By SURYA MATTU, WIRED US
오늘날 디지털 세계에는 특정 사용자 집단에게만 전달하면서 다른 집단을 배제하는 페이스북 게시글이라는 그림자 속에 부당함이 내재해 있다. 채용 면접 도중 입사지원자 후보자 프로필을 형성하는 데 이용하는 숨겨진 알고리즘과 범죄자 징역 선고, 복지 사기 억류 판결에 이용하는 위험 평가 알고리즘에도 부당함이 숨어있다. 알고리즘적 시스템이 사회의 모든 측면에 통합되면서 규제 기관의 메커니즘은 문제 대응 수준을 유지하는 데 난항을 겪고 있다.
지난 10년간 다수 연구원과 기자는 차별적 인공지능(AI) 시스템 공개 및 검토 방법을 찾고, 자체 데이터 수집 툴을 개발했다. 그러나 인터넷 접속 방식이 브라우저에서 모바일 앱으로 이동하면서 중요한 투명성이 급속도로 사라졌다.
외부 디지털 시스템 분석 기관은 주로 웹페이지에서 발생하는 일을 감독하는 데 보편적으로 사용하는 평범한 두 가지 툴인 ‘브라우저 확장 프로그램(browser add-on)’과 ‘브라우저 개발 툴(browser developer tool)’을 사용한다.
브라우저 확장 프로그램은 웹 브라우저에 직접 설치하여 사용자가 특정 웹사이트와의 소통 방식을 강화하도록 하는 소규모 프로그램이다. 확장 프로그램은 보통 패스워드 매니저, 광고 차단 툴과 같은 툴을 운영할 용도로 사용하지만, 사용자가 테크 플랫폼의 성벽 안에서 직접 데이터를 수집하도록 한다.
이와 비슷하게 브라우저 개발 툴은 웹 개발자가 직접 개발한 웹사이트의 사용자 인터페이스 테스트와 디버깅 작업을 하도록 개발되었다. 인터넷 발전과 함께 웹사이트가 갈수록 더 복잡해지면서 브라우저 개발 툴도 발전했다. 웹 브라우저 개발 툴에는 소스 코드 조사 및 변경 기능과 네트워크 활동 모니터링, 웹사이트가 사용자의 위치나 마이크에 접속 시 감지하는 기능 등을 추가했다. 기업의 사용자 추적, 프로필 생성, 맞춤 광고 지정 방식 등을 조사하는 강력한 메커니즘이다.
필자는 데이터 전문 기자이므로 브라우저 개발 툴을 설치해, 사용자가 주어진 양식의 ‘제출’ 버튼을 클릭하기 전에도 마케팅 기업이 사용자 개인 데이터를 기록하는 방법을 보았다. 또, 비교적 최근에는 그동안 ‘페이스북 픽셀(Facebook Pixel)’ 툴이라는 이름으로 알려진 ‘메타 픽셀(Meta Pixel)’이 병원 웹사이트, 미 연방 학자금 대출 신청, 세금 신고 툴 웹사이트 등 민감한 위치를 확실히 알지 못한 상태에서 사용자를 추적한다.
감시 노출 이외에도 브라우저 조사 툴은 차별과 거짓 정보 유포, 테크 기업이 일으키거나 원활하게 발생하도록 할 다른 유형의 피해를 연구할 강력한 데이터 크라우드소스 방식을 제공한다. 그러나 브라우저 개발 툴의 성능이 강력하지만, 도달 범위는 제한적이다. 2023년, 디지털 행동 변화 분석 플랫폼 케피오스(Kepios)는 전 세계 사용자 92%는 스마트폰으로, 65%는 데스크톱이나 노트북으로 인터넷에 접속한다는 조사 결과를 발표했다.
