새로운 유출로 밝혀진 Google의 개인정보 보호 실패의 역사
지난 몇 년 동안 Google은 개인정보 보호 친화적인 회사로 거듭나기 위해 노력해 왔습니다. 이러한 노력의 중심에는 사이트 간 추적에 대한 개인정보 보호 대안으로 제시된 Google의 Privacy Sandbox가 있습니다(하지만 여기 설명하는 바와 같이 이 목표에는 미치지 못함).
개인정보 보호 문제에 대한 인식이 계속 높아지고 있습니다. 최근 연구에 따르면 미국인의 거의 90%가 미국 경제 상황보다 자신의 개인정보와 데이터 보안에 대해 더 우려하고 있다고 합니다. 따라서 대기업은 소비자와 규제 당국으로부터 조치를 취해야 한다는 압박을 받고 있습니다. 하지만 개인정보 보호에 대해 이야기하는 것과 실천하는 것은 별개의 일입니다. 최근 유출된 2013년부터 2018년까지 6년간 Google 직원들의 내부보고 이전에 알려지지 않았던 개인정보 유출 사건이 드러나면서 이러한 노력들에 금이 가고 있습니다.
주소, 번호판 및 음성 데이터
이 유출 사건은 404개의 미디어에서 보도되었습니다. 익명의 제보자로부터 Google 자체 또는 Google의 타사 공급업체와 관련된 수십 건의 개인정보 관련 사건을 보여주는 데이터 세트를 입수했습니다. 보고서에 따르면 이 데이터베이스에는 Google 직원이 제출한 수천 건의 신고가 포함되어 있으며, Google에 따르면 모두 조치되어 해결되었다고 합니다.
다음은 Google 직원들이 신고한 사건 중 특히 당황스러웠던 몇 가지 사례입니다.
한 예로, Google 음성 서비스에서 한 시간 동안 음성 데이터를 잘못 기록하여 약 1,000개의 어린이 음성 발화가 수집된 적이 있습니다.
또 다른 사례에서는 Google의 스트리트 뷰가 자동차 번호판을 촬영 및 전사한 후(자동 검열되어야 할 때) 이 민감한 정보를 저장했습니다. 많은 사람들이 애초에 Google이 자신의 집과 차량을 촬영하는 것을 허용하지 않았다는 점에 유의해야 합니다. 실제로 Google 커뮤니티 포럼에는 스트리트뷰 차량이 허가 없이 사유지에 침입하여 사업체와 주택의 360도 사진을 촬영하는 것에 대한 우려를 제기하는 불만 사항이 수없이 많이 올라와 있습니다.
강화된 개인정보 보호 및 보안을 약속하는 Google의 프리미엄 제품에 투자하는 고객은 다음 이야기를 보고 자신의 데이터를 Google에 맡겨도 될지 고민할 수 있습니다. 보고서에 따르면 민감한 데이터를 보호하도록 설계된 정부용 제품을 사용하던 한 Google Cloud 고객이 실수로 일반 소비자 등급 서비스로 전환했습니다. 이 전환으로 인해 해당 고객은 미국 내 데이터 위치가 보장되지 않게 되었습니다. 일반 사용자에게는 큰 문제가 아닐 수 있지만, 정부 고객의 경우 데이터가 해외로 이전되지 않고 미국에 남아 있다는 보장은 일반적으로 매우 중요합니다.
Google도 피해를 입은 또 다른 사건에서는 Socratic.org 사용자 100만 명 이상의 이메일 주소가 유출되었습니다. Socratic.org는 2018년 3월에 Google이 인수한 교육 기술 회사입니다. 이 정보는 웹사이트의 코드에서 바로 발견되었습니다. 또한 어린이를 포함한 해당 사용자들의 지리적 위치 및 IP 주소 데이터도 유출되었을 수 있다는 우려가 제기되었습니다. 인수 후 Google은 유출된 데이터를 정리했지만, 인수 전 1년 동안 데이터가 공개되어 있어 이미 수집된 것 아니냐는 의혹이 제기되었습니다.
