스위스 보안의 함정, Proton Meet의 US 인프라 의존성 분석

Context

US CLOUD Act로부터 자유로운 화상 회의 서비스 제공 목표. 스위스 기반의 제로 트러스트 아키텍처 표방. 실제 구현 단계에서 미국 기업 인프라에 전적으로 의존하는 구조적 모순 발생.

Technical Solution

• [Key Exchange] → MLS 프로토콜 기반 스위스 Proton AG 서버 내 암호화 키 교환 처리
• [Media Routing] → LiveKit Cloud SFU를 통한 실시간 비디오/오디오 트래픽 전송
• [Infrastructure] → Oracle Cloud, AWS EC2 기반의 미국 내 네트워크 노드 배치
• [Observability] → Datadog을 활용한 미국 내 텔레메트리 및 이벤트 로그 처리
• [Client Side] → LiveKit JavaScript SDK 및 CSP 화이트리스트 기반의 외부 도메인 통신

Key Takeaway

종단간 암호화(E2EE)가 적용되어도 제어 평면과 데이터 평면의 인프라 소유권에 따라 메타데이터 유출 및 법적 강제 집행 위험이 잔존함.