인터넷 트래픽 절대다수가 스마트폰으로 이동했으나 브라우저 확장 프로그램, 개발 툴과 같은 수준의 검사성을 지닌 스마트폰 생태계용 툴은 없다. 웹 브라우저는 투명성을 갖춘 것처럼 보이지만, 모바일 운영체제는 투명성이 없기 때문이다.
웹 브라우저에서 웹사이트를 보고자 한다면, 서버에서 사용자에게 소스 코드를 전송한다. 반면, 모바일 앱은 애플 iOS 앱스토어나 구글 플레이 등에서 다운로드할 수 있는 위치에 실행 파일을 압축한다. 앱 개발자는 모바일 앱을 사용하고자 하는 사용자에게 소스 코드를 공개할 필요가 없다.
마찬가지로 웹 브라우저에서 네트워크 트래픽을 손쉽게 모니터링할 수 있다. 보통 소스 코드를 조사해, 기업이 수집하는 사용자 데이터를 보려 할 때 유용한 방식이다. 어느 기업의 웹사이트가 개인 데이터를 외부로 공유하는가 알고 싶은가? 그렇다면, 소스 코드를 조사할 것이 아니라 네트워크 트래픽을 감시해야 한다. 스마트폰에서는 네트워크 모니터링이 가능하지만, 사용자 기기 보안을 저하하면서 해커 세력의 중간자 공격에 더 취약한 상황을 일으키는 최상위 인증서(root certificates) 설치 작업이 필요하다. 브라우저보다는 스마트폰에서 훨씬 더 안전한 방식으로 데이터를 수집하기 어려운 원인이 되는 몇 가지 차이점이다.
개인이 데이터를 수집해야 할 이유는 그 어느 때보다 더 강력하다. 이전에는 트위터 API와 페이스북 트렌드 모니터링 툴인 크라우드탱글(CrowdTangle) 등 기업이 제공하는 툴은 SNS 연구와 보고의 큰 비중을 제공하는 인프라였다. 그러나 두 가지 툴 모두 유용성과 접근성이 줄어들자 기업이 사용자 개인 데이터로 하는 활동과 사용자의 플랫폼 사용 방식 등을 이해하기 위한 새로운 개인 데이터 수집 방식의 필요성이 커졌다.
디지털 시스템이 사회에 미치는 영향을 의미 있는 방식으로 보고하려면, 기업에 데이터 수집 허가를 요청하지 않고 사용자 기기의 위치를 관찰할 수 있어야 한다. 필자는 지난 10년간 알고리즘적 피해 노출을 위해 데이터 크라우드소스 작업을 하는 툴을 개발하면서 일반 사용자가 모바일 앱과 스마트 기기 내부를 볼 수 있어야 한다고 생각한다. 그러나 필자는 모바일 앱 내부를 자세히 볼 수 없었다. 최근, 소셜 인터넷 보호 비영리 단체인 무결성 연구소(Integrity Institute)는 책임성과 협력, 이해도, 신뢰 등 대중의 이익 목표 달성의 지렛대 역할 측면에서 투명성의 중요성을 거의 다루지 않았다.
테크 플랫폼의 중요성을 요구하려면, 플랫폼과는 독립된 투명성 프레임워크가 필요하다. 필자는 이를 ‘검사성 API’라고 칭한다. 검사성 API와 같은 프레임워크는 가장 취약한 인구 집단도 개인 기기에서 발생하는 피해를 입증할 증거를 모으고, 외부 기관이 당사자 동의 없이 개인 데이터를 연구나 보고에 이용할 위험성을 최소화한다.
