니다.
복숭아를 신뢰할 용기가 있을까?
“그것에서 멀리 떨어져 있어라!” Block Digest 팀의 일원인 Rick는 기술 분석 중에 경고합니다.
World Crypto Network 팟캐스트의 파생물인 Block Digest 사이퍼펑크들은 Bitfury가 사용자 데이터를 관리하는 방식에 대해 불성실하고 심지어 의도적으로 오해를 불러일으킨다고 주장하며 이 주제를 진지하게 다룹니다.
“이용 약관과 개인정보 보호정책의 두 가지 버전을 모두 읽어본 결과, 여러 가지 불일치가 있습니다. 변호사는 GDPR [EU의 기술 개인정보 보호 규정]을 준수하지 않는 몇 가지 사항이 모호성만으로도 GDPR을 위반할 것이라고 말했습니다. 그래서 예, 우리는 프라이버시 침해가 발생하고 있다고 말할 수 있습니다.” Block Digest의 또 다른 멤버인 Janine이 Bitcoin Magazine에 말했습니다.
Bitcoin Magazine과의 별도의 서신에서 Bitfury는 GDPR 위반 주장에 대해 반박하며 “[모든 적용 가능한 규정을 완전히 준수합니다. GDPR을 포함하여. 우리는 서비스 약관 및 개인정보 보호정책이 이러한 규정을 준수한다고 믿습니다.”라고 주장했습니다.
그럼에도 불구하고 Block Digest와 다른 커뮤니티의 목소리가 Peach의 프라이버시 문제에 대한 경고를 시작한 후, Bitfury는 주목하는 것처럼 보였고 2019년 1월 30일 Lightning 제품군의 이용 약관 및 개인정보 보호정책을 수정했습니다.
그럼에도 불구하고 Block Digest는 새로운 버전이 수정 사항이 있더라도 여전히 사용자가 자신의 데이터가 안전하다는 확신을 주지 못한다고 말합니다 — 또는 그것이 어떻게 사용되는지에 대해 완전히 설명하지도 않습니다.
“그들은 단순히 수집하지 않는다고 말하지 않습니다; 그들은 접근할 수 없다고 말합니다.” Block Digest의 일원인 shinobi가 Bitcoin Magazine에 말했습니다.
“데이터를 수집할 수 있는 두 가지 코드가 있습니다. 첫 번째는 Google Analytics를 통해 전달되는 이벤트 로그이며, 이는 애플리케이션 내 내비게이션을 위한 것입니다.” 그는 이 첫 번째 기능이 특별할 것이 없다고 말했습니다: 단순히 이벤트를 기록하고 정보를 수집하지 않습니다.
그러나 두 번째 부분은 정보를 수집합니다. “이 스트리밍 결제와 송장 없이 Lightning ID를 사용하는 결제는 모두 Bitfury 서버를 통해 조정됩니다. 그들은 모든 것을 볼 수 있습니다: 누가 지불하고, 누가 누구에게 지불하며, 얼마나 지불하는지.”
Bitfury의 Lightning Peach 제품군은 사용자가 송장 결제를 통해 Lightning을 사용하는 누구와도 거래할 수 있게 해줍니다. 수신자가 발신자에게 결제를 요청하는 방식입니다. 또는 Lightning Peach 노드를 통해 결제를 보낼 수 있으며, 이는 Bitfury 중앙 집중식 프로세스로, Lightning ID 또는 스트리밍 결제를 사용하며, 두 가지 모두 두 Peach 사용자 간에만 실행될 수 있습니다.
최소한 Block Digest는 Bitfury가 “일반 Lightning 송장 결제”에서 데이터를 수집하지 않을 것이라고 인정했습니다. 따라서 비-Peach 사용자로부터 송장을 받더라도 Peach 지갑을 사용하고 있다면, 해당 결제는 Peach 노드를 통해 라우팅되지 않으며 그들의 관할권 밖에 있습니다.
하지만 Peach의 스트리밍 결제와 Lightning ID를 사용하는 모든 사용자는 Bitfury에 거래 정보를 포기해야 하며, 여기에는 IP 및 지갑 ID가 포함되어 있어 Peach의 Lightning 노드가 사용자의 결제를 용이하게 할 수 있습니다. Bitfury가 중앙 집중식 서비스를 제공하고 있기 때문에 이는 특별한 일이 아니며, Bitfury는 이 정보가 “저장되지 않는다”고 정책을 업데이트했습니다.
