By JUSTIN SHERMAN, WIRED US
2021년 7월 말, 천주교 전문 매체 더필러가 데이터 중개 기업을 통해 어느 한 천주교 성직자의 그린더(Grindr)라는 성 소수자 집단을 위한 온라인 데이팅 앱 사용 관련 위치 정보를 구매하고 이를 폭로했다. 그 후, 그린더 사용 사실이 폭로된 성직자는 교회를 떠났다. 성직자의 위치 데이터 판매 사건은 단순히 성 소수자를 겨냥해 그린더 데이터를 악용할 수 있는 사례만 나타내는 것이 아니다. 음지에 대규모로 형성돼, 규제되지 않은 데이터 중개 산업이 미국 시민의 실시간 위치 데이터를 최고가에 구매하는 기업을 대상으로 데이터 거래를 하는 실태를 부각한다.
필자는 듀크대학교 샌퍼드 공공정책 대학원의 사이버 정책 프로그램의 신규 보고서를 통해 주요 데이터 중개 기업 10곳과 각각의 기업이 광고하는 민감 데이터를 조사했다. 필자가 조사한 10개 기업 모두 공개적이면서도 노골적으로 인종부터 성별, 소득 수준까지 개인의 인구 집단 특성과 정치 성향, 신념(유색인종 옹호나 미국 자유 시민권 옹호, 출산 계획 정책 옹호, 성 소수자 권리 보호 등), 현 정부 및 군사 기관 소속 여부 등을 대대적으로 홍보한다. 일부 데이터 중개 기업은 미국의 지정학적 위치라는 또 다른 우려스러운 정보를 제공한다고 홍보한다.
전 세계 인구 수십억 명의 데이터를 보유한 최대 데이터 중개 기업인 액시엄(Acxiom)은 개인의 ‘위치 기반 기기 데이터’를 판매한다고 홍보한다. 교회나 심리상담 치료실, 이혼한 배우자의 집 등 누군가가 지난 30일간 여러 번 방문한 장소를 알아야 할 필요가 있을까? 액시엄의 마케팅 자료를 보면, 예시로 언급한 모든 정보를 다룬다. 개인의 위치를 토대로 한 심층 분석 정보도 제공할까? 모바일 위치 및 위치에 따른 심층 정보를 제공하는 액시엄의 협력사인 나인스데시멀(NinthDecimal)의 2018년도 기본 정보를 살펴보아라. 액시엄은 군사 기관 소속 관료의 위치도 추적할 수 있다고 주장한다. 액시엄은 신용카드 발행 기관과 시중 은행의 상업 활동의 일환으로 (부대에서 구축하였으나 놓친) 군인 신원 검증 및 위치 정보를 제공한다.
또 다른 데이터 중개 업계 대기업인 렉시스넥시스(LexisNexis)는 최신 운전면허 기록을 이용해 개인의 현재 위치를 판단하는 능력을 홍보한다. 엑스페리언(Experian)은 모바일 위치 데이터 제공 사실을 노골적으로 광고한다. 지난 10년간 주목할 만한 수준으로 데이터 중개를 받아들인 오라클(Oracle)은 사용자의 실시간 위치 기반 마케팅 서비스를 광고한다. 2019년, 오라클은 개인의 위치를 20배 더 정확하게 찾아낸 정보를 제공한다고 주장한 위치 데이터 제공 기업 블루닷(Bluedot)과 협력 관계를 체결했다. (블루닷은 오라클의 여러 협력사 중 한 곳이다.) 블루닷은 다른 여러 요소 중, 개인이 특정 장소를 방문한 횟수와 머무른 시간을 추적한다고 주장했다. 그보다 몇 년 앞선 시기에 오라클은 플레이셀Q(PlaceIQ)를 데이터 마케팅 부문 협력사로 추가 확보했다. 플레이셀Q는 오라클과의 협력 당시 4억 7,000만 개의 위치 포인트와 1억 명의 고유한 사용자, 100억 개가 넘는 일일 위치 추적 활성화 기기의 이동 정보를 제공한다.