API는 기업이 다른 개발자가 자사 서비스나 데이터를 사용하도록 하는 방식이다. 예를 들어, 모바일 앱을 개발하면서 특정 기능을 위해 스마트폰 카메라를 사용하고자 한다면, iOS나 안드로이드 카메라 API를 사용해야 한다. 또 다른 보편적인 사례로 개발자가 사용자 인터페이스가 화면 인식기와 다른 접근성 툴을 읽도록 하는 방식으로 직접 개발한 앱을 장애인에게 접근하도록 지원하는 ‘접근성 API’를 언급할 수 있다. 보통 최신 스마트폰이나 컴퓨터에서 발견할 수 있는 부분이다. 검사성 API는 개인이 매일 사용하는 앱에서 데이터를 내보내고 연구원과 기자, 지역사회 운동가 등과 공유하도록 지원한다. 기업은 자사 앱과 웹사이트를 장애가 있어도 사용하도록 할 접근성 기능을 구축해야 한다는 조건과 같이 검사성 API를 적용하여 최상의 투명성 관행을 준수해야 한다.
미국 내 일부 주 거주자는 주 단위 프라이버시 법률 덕분에 기업이 수집한 개인 데이터 제공을 요청할 수 있다. 법률 제정 의도는 훌륭하지만, 기업이 법률 준수를 위해 사용자에게 공유하는 데이터는 보통 사용자에게 피해를 줄 수 있는 중요한 상세 정보를 불분명하게 만드는 방식으로 구조화되었다. 일례로, 페이스북은 개인 사용자가 다른 여러 정보 중 ‘페이스북 외 활동’을 보도록 하는 상세한 데이터 사본 다운로드 서비스를 훌륭하게 갖추었다. 그러나 마크업(Markup)은 픽셀 사용과 관련하여 일련의 조사를 진행하던 중 페이스북이 사용자에게 데이터를 공유한 웹사이트 정보를 알려주더라도 공유된 개인 정보의 프라이버시 침해 수준은 공개하지 않는다. 의사 진료 예약, 세금 신고 정보, 학자금 정보를 비롯한 다양한 민감 정보가 페이스북에 전송된다. 검사성 API는 사용자가 개인 기기를 손쉽게 모니터링하고, 사용 중인 앱의 개인 데이터 추적 방식을 실시간으로 확인할 수 있다.
이미 몇 가지 고무적인 작업이 완료됐다. 애플이 iOS 15와 함께 배포한 앱 프라이버시 보고(App Privacy Report)는 아이폰 사용자가 최초로 상세한 프라이버시 정보를 보고, 앱마다 적용된 데이터 수집 관행을 이해하도록 지원한다. 더 나아가 인스타그램이 사용자 기기의 마이크에 접근하는가도 확인할 수 있다.
그러나 상세한 개인 데이터 수집 상황을 파악하고자 할 때 개별 기업의 선택에 의존할 수는 없다. 사용자가 직접 검사와 내보내기가 가능한 데이터 종류를 명확히 정의한 프레임워크와 사용자의 데이터 수집 기록 확인 지원을 적용하지 않은 기업을 처벌할 규제가 필요하다. 데이터 수집 관련 명확한 프레임워크는 피해에 노출된 사용자의 권리를 강화하며, 프라이버시가 위반되지 않았음을 보장한다. 개인 사용자는 공유할 데이터 종류와 공유 시점, 공유 대상을 선택할 수 있다.
검사성 API는 사용자가 대중의 인식을 제기하고 변화를 지지할 이들과 함께 피해에 노출된 증거를 공유하면서 개인의 데이터 보호 권리를 신장한다. 필자가 공동 창립자이자 대표로 이름을 올린 프린스턴대학교 디지털 위트니스 연구소(Digital Witness Lab)와 같은 기관이 테크 기업의 데이터 접근에 의존하지 않고, 데이터 보호에 취약한 지역사회와 긴밀히 협력하면서 데이터 기반 조사를 시행하도록 한다. 사용자의 개인 데이터 검사를 지원하는 프레임워크는 연구원을 포함한 많은 이들이 안전하면서도 정확한 데이터 유출 피해 사항을 공유하도록 한다. 그리고 데이터 수집 및 외부 공유로 피해를 본 이들의 동의를 우선시한다는 점이 가장 중요한 부분이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The Internet Is Turning Into a Data Black Box. An ‘Inspectability API’ Could Crack It Open
오늘날 디지털 세계에는 특정 사용자 집단에게만 전달하면서 다른 집단을 배제하는 페이스북 게시글이라는 그림자 속에 부당함이 내재해 있다. 채용 면접 도중 입사지원자 후보자 프로필을 형성하는 데 이용하는 숨겨진 알고리즘과 범죄자 징역 선고, 복지 사기 억류 판결에 이용하는 위험 평가 알고리즘에도 부당함이 숨어있다. 알고리즘적 시스템이 사회의 모든 측면에 통합되면서 규제 기관의 메커니즘은 문제 대응 수준을 유지하는 데 난항을 겪고 있다.