질문과 모순
Block Digest의 가장 날카로운 비난은 Bitfury의 이용 약관 및 개인정보 보호정책에서 그들이 보는 모순에 집중되어 있으며, 사용자 데이터를 추적하겠다고 주장했던 이제는 삭제된 조항도 포함되어 있습니다.
Bitcoin Magazine과 비밀리에 공유된 문서에서 Janine은 Peach의 이용 약관 및 개인정보 보호정책의 변경 사항을 기록했습니다. 그녀는 한 시점에서 “이전 버전의 정책에서 그들은 ‘트래픽 데이터, 위치 데이터 및 기타 통신 데이터, 그리고 사용자가 접근하는 소프트웨어의 리소스와 그 사용 방식; 지갑에서 사용자가 보낸 시간(세션 시간); 시간 단위 내 세션 수(예: 월); 하나의 세션 내 결제 수; 결제 금액; 결제 유형(정상/스트리밍); 성공/실패한 결제; 채널 개설 주기(월별); 채널의 수명; 동시에 열려 있는 채널 수; 채널 용량; 채널 개설 대기 시간; Lightning 거래 대기 시간; 사용자가 지불하는 노드 수’라고 주장했습니다.”라고 말했습니다.
이는 충돌 보고서 데이터 수집으로 정당화될 수 있습니다 — 충돌이나 버그의 원인을 진단하기 위한 집계된 네트워크 데이터입니다. Shinobi는 친구에게 감사를 요청했으며, 그는 이 목적을 위해 데이터를 수집한 증거를 코드에서 찾지 못했다고 주장했습니다.
Block Digest는 이 철회된 목록이 Bitfury의 약관이 동시에 데이터를 수집, 저장 또는 볼 수 없다고 말하면서 특정 상황에서 이 데이터를 공유, 상담 또는 활용할 수 있다고 주장하는 모순을 나타낸다고 주장합니다.
가장 명백한 모순은 Block Digest가 주장하는 바와 같이 Bitfury의 업데이트된 버전에서 데이터 수집이 선택 사항이라고 주장하는 것입니다. Bitfury는 개인정보 보호 주장에 대해 Bitcoin Magazine에 문의했을 때 이를 재확인했습니다.
Lightning Peach의 책임자인 Pavel Prikhodko는 Bitcoin Magazine에 “그 데이터는 사용자가 Google Analytics를 통해 익명화된 정보를 제공하기로 적극적으로 확인하는 경우에만 수집됩니다. 이는 사용자가 우리 웹사이트 및 소프트웨어와 상호작용하는 방식을 더 잘 이해하는 데 도움이 됩니다. 그 데이터는 개별 사용자에게 추적될 수 없으며, 이는 현대 소비자 소프트웨어 제품의 대다수에 존재하는 표준 선택적 설정입니다.”라고 말했습니다.
Block Digest는 동의하지 않으며, 주로 같은 약관이 사용자에게 정보를 제공할 필요가 없다고 말하면서도 지갑을 생성할 때 사용자에게 “전화번호, 이메일 주소, 사용자 이름 및 기타 적절한 정보를 제공해야 한다”고 말하는 점에서 불만을 제기합니다.
Bitfury는 Medium 게시물에서 약관을 명확히 하며 이러한 데이터 포인트를 수집하지 않는다고 주장합니다. 이는 Block Digest가 관찰한 이용 약관과 충돌합니다. 계약서에는 “필수 데이터를 제공하는 것은 소프트웨어를 사용하기 위해 필요합니다. 필수 데이터를 제공하고 싶지 않다면 소프트웨어를 사용할 수 없습니다.”라고 명확히 명시되어 있습니다.
Bitfury는 또한 “소프트웨어를 사용하여 수행하는 거래에 대한 정보는 수집하지 않으며 접근할 수 없다”고 주장하는데, Block Digest는 이는 사용자 데이터가 자회사나 Bitfury 비즈니스의 일부를 구매하는 사람들과 공유되거나 판매될 수 있다는 주장과 일치하지 않는다고 말합니다.
“1월 30일 이전에 활성화된 정책에서는 그들이 Bitfury 비즈니스의 어떤 측면을 구매하려는 실체와 이 데이터를 공유하거나 넘길 의사가 있다고 말합니다.”라고 Janine이 말했습니다.
새로운 정책은 동일하게 데이터가 “우리가 판매하거나 구매할 것을 고려하고 있는 비즈니스 또는 자산의 구매자 또는 판매자(또는 잠재적 구매자 또는 판매자)에게 공유될 수 있다”고 명시하고 있습니다. 이 개인정보 보호정책에 명시된 경우를 제외하고, 우리는 귀하의 정보를 제3자에게 판매, 공유 또는 임대할 의도가 없습니다.”라고 말합니다.
