사용자의 개인 데이터는 온라인 광고 업계에 귀중한 자원이지만, 이 이유로 일반 사용자는 어려움을 겪을 수 있습니다. 광고 회사는 보상은커녕 사용자 모르게 또는 동의 없이 데이터를 판매하여 막대한 수익을 올리고 있기 때문입니다.

5조 달러에 달하는 이 거대한 거래에는 여러 단계에 걸쳐 수많은 관계자가 관여하지만, 그 엄청난 규모에도 불구하고 저희 시선에서는 잘 드러나지 않습니다.

자세히 살펴보겠습니다.

데이터는 천분의 일초마다 경매에 부쳐집니다

거의 모든 앱에 광고가 표시되며, 이 광고가 아무 곳에나 무작위로 표시된다고 생각할 수 있지만 실제로는 그렇지 않습니다. 대부분의 경우, 광고는 사용자를 구체적으로 타겟팅합니다. 즉, 같은 앱을 사용하는 다른 사용자에게는 다른 광고가 표시될 수 있습니다. 이제 앱에 표시될 광고가 어떻게 선택되는지 자세히 설명하겠습니다.

광고 공간이 있는 앱을 사용 중이라고 가정해 보세요(앱 퍼블리셔의 3분의 1 이상이 광고에 의존하여 수익을 창출하기 때문에 실제로 그럴 가능성이 높습니다). 앱은 해당 공간을 가장 높은 입찰자에게 판매하기를 원하므로 Google 광고와 같이 앱 퍼블리셔와 광고주를 연결해주는 플랫폼에 요청을 보냅니다. 그러면 이 플랫폼은 실시간 광고 공간 경매 거래소를 운영하는 다른 플랫폼으로 요청을 보냅니다. 그런 다음 광고 거래소는 요청을 Facebook Ads Manager 또는 Google Display & Video 360과 같이 디지털 광고주를 대표하는 다른 여러 플랫폼으로 전달합니다. 이러한 플랫폼은 사용자 기기와 온라인 행동에 대한 정보를 분석하여 광고를 표시하기 위해 얼마를 지불할지 결정합니다. 실시간 입찰(RTB)로 알려진 이 모든 과정은 천분의 일초 단위로 진행되며, 낙찰자가 화면에 광고를 표시하게 됩니다.

하지만 사용자의 데이터는 경매에서 낙찰되어 광고를 게재할 수 있는 광고주만 볼 수 있는 것은 아닙니다. 광고주들이 앱의 광고 공간을 차지하기 위해 경쟁할 때 사용자의 기기, 위치, 앱 사용 정보 등 모든 데이터에게 접근할 수 있습니다. 이는 비드스트림 데이터(bidstream data)를 어떻게 처리하거나 보호해야 하는지에 대한 명확한 규칙이나 기준이 없기 때문에 가능한 일입니다. 즉, 경매에서 낙찰된 입찰자가 다른 용도로 데이터를 사용할 수도 있다는 뜻입니다. 어떤 것들일까요? 곧 설명해 드리겠습니다.

Google과 Facebook은 RTB 시장을 주도하고 있습니다. AdGuard의 데이터에 따르면 Google Ads 서비스가 전체 초기 광고 요청의 11% 이상을 차지하고, 모바일 앱과 모바일 웹사이트에서 입찰을 지원하는 Facebook Audience Network가 약 10%를 차지합니다. 초기 요청은 앱에서 광고를 로드하기 위해 보내는 요청으로, 성공하면 추가 광고 요청을 트리거할 수 있습니다. 모바일 인앱 실시간 입찰 거래소의 선두주자인 Applovin은 전체 광고 요청의 약 7%로 3위를 차지했습니다. 그 뒤를 이어 광고 거래소를 운영하는 Amazon Ad System과 이스라엘에 본사를 둔 ironSource가 각각 약 2.4%와 1.3%의 점유율을 기록했습니다.

광고주와 퍼블리셔 외에도 광고 거래소의 또 다른 핵심 플레이어는 비드스트림 데이터에 접근하는 데이터 브로커입니다. 데이터 브로커의 목표는 광고를 게재하는 것이 아니라 이 데이터를 재포장하여 자체 고객에게 판매하는 것이며, 이 중 일부는 정부 기관일 수 있습니다. 정부 기관은 아무런 조건 없이 제공되는 이 상업적으로 획득한 데이터를 원하는 대로 사용할 수 있습니다. 일반적으로 감시, 이민 단속 및 치안 유지에 사용됩니다.

Z세대(Gen Z)의 앱이 미국 정부에 위치 데이터를 유출한 방법

최근 월스트리트 저널이 보도한 Near Intelligence라는 소비자 데이터 브로커가 올해 초까지 중개 단체를 통해 EU를 포함한 민감한 사용자 데이터를 미국 정부 계약업체에 판매했다는 사실은 이러한 추세를 잘 보여줍니다. Near Intelligence가 수집한 데이터는 DCSA(국방 방첩 및 보안국), NSA(국가안보국), NGA(국가지리정보국), USAF Cyber Ops(미국 공군 사이버 작전국), 국방부, JCOS(합동참모본부)의 손에 들어가게 됩니다.

