경찰과 연방 기구가 호주 전역의 술집, 클럽 등에 적용된 안면 인식 제도와 관련성이 있는 개인 데이터 대규모 유출 사건 대응에 나섰다. 이번 사건은 AI 기반 안면 인식 기술이 쇼핑몰부터 스포츠 행사장까지 어디서나 널리 채택되는 상황에서 급속도로 증가한 프라이버시 우려를 부각하는 사례이다.
피해를 겪은 기업은 미국, 필리핀에도 지사를 둔 호주 기업인 오타박스(Outabox)이다. 오타박스는 코로나19 당시 방문객 스캔과 체온 확인 기능을 갖춘 안면 인식 키오스크를 도입했다. 오타박스의 키오스크는 도박 중독 치료 목적의 자기 배제 계획에 등록된 문제성 도박 참여자를 식별할 때도 활용한다. 2024년 5월 초 들어 필리핀에 거주하는 전직 오타박스 개발자팀이 설립했다고 주장하는 웹사이트인 ‘해브 아이 빈 오타박스드(Have I Been Outaboxed)’가 등장했다. 웹사이트는 방문자에게 이름을 입력하여 오타박스 데이터의 데이터베이스에 개인 정보가 포함되었는지 확인하도록 요청한다. 데이터베이스는 웹사이트가 허술한 내부 통제 의혹과 함께 보안 적용이 되지 않은 스프레드시트로 공유되었다는 의혹을 제기했다. 총 100만 개가 넘는 기록이 있다는 주장을 하기도 했다.
오타박스 안면 인식 데이터 유출 사건은 오랫동안 클럽, 카지노 등 개방된 공간 내 안면 인식 기술의 소름 끼치는 침투를 두고 경각심을 제기한 프라이버시 전문가의 분노를 자극했다.
호주 프라이버시 및 보안 비영리단체 디지털라이츠워치(Digital Rights Watch) 정책 책임자 사만다 플로레이니(Samantha Floreani)는 와이어드와의 인터뷰에서 “안타깝게도 오타박스의 사례는 프라이버시 침투 문제가 있는 안면 인식 시스템 적용의 결과로 발생할 수 있는 끔찍한 사례이다. 프라이버시 옹호론자가 안면 인식 시스템과 같은 감시 기반 시스템과 관련한 위험성을 경고할 때 데이터 보안 침해가 경고 사항에 포함된다”라고 말했다.
[사진=Pixabay]
해브아이빈오타박스드 웹사이트에서 경고한 데이터 중에는 안면 인식 생체 정보, 운전면허증 스캔, 서명, 클럽 멤버십 데이터, 주소, 생일, 연락처, 클럽 방문 시간, 슬롯 기계 사용 정보 등이 포함되었다. 웹사이트는 오타박스가 도박 기계 공급사인 IGT의 전체 멤버십 데이터를 내보냈다고 주장한다. 필 오쇼그네시(Phil O’Shaughnessy) IGT 글로벌 커뮤니케이션 부사장은 와이어드와의 인터뷰에서 “이번 보안 공격의 영향을 받은 데이터는 IGT가 확보한 적이 없는 데이터”라며, 오타박스와 법률 집행 기관의 조사에 협력할 것이라고 전했다.
해브아이빈오타박스드 웹사이트 운영자는 오타박스 창립자 중 한 명의 사진과 서명, 글자가 가려진 운전면허증과 내부 스프레드시트로 추정되는 글자가 가려진 스크린샷 등을 게재했다. 와이어드는 웹사이트 소유주 신원 정보나 보유했다고 주장하는 데이터의 진위성을 검증하기 어려웠다. 웹사이트에 공개된 이메일로 연락했으나 어떠한 답변도 받지 못했다.
오타박스 대변인은 “오타박스는 누군가의 개인 정보가 피해 대상에 포함되었을 수도 있는 사이버 공격 문제를 인지한 뒤 대응하였다. 오타박스는 그동안 많은 고객사와 소통하여 사이버 공격 관련 정보와 대응 전략 정보를 안내했다. 호주 경찰이 수사를 진행 중이므로 현시점에서 추가 정보를 제공할 수는 없다”라고 전했다.