Janine은 “법적으로, 무언가를 하지 않겠다고 말하는 것은 무언가를 하지 않겠다고 말하는 것과 같지 않다”고 지적합니다.
이들은 Bitfury의 회사 이해관계자에게 정보를 판매할 수 있는 최악의 경우를 걱정하거나, 최선의 경우 Bitfury의 자회사 간에 정보를 공유할 수 있다고 우려합니다. 여기에는 Bitfury의 규정 준수 중심의 부가 프로젝트 중 하나인 블록체인 분석 플랫폼 Crystal이 포함됩니다.
Bitfury는 Crystal과 데이터를 공유할 의도가 없다고 부인했습니다:
“… 처리된 데이터 중 어떤 것도 Bitfury의 공공 블록체인 분석 부서인 Crystal과 공유되지 않습니다. Crystal 플랫폼은 공공 블록체인 데이터를 분석하기 위한 보다 사용자 친화적인 인터페이스를 제공합니다.”
이용 약관에서 Bitfury는 사용자가 소프트웨어의 데이터 계약에서 벗어나고 싶어할 경우 종료 조항을 포함하고 있습니다:
“소프트웨어를 사용하고 필수 데이터를 제공하는 경우, 귀하는 적용 가능한 데이터 보호법에 따라 부여된 권리를 행사하기 위해 저희에게 연락할 수 있습니다. 여기에는 (1) 귀하의 데이터에 접근할 권리, (2) 이를 수정할 권리, (3) 이를 삭제할 권리, (4) 귀하의 데이터 처리 제한 권리, (5) 귀하의 개인 데이터 파일을 받을 권리 및 (6) 처리에 반대할 권리가 포함됩니다. 우리가 귀하의 동의를 요청한 경우, 이 동의를 철회할 권리도 포함됩니다. 이러한 권리는 일부 상황에서 제한될 수 있습니다. 예를 들어, 다른 개인의 권리와 자유를 보호하기 위해 접근 요청을 거부하거나, 법적 의무 준수를 위해 필요한 경우 개인 데이터를 삭제하는 것을 거부할 수 있습니다.”
대기업의 결과
Block Digest는 Bitfury가 18세 이하의 사용자가 소프트웨어를 사용하지 않기를 원한다는 등의 다른 부차적인 우려를 가지고 있지만, 그들의 주요 우려는 Bitfury가 데이터를 수집하지 않는다고 주장하면서도 원할 경우 수집할 수 있다는 모순된 입장에서 비롯됩니다. 무엇보다도 이 그룹은 이 데이터가 어떻게 사용될 수 있는지(법적 및 집행 이유로)와 Bitfury가 동시에 사람들에게 데이터를 저장한다고도 하고 저장하지 않는다고도 말하는 점을 불만족스럽게 생각합니다.
“귀하의 개인 데이터는 얻은 목적을 위해 필요한 기간 이상 저장되지 않으며, 법적 및 재정적 의무를 준수하기 위해 또는 분쟁을 해결하기 위해 필요합니다. 그러나 6년을 초과하지 않습니다.”
“우리는 귀하에게 서비스를 제공하고, 우리가 준수해야 하는 법적 의무를 이행하기 위해 귀하의 개인 데이터를 수집, 사용 및 저장합니다. 필요한 경우, 우리의 정당한 이익을 위해 또는 귀하의 동의를 바탕으로 합니다.”
이 두 개의 별도 조항은 Bitfury가 데이터를 저장하지 않는다는 이전 진술과 모순된다고 Block Digest는 지적합니다.
자회사 간에 이 데이터를 공유하거나 비즈니스 거래의 경우 판매하는 것 외에도, Bitfury는 “법적으로 귀하가 제공한 개인 정보를 수집하고 공유해야 할 수 있습니다. 이는 법률, 법원 명령 준수 또는 정부 또는 규제 요청에 응답하기 위한 것입니다.”라고 개인정보 보호정책에서 명시하고 있습니다. 이는 Block Digest의 가장 큰 우려 중 하나였지만, 이는 Bitfury가 GDPR을 준수하도록 만드는 동일한 규제 준수이며, 아마도 Bitfury가 청소년이 소프트웨어를 사용하기를 원하지 않는 이유일 수도 있습니다.