물론, 인물 검색 사이트나 기본 개인정보 데이터베이스 사이트가 있다. 모두 인터넷 사용자가 이름만 입력하면 개인의 데이터를 검색하도록 하는 사이트이다. 데이터 중개 기업은 부동산 기록과 세금 신고, 투표 기록 등 각종 데이터를 수집하고는 정부와 다른 기관이 공개적으로 접근할 수 있는 문서를 수집한다. 그 후, 소액의 수수료를 제공하거나 무료로 누구나 공개적으로 수집한 정보를 검색하도록 제공한다. 개인의 실시간 지리적 위치는 제공하지 않지만, 개인의 거주지를 기반으로 상대적으로 업데이트한 정보를 제공한다.
이 모든 사실이 그리 놀라운 일이 아닐 수도 있다. 데이터 프라이버시 사건 이후의 데이터 침해 문제를 통해 민간 기업이 수많은 미국 시민의 일상생활을 얼마나 정확히 추적하는가 강조된 바 있기 때문이다. 다만, 상당수 데이터 추적 기업이 감시 행위를 정상화해 개인이 보도 위에 서 있는 곳이나 식당 내 좌석 등을 정확히 추적하고자 하더라도 대중은 데이터 중개 기업의 위치 데이터 판매 행위가 시민권과 국가 안보, 그리고 민주주의를 위협한다는 사실을 잊을 수 없다.
시민권 위협 문제를 살펴보자면, 연방수사국(FBI)부터 미국 이민세관집행국(US Immigration and Customs Enforcement)까지 여러 연방 기관이 영장 발급이나 대중과의 논의, 강력한 감시 등을 거치지 않고 데이터 중개 기업의 데이터를 구매해 범죄 수사부터 강제 추방까지 모든 행위를 한다. 데이터 중개 기업은 법률 집행 기관에 직접 데이터를 건네는 여러 기업의 제한을 피한다. 휴대폰 기업이 데이터 중개 기업에 사용자 데이터를 판매하고, 이후 데이터 중개 기업이 해당 데이터를 FBI에 다시 판매하는 행위를 예시로 언급할 수 있다. 데이터 중개 기업이 판매한 데이터를 손에 넣은 연방 정부 기관도 미국 시민 개인의 정보를 담은 데이터라도 압수 수색은 물론이고 오픈소스가 적용되지 않거나 상업적으로 수집한 데이터의 연방 제어를 둘러싼 다양한 법률 제한을 피한다.
이러한 맥락에서 실시간 위치 데이터는 실제 악용 기회를 나타낸다. 법률 집행 기관이 역사적으로 소외된 집단 소속 개인이나 단체를 상대로 한 작전을 개시할 때 그 문제가 심각해진다. 2020년 8월, 미 의회에서 국회의원 네 명이 데이터 악용 위험성 때문에 고객 정보 기업 모바일왈라(Mobilewalla)에 보낸 서한을 작성했다. 서한이 등장하기 직전, 모바일왈라는 개인의 휴대폰 위치 데이터를 이용해 ‘흑인의 목숨도 소중하다(Black Lives Matter)’ 시위에 참석한 개인을 확인한다고 광고했다.
민간 기업은 항상 개인 데이터 정보를 구매하며, 상세 개인 정보를 마구 구매해 차별화된 맞춤형 광고에 이용하고자 하는 충동을 느낄 확률이 높다. 개인이 경찰서 문을 열고 나올 때나 피임 진료소를 찾을 때, 대출 기관을 방문할 때 등 여러 순간에 인지하지 못하는 사이에 위치 정보를 추적한다. 또, 개인 상세 위치 추적 정보로 타인을 차별할 수도 있다. 더필러가 천주교 성직자의 그린더 사용 사실을 폭로한 것이 최초의 차별 사례라고 보기는 어렵다. 또, 개인에게 피해를 줄 의도로 외부 기관을 통해 확보한 개인의 실시간 위치 데이터를 이용한 마지막 사례가 될 확률도 낮다. 필자의 동료인 듀크대학교 사이버 정책 및 성폭력 계획(Cyber Policy and Gender Violence Initiative) 소속 어느 한 연구원은 폭력을 일삼는 개인이 인물 검색 웹사이트를 이용해 가정 폭력 피해자인 배우자를 대상으로 한 스토킹과 괴롭힘, 신체적 폭력 등 목적으로 데이터 중개 기업의 데이터를 획득할 방법이 많다는 사실을 확인했다. 특히, 가정 폭력은 여성과 성 소수자의 피해 비율이 압도적으로 많다. 데이터 중개 기업이 수집한 위치 데이터를 구매할 여러 수단을 지닌 이라면 누구나 사회운동가와 정치 조직 창립자, 그 외 개인의 위치 데이터를 손에 넣어 결국에는 폭력이나 피해를 일으킬 수 있다.