데이터 브로커는 여러 광고 거래소를 통과하는 데이터의 흐름을 활용했고, 나중에 해당 거래소는 Near가 데이터를 재판매하고 광고 외 목적으로 사용한 것에 대해 이용약관을 위반했다고 주장했지만, 꽤 오랜 기간 동안 이를 실행할 수 있었습니다.

실수로 Near Intelligence에 데이터를 유출한 앱(그리고 이를 통해 미국 정부에 데이터를 유출한 앱) 중 하나는 Life360입니다. Life360은 샌프란시스코에 본사를 둔 앱으로, 친구와 가족이 동의하에 서로의 위치를 추적할 수 있습니다. 이 앱은 특히 Z세대에게 인기가 높으며 학교 필수품으로 자리 잡았습니다. 앱을 사용하지 않을 때는 대략적인 위치에 대한 액세스 권한, 앱을 사용할 때는 정확한 위치에 대한 액세스 권한 등 앱이 작동하려면 많은 권한이 필요합니다. 앱에 필요한 권한이 많을수록 광고 파트너와 더 많은 데이터를 공유할 수 있으며, 이 데이터는 정부에게 잠재적으로 더 많은 가치가 있습니다.

때때로 앱의 의심스러운 데이터 처리 방식이 노출되어 비판을 받으면 방식을 변경하겠다고 주장하지만, 평소와 같이 비즈니스를 계속하거나 약간의 조정만 하는 경우가 많습니다.

The Markup의 별도 조사에 따르면 Life360은 2021년 12월까지 약 12개의 데이터 파트너에게 정확한 위치 데이터를 판매했으며, 이를 통해 상당한 수익을 올렸습니다. 그 후 Life360은 브로커에 대한 데이터 판매는 중단하지만, 정밀 위치 데이터와 집계된 위치 데이터는 분석 회사에게 계속 판매할 것이라고 밝혔습니다. Life360은 Near가 정부 기관과 데이터를 공유함으로써 서비스 약관을 위반하고 있다고 말했지만, 이를 방지하기 위한 충분한 조치를 취하지 않은 것으로 보입니다.

생각보다 흔한 일

정부 기관이 영장이나 법적 감독 없이 부정한 방법으로 민감한 사용자 데이터를 수집하는 관행은 특히 데이터 보호법이 강력하지 않은 국가에서 흔히 볼 수 있습니다. 이는 기본적으로 EU를 제외한 모든 국가에서 발생하고 있습니다. 데이터 브로커들은 이 비밀스러운 거래에 아무런 양심의 가책 없이 참여하며, 이로 인해 발생할 수 있는 평판 손상을 기꺼이 감수합니다.

광고 교환 외에도 데이터 브로커가 데이터를 수집하는 또 다른 일반적인 방법은 앱을 통해 직접 데이터를 수집하는 것입니다. 일부 앱은 정확한 위치를 공유할 수도 있고, 기기 유형, 이름, 전화번호 등 다양한 정보를 공유할 수도 있습니다. 중요한 것은 이러한 모든 데이터가 모바일 광고 식별자, 즉 기기에 할당된 고유 ID에 연결된다는 점입니다. 데이터 브로커는 다양한 앱과 소셜 미디어 프로필 등 공공 기록과 같은 기타 온라인 및 오프라인 소스에서 정보를 획득하면서 사용자에 대해 조금씩 더 많이 알게 됩니다. 결국 데이터 브로커는 사용자의 고유한 프로필을 구축할 수 있습니다.

앱에서 데이터를 채굴하는 것으로 악명을 떨친 브로커 중 하나는 작년에 자세히 다룬 SafeGraph입니다. 간단히 말해, SafeGraph는 자사의 소프트웨어 개발 키트인 SDK를 사용하는 앱의 위치 데이터에 접근했습니다. SDK는 앱 개발자가 시간과 비용을 절약하기 위해 사용하는 코드 조각으로, 위치 추적과 같은 기성품과 같은 기능을 제공하므로 처음부터 만들 필요가 없습니다. 개발자는 데이터 브로커로부터 돈을 받고 SDK를 통해 사용자의 데이터를 공유할 수도 있습니다. 이는 앱이 내 위치에 액세스할 수 있도록 허용하면 해당 앱의 SDK도 내 위치에 액세스하여 브로커에게 전송할 수 있기 때문입니다.

