미국 정부, 역사적인 첫 사례로 위치 데이터 브로커의 민감한 데이터 판매를 금지합니다
미국 연방거래위원회(FTC)는 데이터 브로커가 사용자의 명시적인 동의 없이 민감한 위치 데이터를 판매하는 것을 금지하는 중요한 결정을 내렸습니다.
"민감한 위치 데이터의 사용 및 판매에 대한 최초의 금지를 확보함으로써 FTC는 침입적인 데이터 브로커와 확인되지 않은 기업 감시로부터 미국인들을 보호하기 위한 중요한 작업을 계속 이어오고 있습니다."라고 FTC 대변인은 말했습니다.
미국 규제 당국으로부터 최초로 처벌을 받은 브로커는 X-Mode Social과 그 후속 업체인 Outlogic입니다.
One X-Mode Social에 대하여
적어도 몇 년 동안 개인 정보 보호 뉴스를 팔로우해 온 사람이라면 이 브로커의 이름을 들어본 적이 있을 것입니다. X-Mode Social은 2020년 11월 VICE의 마더보드 보고서에서 미군과 함께 언급되면서 처음 악명을 얻었습니다. 이 보고서에서는 다운로드 수가 1억 건에 육박하는 무슬림 및 쿠란 앱이 세분화된 위치 데이터를 X-Mode에 전송하고 있으며, 이 앱은 미군을 포함한 미국 정부 계약업체와 해당 데이터를 공유하고 있다고 밝혔습니다. 이 소식은 당시 큰 파장을 일으켰고, 이후 무슬림 앱 내에서 브로커에게 데이터를 전송하는 역할을 하는 X-Mode 코드가 발견되어 제거되었습니다. 반발이 거세게 일어나자 Apple과 Google은 이례적으로 협력하여 앱 개발자들에게 앱에서 X-Mode의 코드를 제거해야 한다고통보했습니다.
평판이 나빠지고 있는 기업들에게 인기를 얻고 있는 전략 중 하나는 브랜드를 변경하는 것입니다(예로 메타(구 Facebook)). 그래서 2021년 8월, X-Mode는 Digital Envoy에 인수된 후 Outlogic으로 브랜드명을 변경했습니다.
악의적인 언론 보도와 두 개의 주요 앱 플랫폼에서 추방은 Outlogic이 앞으로 이런 일이 발생하지 않도록 전략을 바꾸기에 충분한 동기가 되지는 못했습니다. 2021년까지 브로커의 위반 혐의를 다룬 FTC의 소장에 따르면, X-Mode/Outlogic은 2023년 5월까지 "판매한 위치 데이터 원본에서 민감한 위치 부분을 제거하기 위한 정책은 마련하지 않았다"고 합니다.
그렇다면 X-Mode/Outlogic은 정확히 무엇을 했기에 미국 정부로부터 전례 없는 처벌을 받았을까요?
공격적인 데이터 수집
FTC는 고소장에서 X-Mode Social과 그 후계자가 광범위한 개인정보 보호법 위반을 저질렀다고 고발했습니다. X-Mode Social의 위반 혐의는 대부분 소프트웨어 개발 키트인 SDK를 통해 300개 이상의 앱에서 민감한 위치 데이터를 수집했다는 사실에서 비롯되었습니다.
규제 당국은 X-Mode가 "앱 개발자에게 SDK가 위치 데이터를 수집할 수 있도록 허용하는 각 소비자의 모바일 기기에 대한 작은 수익을 약속함으로써" 앱 제작자가 앱에 SDK를 포함하도록 장려했다고 말합니다. SDK는 앱이 위치 추적과 같은 중요한 작업을 수행할 수 있도록 하는 코드 조각입니다. 타사 SDK를 앱에 임베드하는 개발자는 처음부터 기능을 개발할 필요가 없으므로 비용과 시간을 절약할 수 있다는 이점이 있습니다. 여기에 작은 소득을 얻을 수 있다는 점까지 더하면 거절하기 어려운 제안입니다. 그래서 피트니스 트래커, 게임, 종교 앱 등 300개 앱의 개발자들은 이 제안을 거절하지 않았습니다.
또한, 이 브로커는 자체 앱인 Drunk Mode와 Walk Against Humanity에서 데이터를 수집했습니다. 또한 다른 데이터 브로커와 애그리게이터로부터 데이터를 구매하기도 했습니다. 이 모든 것을 합치면 X-Mode는 위치 데이터를 꽤 많이 수확한 셈입니다. FTC에 따르면, 이 브로커는 "전 세계에서 100억 개 이상의 위치 데이터 포인트를 수집했다"고 밝히며 "20미터 이내에서는 70%의 정확도를 보장한다"고 자랑했습니다.
수집된 데이터는 무엇이며 누구에게 판매되었나요?
X-Mode SDK로 인해 민감한 위치 데이터의 대부분이 브로커의 손에 넘어갔습니다. X-Mode SDK는 사용자 기기의 OS에서 생성된 위치 데이터에 무제한으로 액세스할 수 있었기 때문입니다. 구체적으로, SDK는 "정확한 위도와 경도, 타임스탬프"를 획득한 다음 이 정보와 모바일 기기의 고유 식별자인 모바일 광고주 ID(또는 MAID)를 X-Mode의 서버로 전송했습니다.