이 외에도 해외 정보기관이나 보안 기관이 사실상 아무 제한이 없는 상태에서 데이터 중개 기업의 데이터를 구매해 정보 작전을 개시하거나 외교관이나 정부 관료, 군인의 실시간 위치 데이터를 확인할 수 있다. 해외 기관이 미국 데이터 중개 기업을 통해 데이터를 법적으로, 그리고 직접적으로 구매할 수 있는 방법은 제외하고, 미국 소비자 기기 제조사 핏빗(FitBit)의 데이터가 군부대에 복무 중인 군인의 실시간 위치 데이터를 노출한 사실을 생각해 보아라. 이 모든 사실이 국가 안보를 해친다. 데이터 중개 기업이 잠재적 구매 고객을 대상으로 한 철저한 검증 과정을 공개적으로 볼 수 없는 상황에서 극도로 민감한 미국 시민권자 개인의 데이터를 종합적으로 수집하여 판매하기 때문이다.
데이터 중개 기업이 기이하면서도 검증되지 않은 감시 권력을 통해 가하는 민주주의의 위협을 완화할 유일한 방법은 규제이다. 의회는 데이터 중개 생태계를 강력한 연방 법률에 통합하고는 미국 시민의 민감 데이터 거래 순간을 제한해야 한다. 또한, 수출 통제 행정 당국에 특정 해외 기관을 대상으로 한 개인 민감 데이터 판매 행위를 제한할 권한을 부여하는 방안과 데이터 중개 기업의 불공정 및 악용 관행을 대상으로 한 연방거래위원회(FTC)의 조사 권한을 강화하는 방안을 반드시 고려해야 한다. 미국은 최대한의 정치적 대응을 기다리고 있으나 미국 시민의 실시간 위치 데이터는 지금도 공개된 시장에 판매된다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Data Brokers Know Where You Are—and Want to Sell That Intel
2021년 7월 말, 천주교 전문 매체 더필러가 데이터 중개 기업을 통해 어느 한 천주교 성직자의 그린더(Grindr)라는 성 소수자 집단을 위한 온라인 데이팅 앱 사용 관련 위치 정보를 구매하고 이를 폭로했다. 그 후, 그린더 사용 사실이 폭로된 성직자는 교회를 떠났다. 성직자의 위치 데이터 판매 사건은 단순히 성 소수자를 겨냥해 그린더 데이터를 악용할 수 있는 사례만 나타내는 것이 아니다. 음지에 대규모로 형성돼, 규제되지 않은 데이터 중개 산업이 미국 시민의 실시간 위치 데이터를 최고가에 구매하는 기업을 대상으로 데이터 거래를 하는 실태를 부각한다.
필자는 듀크대학교 샌퍼드 공공정책 대학원의 사이버 정책 프로그램의 신규 보고서를 통해 주요 데이터 중개 기업 10곳과 각각의 기업이 광고하는 민감 데이터를 조사했다. 필자가 조사한 10개 기업 모두 공개적이면서도 노골적으로 인종부터 성별, 소득 수준까지 개인의 인구 집단 특성과 정치 성향, 신념(유색인종 옹호나 미국 자유 시민권 옹호, 출산 계획 정책 옹호, 성 소수자 권리 보호 등), 현 정부 및 군사 기관 소속 여부 등을 대대적으로 홍보한다. 일부 데이터 중개 기업은 미국의 지정학적 위치라는 또 다른 우려스러운 정보를 제공한다고 홍보한다.
전 세계 인구 수십억 명의 데이터를 보유한 최대 데이터 중개 기업인 액시엄(Acxiom)은 개인의 ‘위치 기반 기기 데이터’를 판매한다고 홍보한다. 교회나 심리상담 치료실, 이혼한 배우자의 집 등 누군가가 지난 30일간 여러 번 방문한 장소를 알아야 할 필요가 있을까? 액시엄의 마케팅 자료를 보면, 예시로 언급한 모든 정보를 다룬다. 개인의 위치를 토대로 한 심층 분석 정보도 제공할까? 모바일 위치 및 위치에 따른 심층 정보를 제공하는 액시엄의 협력사인 나인스데시멀(NinthDecimal)의 2018년도 기본 정보를 살펴보아라. 액시엄은 군사 기관 소속 관료의 위치도 추적할 수 있다고 주장한다. 액시엄은 신용카드 발행 기관과 시중 은행의 상업 활동의 일환으로 (부대에서 구축하였으나 놓친) 군인 신원 검증 및 위치 정보를 제공한다.