사실 데이터 공유 또는 데이터 판매는 매우 보편화되어 있어 그 사례는 무궁무진합니다. 다음은 몇 가지 예시입니다:

• 2022년 5월, 한 보고서에 따르면 ICE와 같은 미국 정부 기관이 아무런 감독 없이 민간 기업으로부터 수십억 개의 데이터 포인트를 구매한 것으로 나타났습니다. 그리고 이러한 관행에 문제가 생길 때마다 정부는 규제를 우회하는 방법을 찾아냈습니다. 예를 들어, 오리건 주정부가 ICE와 주정부 데이터를 공유하는 것을 금지하자 오리건 주 차량국은 데이터 브로커에게 운전면허 기록을 판매하여 ICE가 이에 접근할 수 있도록 했습니다.

• 2021년 3월, 바이스 마더보드는 드론 공격과 정찰을 수행하는 미군 부대가 바벨 스트리트라는 데이터 브로커가 개발한 Locate X라는 도구를 통해 일반 앱에서 위치 데이터를 구입한 사실을 밝혀냈습니다.

• 2020년 11월에는 미군이 무슬림 기도 앱에서 위치 데이터를 구매한 사실이 밝혀졌는데, 이는 지금까지 가장 주목할 만한 사례 중 하나입니다.

이제 더 이상 비밀이 아닙니다

정부가 합법적으로 사용자의 데이터를 압수할 수 없는 경우 온라인 데이터 시장에서 데이터를 구매하는 우회적인 방법을 사용할 수 있다는 것은 수년 동안 공공연한 비밀이었습니다. 이러한 관행은 너무나 잘 알려져 있어서 어느 순간 미국 정부조차도 이 관행을 중단했습니다. 올해 3월, 크리스토퍼 레이 FBI 국장은 처음으로 FBI가 민간 기업으로부터 미국인의 전화 위치 정보를 구매했다는 사실을 인정했습니다. 그러나 그는 FBI가 어느 순간부터 이를 중단했다고 주장했습니다. 그의 말을 액면 그대로 받아들일지는 여러분의 선택에 달려 있습니다.

타겟팅 광고를 통해 정부의 감시를 피하려면 어떻게 해야 할까요?

데이터에서 최대한 많은 수익을 창출하도록 설계된 데이터 수집 및 판매 시스템 앞에서 무력감을 느낄 수 있습니다. 정부 기관이 민간 기업으로부터 아무런 감독 없이 데이터를 취득하는 것을 금지하는 강력한 법안이 마련되지 않는 한, 이러한 관행은 계속될 가능성이 높습니다. 첫째, 정부가 이런 방식으로 데이터를 확보하는 것이 훨씬 더 쉽기 때문이고, 둘째는 수익성이 좋기 때문입니다.

감시로부터 데이터를 보호하기 위해 취할 수 있는 몇 가지 단계가 있습니다:

• 광고 식별자를 비활성화하거나 재설정합니다. 광고 ID는 기기에 할당된 고유 번호로, 데이터 브로커가 다양한 출처의 데이터를 연결하는 데 사용됩니다. 따라서 광고 ID를 비활성화(항상 가능한 것은 아님)하거나 재설정하면 데이터 브로커가 내 프로필을 구축하는 것이 불가능하지는 않더라도 더 복잡해질 수 있습니다.

• 앱에 불필요한 권한을 부여하지 마세요. 많은 앱이 사용자의 위치, 카메라, 연락처 등에 대한 액세스 권한과 같이 실제로 필요하지 않은 권한을 요청합니다. 이러한 권한은 사용자의 데이터를 수집하고 데이터 브로커와 공유하는 데 사용될 수 있습니다. 그러므로 이에 대해 기기 설정에서 앱의 권한을 확인하고 변경할 수 있습니다. 또한, 앱이 합법적으로 특정 민감한 권한을 필요로 하는 경우(예: 날씨 앱에서 내 위치에 대한 액세스 권한이 필요한 경우)에도 권한을 부여하는 데 신중해야 합니다. 앱을 다운로드하기 전에 해당 앱의 개인정보 보호 관행을 조사하고, 리뷰를 읽고, 데이터 공유 행위에 대한 뉴스가 있는지 확인하세요.

• 광고 차단기를 사용하세요. 모든 광고 요청, 즉 광고를 로드하기 위한 브라우저의 요청은 추적 요청이기도 합니다. 광고 차단기는 광고가 로드되는 것을 방지할 뿐만 아니라 사용자의 온라인 행동과 관심사를 추적하는 스크립트도 차단합니다. 올해 초에 파악한 바에 따르면 광고 추적 요청은 인터넷 트래픽의 약 19.6%를 차지하며, 이러한 요청의 대부분은 '숨겨진' 요청, 즉 초기 광고 요청과 다른 광고 도메인의 로딩에 의존하는 것으로 나타났습니다.

• 무료 서비스 사용을 제한하세요. 비용을 지불하지 않는다면 여러분은고객이 아니라 제품이라는 사실을 기억하세요.