삭제할 수 없는 YouTube 기록 및 모든 사람이 볼 수 있는 Google 문서 링크
마지막으로 강조하고 싶은 세 가지 사건은 거의 모든 사람이 매일 사용하는 서비스와 관련이 있습니다.
그중에서도 가장 문제가 되는 것은 '비공개'로 설정된 상태로 YouTube에 업로드한 동영상이 짧은 기간 동안 대중에게 공개되는 경우입니다. 이로 인해 민감한 정보나 기업 콘텐츠를 YouTube에서 공유하는 개인들과 조직 간에 큰 문제가 야기되었습니다(애초에 권장하지 않는 방식).
잠재적으로 많은 사람들에게 영향을 미칠 수 있었던 또 다른 사건이 발생했습니다. Google이 Google 드라이브 및 Google 문서 도구 액세스 제어를 잘못 처리한 것으로 알려졌습니다. 실수로 공유 링크가 있는 사람에게만 파일에 대해 공개 액세스 권한을 부여한 것입니다. 보고서에 따르면 Google은 '링크가 있는 모든 사람' 액세스 제어를 '공개'로 처리하여 웹 검색 등을 통해 직접 링크 없이도 파일을 찾을 수 있었습니다. 누군가가 무작위로 Google 문서 유출을 검색할 가능성은 희박하지만, 그럼에도 불구하고 민감한 정보가 유출될 수 있는 취약점이 생겼습니다.
세 번째 사건은 개인정보 보호와 직접적인 관련이 없지만, 그럼에도 불구하고 Google이 자체 규정을 느슨하게 시행하고 있음을 보여주는 사례입니다. Google 소유의 YouTube는 시청 기록에서 삭제된 동영상을 기반으로 동영상을 계속 추천하면서 자체 정책을 무시한 것으로 보입니다. YouTube의 현재 정책은 “관심이 없는 주제의 맞춤 동영상이 표시되는 경우 이전에 시청한 관련 주제의 동영상을 삭제해 보세요. 앞으로 유사한 맞춤 동영상이 표시될 확률이 낮아질 수 있습니다”라고 명시되어 있습니다. “확률이 낮아질 수 있다”는 말은 확실한 보장처럼 들리지는 않지만 어느 정도 기대감을 갖게 합니다.
데이터 관리
이번 유출 사건에서 드러난 Google의 개인정보 보호 실패 사례는 온라인에서 개인정보를 보호하는 데 있어 계속되는 어려움을 보여주는 한 가지 예일 뿐입니다. 또한 이번 사건은 Google의 부실한 개인정보 보호 기록을 보여주는 첫 번째 사례도 아니고 마지막 사례도 아닙니다.
Google 사용을 줄이자는 글들이 많이 올라오고 있으며, 많은 데이터를 한 업체에 맡기는 것의 위험성을 인지하고 이를 시도해 본 분들도 계실 것입니다. 보다 사적인 옵션을 선택한 사용자라면 그 노력과 결단에 박수를 보냅니다. 하지만 대부분의 사용자에게는 Google 생태계에서 완전히 분리하는 것이 어려운 작업일 수 있으며, 반드시 필요하거나 원하는 것이 아닐 수도 있습니다.
대신, Google은 사용자가 공유하는 정보를 축소하고 Google에서 제공하는 도구를 활용하여 온라인 발자국을 관리하는 실용적인 접근 방식을 지지합니다. 'Results about you' 등의 도구를 통해 온라인에서 개인 정보를 확인하고 삭제 조치를 취하여 노출을 최소화하면 점점 더 데이터가 중심이 되는 세상에서 개인 식별 정보가 유출되거나 잘못 처리될 수 있는 위험을 완화하는 데 도움이 될 수 있습니다.