또 다른 데이터 중개 업계 대기업인 렉시스넥시스(LexisNexis)는 최신 운전면허 기록을 이용해 개인의 현재 위치를 판단하는 능력을 홍보한다. 엑스페리언(Experian)은 모바일 위치 데이터 제공 사실을 노골적으로 광고한다. 지난 10년간 주목할 만한 수준으로 데이터 중개를 받아들인 오라클(Oracle)은 사용자의 실시간 위치 기반 마케팅 서비스를 광고한다. 2019년, 오라클은 개인의 위치를 20배 더 정확하게 찾아낸 정보를 제공한다고 주장한 위치 데이터 제공 기업 블루닷(Bluedot)과 협력 관계를 체결했다. (블루닷은 오라클의 여러 협력사 중 한 곳이다.) 블루닷은 다른 여러 요소 중, 개인이 특정 장소를 방문한 횟수와 머무른 시간을 추적한다고 주장했다. 그보다 몇 년 앞선 시기에 오라클은 플레이셀Q(PlaceIQ)를 데이터 마케팅 부문 협력사로 추가 확보했다. 플레이셀Q는 오라클과의 협력 당시 4억 7,000만 개의 위치 포인트와 1억 명의 고유한 사용자, 100억 개가 넘는 일일 위치 추적 활성화 기기의 이동 정보를 제공한다.
물론, 인물 검색 사이트나 기본 개인정보 데이터베이스 사이트가 있다. 모두 인터넷 사용자가 이름만 입력하면 개인의 데이터를 검색하도록 하는 사이트이다. 데이터 중개 기업은 부동산 기록과 세금 신고, 투표 기록 등 각종 데이터를 수집하고는 정부와 다른 기관이 공개적으로 접근할 수 있는 문서를 수집한다. 그 후, 소액의 수수료를 제공하거나 무료로 누구나 공개적으로 수집한 정보를 검색하도록 제공한다. 개인의 실시간 지리적 위치는 제공하지 않지만, 개인의 거주지를 기반으로 상대적으로 업데이트한 정보를 제공한다.
이 모든 사실이 그리 놀라운 일이 아닐 수도 있다. 데이터 프라이버시 사건 이후의 데이터 침해 문제를 통해 민간 기업이 수많은 미국 시민의 일상생활을 얼마나 정확히 추적하는가 강조된 바 있기 때문이다. 다만, 상당수 데이터 추적 기업이 감시 행위를 정상화해 개인이 보도 위에 서 있는 곳이나 식당 내 좌석 등을 정확히 추적하고자 하더라도 대중은 데이터 중개 기업의 위치 데이터 판매 행위가 시민권과 국가 안보, 그리고 민주주의를 위협한다는 사실을 잊을 수 없다.
시민권 위협 문제를 살펴보자면, 연방수사국(FBI)부터 미국 이민세관집행국(US Immigration and Customs Enforcement)까지 여러 연방 기관이 영장 발급이나 대중과의 논의, 강력한 감시 등을 거치지 않고 데이터 중개 기업의 데이터를 구매해 범죄 수사부터 강제 추방까지 모든 행위를 한다. 데이터 중개 기업은 법률 집행 기관에 직접 데이터를 건네는 여러 기업의 제한을 피한다. 휴대폰 기업이 데이터 중개 기업에 사용자 데이터를 판매하고, 이후 데이터 중개 기업이 해당 데이터를 FBI에 다시 판매하는 행위를 예시로 언급할 수 있다. 데이터 중개 기업이 판매한 데이터를 손에 넣은 연방 정부 기관도 미국 시민 개인의 정보를 담은 데이터라도 압수 수색은 물론이고 오픈소스가 적용되지 않거나 상업적으로 수집한 데이터의 연방 제어를 둘러싼 다양한 법률 제한을 피한다.