지난 10년간 다수 연구원과 기자는 차별적 인공지능(AI) 시스템 공개 및 검토 방법을 찾고, 자체 데이터 수집 툴을 개발했다. 그러나 인터넷 접속 방식이 브라우저에서 모바일 앱으로 이동하면서 중요한 투명성이 급속도로 사라졌다.
외부 디지털 시스템 분석 기관은 주로 웹페이지에서 발생하는 일을 감독하는 데 보편적으로 사용하는 평범한 두 가지 툴인 ‘브라우저 확장 프로그램(browser add-on)’과 ‘브라우저 개발 툴(browser developer tool)’을 사용한다.
브라우저 확장 프로그램은 웹 브라우저에 직접 설치하여 사용자가 특정 웹사이트와의 소통 방식을 강화하도록 하는 소규모 프로그램이다. 확장 프로그램은 보통 패스워드 매니저, 광고 차단 툴과 같은 툴을 운영할 용도로 사용하지만, 사용자가 테크 플랫폼의 성벽 안에서 직접 데이터를 수집하도록 한다.
이와 비슷하게 브라우저 개발 툴은 웹 개발자가 직접 개발한 웹사이트의 사용자 인터페이스 테스트와 디버깅 작업을 하도록 개발되었다. 인터넷 발전과 함께 웹사이트가 갈수록 더 복잡해지면서 브라우저 개발 툴도 발전했다. 웹 브라우저 개발 툴에는 소스 코드 조사 및 변경 기능과 네트워크 활동 모니터링, 웹사이트가 사용자의 위치나 마이크에 접속 시 감지하는 기능 등을 추가했다. 기업의 사용자 추적, 프로필 생성, 맞춤 광고 지정 방식 등을 조사하는 강력한 메커니즘이다.
필자는 데이터 전문 기자이므로 브라우저 개발 툴을 설치해, 사용자가 주어진 양식의 ‘제출’ 버튼을 클릭하기 전에도 마케팅 기업이 사용자 개인 데이터를 기록하는 방법을 보았다. 또, 비교적 최근에는 그동안 ‘페이스북 픽셀(Facebook Pixel)’ 툴이라는 이름으로 알려진 ‘메타 픽셀(Meta Pixel)’이 병원 웹사이트, 미 연방 학자금 대출 신청, 세금 신고 툴 웹사이트 등 민감한 위치를 확실히 알지 못한 상태에서 사용자를 추적한다.
감시 노출 이외에도 브라우저 조사 툴은 차별과 거짓 정보 유포, 테크 기업이 일으키거나 원활하게 발생하도록 할 다른 유형의 피해를 연구할 강력한 데이터 크라우드소스 방식을 제공한다. 그러나 브라우저 개발 툴의 성능이 강력하지만, 도달 범위는 제한적이다. 2023년, 디지털 행동 변화 분석 플랫폼 케피오스(Kepios)는 전 세계 사용자 92%는 스마트폰으로, 65%는 데스크톱이나 노트북으로 인터넷에 접속한다는 조사 결과를 발표했다.
인터넷 트래픽 절대다수가 스마트폰으로 이동했으나 브라우저 확장 프로그램, 개발 툴과 같은 수준의 검사성을 지닌 스마트폰 생태계용 툴은 없다. 웹 브라우저는 투명성을 갖춘 것처럼 보이지만, 모바일 운영체제는 투명성이 없기 때문이다.