뉴사우스웨일스 경찰국도 와이어드에 5월 1일 자로 데이터 보안 침해 사건 수사에 착수했음을 확인시켜 주었으나 경찰국 대변인은 추가 상세 정보 공개를 거부했다. 5월 2일, 경찰국은 연방 기관 및 주정부 기관과 함께 시드니 교외 지역에서 익명의 46세 남성을 체포했다고 발표했다. 체포된 남성은 블랙메일 혐의로 기소될 것으로 보인다.
오타박스의 기술을 사용한 클럽 여러 곳도 데이터 보안 침해 사건 발표문을 게재하고, 문제를 고객에게도 알렸다. 방문한 클럽에서 보낸 데이터 보안 침해 알림을 받은 어느 한 고객은 안면 인식 시스템 사용 경험을 떠올렸다. 데이터 보안 침해 알림을 받은 일부 고객은 X(구 트위터)에 “안면 인식 시스템 사용 중 가장 좋았던 부분은 클럽에 방문하여 내 얼굴을 나보다 20세 이상 더 많은 회원의 얼굴과 일치하는 것으로 확실히 인식하면서 나의 개인 정보는 일절 살펴보지 않는다는 점이었다”라고 작성했다. 클럽 측은 와이어드의 문의에 답변하지 않았다.
이 기사가 송출될 시점까지 온라인 접속이 가능한 상태였던 해브아이빈오타박스드 웹사이트는 오타박스가 필리핀 개발팀을 대상으로 비용 지급을 중단했다는 의혹을 제기했다. AI 기업은 종종 필리핀을 포함하여 인건비가 저렴한 타국 노동 인력을 채용하여 시스템 역량을 강화한다. 온라인 기록상 2024년 4월 말 개설된 해브아이빈오타박스드에는 19곳의 장소가 기록되었다. 와이어드는 정치인이 포함된 호주 유명인의 데이터베이스를 찾고, 이름과 참석한 것으로 추정되는 지역의 글자를 가린 결과 목록을 돌려보냈다.
오타박스 대변인은 “오타박스의 사업을 해치고, 경영진의 명예를 훼손할 의도로 설계된 가짜 공식 성명 여러 개를 담은 악성 웹사이트의 존재를 인지하고 있다. 악성 웹사이트가 이번 공격과 관련성이 있다고 확신하며, 거짓과 명예훼손을 저지르는 거짓 정보를 반복하지 않도록 촉구한다”라고 말했다.
해브아이빈오타박스드에 게재된 정보 중 어느 정도가 사실인지, 혹은 공격자가 생체 데이터를 보유했다고 주장하는지도 확실하지 않다. 데이터 침해 알림 웹사이트인 해브아이빈포운드(Have I Been Pwned) 설립자이기도 한 호주 사이버 보안 전문가 트로이 헌트(Troy Hunt)는 와이어드와의 인터뷰에서 현시점에서 해브아이빈오타박스드의 정보를 아주 조금은 의심할 만하다고 본다.
헌트는 “현재 액면 그대로 문제를 받아들일 이유가 없다고 본다. 해브아이빈오타박스드가 보유했다고 정확히 주장하는 정보를 의미한다”라고 말했다. 헌트는 X를 통해서 해브아이빈오타박스드의 게시글이 충족하지 못한 수요에 앞서 게재되었을 가능성을 제기하며, 현재 공격자의 행동이 실제 범죄 세계에 확실히 해당한다고 전했다.
헌트는 “해외 지사를 둔 사실은 데이터 주권 합법성과 인지된 외국 노동 인력 부족, 그리고 심각한 외국인 혐오 간의 복잡한 논의가 펼쳐지는 부분이다. 호주 개발자가 같은 행동을 해도 괜찮다는 의미는 아니다”라고 말했다.
플로레이니는 오타박스 데이터 침해 사건이 민감한 생체 데이터 수집 시 발생할 수 있는 매우 심각한 부정적 여파를 제시한다고 말했다. 이어, “호주는 과감한 프라이버시 개혁과 안면 인식 기술의 엄격한 제한이 필요하다. 항상 그렇듯이 감시 기술은 안전하지 않다”라고 전했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202405/5540_7148_4714.jpg)
뉴스레터 신청