이러한 맥락에서 실시간 위치 데이터는 실제 악용 기회를 나타낸다. 법률 집행 기관이 역사적으로 소외된 집단 소속 개인이나 단체를 상대로 한 작전을 개시할 때 그 문제가 심각해진다. 2020년 8월, 미 의회에서 국회의원 네 명이 데이터 악용 위험성 때문에 고객 정보 기업 모바일왈라(Mobilewalla)에 보낸 서한을 작성했다. 서한이 등장하기 직전, 모바일왈라는 개인의 휴대폰 위치 데이터를 이용해 ‘흑인의 목숨도 소중하다(Black Lives Matter)’ 시위에 참석한 개인을 확인한다고 광고했다.
민간 기업은 항상 개인 데이터 정보를 구매하며, 상세 개인 정보를 마구 구매해 차별화된 맞춤형 광고에 이용하고자 하는 충동을 느낄 확률이 높다. 개인이 경찰서 문을 열고 나올 때나 피임 진료소를 찾을 때, 대출 기관을 방문할 때 등 여러 순간에 인지하지 못하는 사이에 위치 정보를 추적한다. 또, 개인 상세 위치 추적 정보로 타인을 차별할 수도 있다. 더필러가 천주교 성직자의 그린더 사용 사실을 폭로한 것이 최초의 차별 사례라고 보기는 어렵다. 또, 개인에게 피해를 줄 의도로 외부 기관을 통해 확보한 개인의 실시간 위치 데이터를 이용한 마지막 사례가 될 확률도 낮다. 필자의 동료인 듀크대학교 사이버 정책 및 성폭력 계획(Cyber Policy and Gender Violence Initiative) 소속 어느 한 연구원은 폭력을 일삼는 개인이 인물 검색 웹사이트를 이용해 가정 폭력 피해자인 배우자를 대상으로 한 스토킹과 괴롭힘, 신체적 폭력 등 목적으로 데이터 중개 기업의 데이터를 획득할 방법이 많다는 사실을 확인했다. 특히, 가정 폭력은 여성과 성 소수자의 피해 비율이 압도적으로 많다. 데이터 중개 기업이 수집한 위치 데이터를 구매할 여러 수단을 지닌 이라면 누구나 사회운동가와 정치 조직 창립자, 그 외 개인의 위치 데이터를 손에 넣어 결국에는 폭력이나 피해를 일으킬 수 있다.
이 외에도 해외 정보기관이나 보안 기관이 사실상 아무 제한이 없는 상태에서 데이터 중개 기업의 데이터를 구매해 정보 작전을 개시하거나 외교관이나 정부 관료, 군인의 실시간 위치 데이터를 확인할 수 있다. 해외 기관이 미국 데이터 중개 기업을 통해 데이터를 법적으로, 그리고 직접적으로 구매할 수 있는 방법은 제외하고, 미국 소비자 기기 제조사 핏빗(FitBit)의 데이터가 군부대에 복무 중인 군인의 실시간 위치 데이터를 노출한 사실을 생각해 보아라. 이 모든 사실이 국가 안보를 해친다. 데이터 중개 기업이 잠재적 구매 고객을 대상으로 한 철저한 검증 과정을 공개적으로 볼 수 없는 상황에서 극도로 민감한 미국 시민권자 개인의 데이터를 종합적으로 수집하여 판매하기 때문이다.
데이터 중개 기업이 기이하면서도 검증되지 않은 감시 권력을 통해 가하는 민주주의의 위협을 완화할 유일한 방법은 규제이다. 의회는 데이터 중개 생태계를 강력한 연방 법률에 통합하고는 미국 시민의 민감 데이터 거래 순간을 제한해야 한다. 또한, 수출 통제 행정 당국에 특정 해외 기관을 대상으로 한 개인 민감 데이터 판매 행위를 제한할 권한을 부여하는 방안과 데이터 중개 기업의 불공정 및 악용 관행을 대상으로 한 연방거래위원회(FTC)의 조사 권한을 강화하는 방안을 반드시 고려해야 한다. 미국은 최대한의 정치적 대응을 기다리고 있으나 미국 시민의 실시간 위치 데이터는 지금도 공개된 시장에 판매된다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
Data Brokers Know Where You Are—and Want to Sell That Intel
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다