웹 브라우저에서 웹사이트를 보고자 한다면, 서버에서 사용자에게 소스 코드를 전송한다. 반면, 모바일 앱은 애플 iOS 앱스토어나 구글 플레이 등에서 다운로드할 수 있는 위치에 실행 파일을 압축한다. 앱 개발자는 모바일 앱을 사용하고자 하는 사용자에게 소스 코드를 공개할 필요가 없다.
마찬가지로 웹 브라우저에서 네트워크 트래픽을 손쉽게 모니터링할 수 있다. 보통 소스 코드를 조사해, 기업이 수집하는 사용자 데이터를 보려 할 때 유용한 방식이다. 어느 기업의 웹사이트가 개인 데이터를 외부로 공유하는가 알고 싶은가? 그렇다면, 소스 코드를 조사할 것이 아니라 네트워크 트래픽을 감시해야 한다. 스마트폰에서는 네트워크 모니터링이 가능하지만, 사용자 기기 보안을 저하하면서 해커 세력의 중간자 공격에 더 취약한 상황을 일으키는 최상위 인증서(root certificates) 설치 작업이 필요하다. 브라우저보다는 스마트폰에서 훨씬 더 안전한 방식으로 데이터를 수집하기 어려운 원인이 되는 몇 가지 차이점이다.
개인이 데이터를 수집해야 할 이유는 그 어느 때보다 더 강력하다. 이전에는 트위터 API와 페이스북 트렌드 모니터링 툴인 크라우드탱글(CrowdTangle) 등 기업이 제공하는 툴은 SNS 연구와 보고의 큰 비중을 제공하는 인프라였다. 그러나 두 가지 툴 모두 유용성과 접근성이 줄어들자 기업이 사용자 개인 데이터로 하는 활동과 사용자의 플랫폼 사용 방식 등을 이해하기 위한 새로운 개인 데이터 수집 방식의 필요성이 커졌다.
디지털 시스템이 사회에 미치는 영향을 의미 있는 방식으로 보고하려면, 기업에 데이터 수집 허가를 요청하지 않고 사용자 기기의 위치를 관찰할 수 있어야 한다. 필자는 지난 10년간 알고리즘적 피해 노출을 위해 데이터 크라우드소스 작업을 하는 툴을 개발하면서 일반 사용자가 모바일 앱과 스마트 기기 내부를 볼 수 있어야 한다고 생각한다. 그러나 필자는 모바일 앱 내부를 자세히 볼 수 없었다. 최근, 소셜 인터넷 보호 비영리 단체인 무결성 연구소(Integrity Institute)는 책임성과 협력, 이해도, 신뢰 등 대중의 이익 목표 달성의 지렛대 역할 측면에서 투명성의 중요성을 거의 다루지 않았다.
테크 플랫폼의 중요성을 요구하려면, 플랫폼과는 독립된 투명성 프레임워크가 필요하다. 필자는 이를 ‘검사성 API’라고 칭한다. 검사성 API와 같은 프레임워크는 가장 취약한 인구 집단도 개인 기기에서 발생하는 피해를 입증할 증거를 모으고, 외부 기관이 당사자 동의 없이 개인 데이터를 연구나 보고에 이용할 위험성을 최소화한다.