이러한 데이터 세트는 병원, 중독 치료 센터 및 약국 방문과 같은 사용자의 민감한 정보를 잠재적으로 노출할 수 있습니다. "판매한 위치 데이터 원본에서 민감한 위치를 제거하기 위한 정책이나 절차를 마련하지 않았다"고 주장한 FTC에 따르면, X-Mode는 해당 정보가 유출되거나 오용될 경우 발생할 수 있는 피해에 대해 전혀 신경을 쓰지 않은 것으로 보입니다.
X-Mode는 위치 데이터 원본을 구매하려는 모든 사람에게 제공할 뿐만 아니라, 데이터를 분석하여 매우 민감한 정보를 포함한 여러 가지 특성을 기반으로 '잠재고객 세그먼트'를 만들었습니다. 한 예로, 오하이오주 콜럼버스에 있는 여러 의사를 방문한 사람들의 방문 기록을 바탕으로 맞춤형 잠재고객 세그먼트를 민간 임상 연구 회사에 제공한 적이 있습니다. 여기에는 심장내과, 내분비내과, 소화기내과 환자가 포함되었습니다.
개인이 비밀로 하고 싶은 건강 정보를 민간 임상 연구 회사가 받았다는 사실만으로도 충분히 나쁘게 들리지 않는다면, FTC의 보고서에는 훨씬 더 끔찍한 폭로가 있습니다. 일부 데이터는 "국가 안보 목적"으로 이를 사용하는 "정부 계약자"에게 넘어갔습니다. X-Mode는 자사 SDK를 사용하는 타사 앱 또는 자체 앱의 개인정보 취급방침 어디에도 이 사실을 언급하지 않았습니다.
X-Mode의 위치 데이터를 구매한 기업 중에는 X-Mode와의 계약을 위반하고 다른 기업에 데이터를 재판매한 기업도 최소 2개 이상 포함되어 있습니다. 이 경우 데이터의 최종 목적지가 아닐 수도 있기 때문에 데이터를 최종적으로 구매한 회사를 추적하는 것은 거의 불가능합니다. 또 다른 문제는 이러한 모든 제3자 기업이 X-Mode가 데이터 사용에 대해 설정한 몇 가지 제한 사항에 구속되지 않는다는 것입니다.
이 데이터가 어떻게 사용자를 식별하는 데 도움이 될 수 있나요?
X-Mode는 사용자에게 익명화되지 않은 형태로 데이터를 제공하므로 대부분의 사용자를 손쉽게 식별할 수 있습니다. 각 사용자의 MAID(영구 장치 식별자)와 타임스탬프가 찍힌 몇 가지 신호를 알면 야간에 휴대폰이 어디에 있는지를 통해 사용자의 거주지를 파악할 수 있습니다.
또한 많은 데이터 브로커가 제공하는 크로스매칭 서비스인 공공 기록, 전화번호부, 소셜 미디어와 같은 오프라인 소스 정보로 이 데이터를 보완할 수 있습니다.
활용과 위험: 국가 안보에서 타겟 광고까지
앞서 언급했듯이, 세분화된 위치 데이터의 잠재적 사용처 중 일부는 국가 안보와 관련되 있을 수 있습니다. 잠재적 공격을 막기 위한 감시부터 이민 단속에 이르기까지 다양한 용도로 활용될 수 있습니다.
그러나 훨씬 더 널리 사용되는 용도는 광고 목적입니다. 광고주는 이러한 데이터를 수집하여 소비자의 세부 프로필을 구축한 후 관련성이 높은 광고를 타겟팅합니다. 이러한 광고는 사람들이 돈을 쓰도록 유도하는 데 가장 효과적인 경향이 있습니다.
어쨌든 이러한 데이터의 판매는 FTC의 표현대로 "소비자 생활의 가장 사적인 영역에 대한 부당한 침입이며, 소비자에게 상당한 피해를 입히거나 입힐 가능성이 있다"고 할 수 있습니다.
위치 데이터 판매 업계를 단속하기로 한 공정위의 결정을 환영할 수밖에 없습니다. 다만 그 결정이 너무 오래 걸렸다는 점이 유감입니다. 저희는 이번 조치가 한참 늦었다고 생각하며, 사용자의 가장 민감한 데이터의 무분별한 판매는 결코 허용되어서는 안 된다고 생각합니다.
반면에 FTC는 이러한 데이터의 판매를 전면적으로 금지하지 않고 사용자의 동의에 따라 판매하도록 했습니다. 언뜻 보기에는 논리적으로 보이지만, 결국 사용자가 자신의 민감한 데이터를 데이터 브로커나 앱에 제공하고자 하는 경우 이를 선택할 수 있는 권리가 있지만 생각만큼 간단하지 않을 수 있습니다.
앞으로도 X-Mode나 또 다른 악명 높은 데이터 브로커인 SafeGraph와 유사한 회사들이 어두운 패턴과 오해의 소지가 있는 공지를 통해 사용자들을 속여 민감한 데이터를 제공하도록 유도할 것으로 예상됩니다. 그리고 이에 대해 우리는 이들을 계속 주시해야 합니다.