이것이 핵심입니다. Janine이 우리 대화에서 말했듯이, 다른 Lightning 서비스 제공업체는 “이런 데이터 수집 정책이나 서비스 약관을 가지고 있지 않다”고 주장하며 “그들은 충분히 큰 조직이 아니다”라고 말했습니다.
Bitfury는 충분히 크며, 이 기업은 많은 거대 암호화 회사처럼 규제를 신중하게 다루고 있으며, 이미 국제적으로 낙인찍힌 산업에서 문제를 피하기 위해 매우 준수합니다.
“약관에 관해서는, Janine이 맞습니다.” shinobi가 우리 대화에서 데이터 수집에 대해 말했습니다. “그러나 구조적으로 … 다른 [소프트웨어 및 서비스]는 귀하의 활동에 대한 자세한 정보를 수집할 수 있지만, 다시 말하지만, Janine이 말했듯이, 그들 중 누구도 그런 약관을 가지고 있지 않습니다. 나는 또한 Bitfury가 Peach와 함께 진행하고 있는 감시 및 규제 준수의 움직임에서 이 공간에서의 역사와 방향성을 잘 보지 못합니다.”
Bitfury는 “제품이 작동하는 데 필요한 최소한의 양만 사용합니다.” 예를 들어, 스트리밍 결제 및 Lightning ID 결제를 위한 IP 주소와 Lightning ID입니다. 그 외의 모든 것은 선택 사항이거나 소프트웨어가 제대로 작동하는 데 필요한 기간 동안만 저장됩니다. Block Digest는 이는 법적 문서에서 모순된다고 말합니다.
이러한 모순 중 일부는 수정 사항에서 해결된 것으로 보이며, 이는 Bitfury가 처음 초안에서 약관 및 개인정보 보호정책을 잘못 작성했으며 일부 언어를 더 정확하게 만들 필요가 있었음을 나타낼 수 있습니다.
그래서 누가 옳고 Peach를 신뢰해야 할까요? 정말로, 이는 당신이 누구인지와 원하는 프라이버시 수준에 따라 다릅니다.
Peach의 의미:
- Bitfury가 귀하의 개인 정보 및 데이터에 대한 요청/접근 여부에 대한 이용 약관 및 개인정보 보호정책(및 Bitfury의 Medium에 대한 설명)에서 모순이 있습니다. 이전 초안에서 Bitfury는 다양한 거래 데이터를 수집한다고 언급했으나, 현재는 수집하지 않는다고 주장합니다.
- 법적 언어는 그들이 비즈니스의 일부를 판매하거나 자회사 간에 데이터를 공유하거나 법적 준수를 위해 데이터를 접근할 수 있는 권리를 부여합니다.
- Bitfury는 Peach 노드를 통해 거래를 라우팅하는 동안 제한된 데이터(IP 및 Peach ID)에만 접근할 수 있으며, 그 이후에는 데이터를 저장하지 않는다고 주장합니다(Lightning 송장을 사용하여 데이터 수집의 영향을 받지 않고 거래할 수 있습니다).
- 사실, Bitfury는 법적 또는 비즈니스 이유로 필요할 경우 일부 데이터에 접근할 수 있으며(그리고 이를 인정합니다). 그들이 접근할 수 있는 데이터와 그 데이터를 사용할 정도는 명확하지 않습니다.
- 그렇다고 해도, 대부분의 데이터는 본질적으로 무해하지만(예: 기본 거래 세부정보), 일부는 그렇지 않습니다(IP 주소, 전화번호 등).
프라이버시가 그리 걱정되지 않는다면, 어떤 데이터 수집이 발생하더라도 아마도 눈에 띄지 않을 것입니다. 이는 Coinbase가 거래 세부정보 및 Facebook과 Google이 가지고 있는 개인 데이터(그리고 판매하고 있는 것과 유사합니다)와 다르지 않습니다.
그러나 프라이버시를 염두에 두고 있다면, Peach의 데이터 수집 구조(및 모순된 설명)는 아마도 불쾌감을 줄 것이며, 현대 인터넷이 되어버린 데이터의 감시탑을 가능하게 할 것입니다.
모든 것을 고려할 때, Lightning 송장을 통해 데이터가 포착되지 않고 거래할 수 있으며, Bitfury가 당신에 대해 가질 수 있는 데이터 양은 상당히 미미합니다. 결국 이는 비즈니스 운영 방식에 대한 당신의 수용/편안함 수준에 달려 있으며 이러한 운영을 비추어 봅니다.