API는 기업이 다른 개발자가 자사 서비스나 데이터를 사용하도록 하는 방식이다. 예를 들어, 모바일 앱을 개발하면서 특정 기능을 위해 스마트폰 카메라를 사용하고자 한다면, iOS나 안드로이드 카메라 API를 사용해야 한다. 또 다른 보편적인 사례로 개발자가 사용자 인터페이스가 화면 인식기와 다른 접근성 툴을 읽도록 하는 방식으로 직접 개발한 앱을 장애인에게 접근하도록 지원하는 ‘접근성 API’를 언급할 수 있다. 보통 최신 스마트폰이나 컴퓨터에서 발견할 수 있는 부분이다. 검사성 API는 개인이 매일 사용하는 앱에서 데이터를 내보내고 연구원과 기자, 지역사회 운동가 등과 공유하도록 지원한다. 기업은 자사 앱과 웹사이트를 장애가 있어도 사용하도록 할 접근성 기능을 구축해야 한다는 조건과 같이 검사성 API를 적용하여 최상의 투명성 관행을 준수해야 한다.
미국 내 일부 주 거주자는 주 단위 프라이버시 법률 덕분에 기업이 수집한 개인 데이터 제공을 요청할 수 있다. 법률 제정 의도는 훌륭하지만, 기업이 법률 준수를 위해 사용자에게 공유하는 데이터는 보통 사용자에게 피해를 줄 수 있는 중요한 상세 정보를 불분명하게 만드는 방식으로 구조화되었다. 일례로, 페이스북은 개인 사용자가 다른 여러 정보 중 ‘페이스북 외 활동’을 보도록 하는 상세한 데이터 사본 다운로드 서비스를 훌륭하게 갖추었다. 그러나 마크업(Markup)은 픽셀 사용과 관련하여 일련의 조사를 진행하던 중 페이스북이 사용자에게 데이터를 공유한 웹사이트 정보를 알려주더라도 공유된 개인 정보의 프라이버시 침해 수준은 공개하지 않는다. 의사 진료 예약, 세금 신고 정보, 학자금 정보를 비롯한 다양한 민감 정보가 페이스북에 전송된다. 검사성 API는 사용자가 개인 기기를 손쉽게 모니터링하고, 사용 중인 앱의 개인 데이터 추적 방식을 실시간으로 확인할 수 있다.
이미 몇 가지 고무적인 작업이 완료됐다. 애플이 iOS 15와 함께 배포한 앱 프라이버시 보고(App Privacy Report)는 아이폰 사용자가 최초로 상세한 프라이버시 정보를 보고, 앱마다 적용된 데이터 수집 관행을 이해하도록 지원한다. 더 나아가 인스타그램이 사용자 기기의 마이크에 접근하는가도 확인할 수 있다.
그러나 상세한 개인 데이터 수집 상황을 파악하고자 할 때 개별 기업의 선택에 의존할 수는 없다. 사용자가 직접 검사와 내보내기가 가능한 데이터 종류를 명확히 정의한 프레임워크와 사용자의 데이터 수집 기록 확인 지원을 적용하지 않은 기업을 처벌할 규제가 필요하다. 데이터 수집 관련 명확한 프레임워크는 피해에 노출된 사용자의 권리를 강화하며, 프라이버시가 위반되지 않았음을 보장한다. 개인 사용자는 공유할 데이터 종류와 공유 시점, 공유 대상을 선택할 수 있다.
검사성 API는 사용자가 대중의 인식을 제기하고 변화를 지지할 이들과 함께 피해에 노출된 증거를 공유하면서 개인의 데이터 보호 권리를 신장한다. 필자가 공동 창립자이자 대표로 이름을 올린 프린스턴대학교 디지털 위트니스 연구소(Digital Witness Lab)와 같은 기관이 테크 기업의 데이터 접근에 의존하지 않고, 데이터 보호에 취약한 지역사회와 긴밀히 협력하면서 데이터 기반 조사를 시행하도록 한다. 사용자의 개인 데이터 검사를 지원하는 프레임워크는 연구원을 포함한 많은 이들이 안전하면서도 정확한 데이터 유출 피해 사항을 공유하도록 한다. 그리고 데이터 수집 및 외부 공유로 피해를 본 이들의 동의를 우선시한다는 점이 가장 중요한 부분이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The Internet Is Turning Into a Data Black Box. An ‘Inspectability API’ Could Crack It Open
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다