메타, Flo 앱에서 여성 건강 데이터 동의 없이 접근했다고 법원 판결
(malwarebytes.com)- 메타가 여성 생리 건강 추적 앱 Flo Health에서 사용자의 동의 없이 민감한 데이터를 수집한 것으로 법원에서 판결했음
- Flo Health는 사용자의 생리 주기, 기분, 성생활 정보 등 매우 개인적인 데이터를 수집했으며, 2016년부터 2019년까지 Facebook, Google 등 여러 제3자에게 공유했음
- Flo Health는 이용자에게 개인정보 보호와 데이터 비공유를 약속했지만, 실제로는 제3자가 해당 데이터를 다른 목적으로 자유롭게 사용할 수 있도록 했음
- 이에 대해 미국 연방거래위원회(FTC)가 Flo Health를 상대로 진상조사 및 정책 개선을 명령했으며, Flo Health와 Google은 이미 합의했으나 Meta는 끝까지 합의하지 않았음
- 최근 미국 내 낙태 권리 이슈와 맞물리며 여성 건강 데이터의 프라이버시 위험이 더욱 부각되고 있음
Meta가 Flo Health 앱 이용자 데이터를 무단 수집한 사건 개요
- 미국 배심원단이 Meta가 여성 건강 추적 앱인 Flo Health를 통해 사용자의 민감한 생식 건강 정보를 동의 없이 수집한 사실을 인정한 판결임
- Flo Health는 2015년 벨라루스에서 시작되어 여성 생리 및 건강 상태 등 매우 세밀하고 개인적인 데이터를 추적할 수 있도록 고안된 앱으로, 전 세계적으로 1억 5,000만 명 이상이 사용함
Flo Health 데이터 수집 및 공유 방식
- Flo Health 이용자들은 생리 날짜, 기분 변화, 피임 방법, 성생활 만족도, 임신 계획 등 지극히 사적인 질의에 정기적으로 응답함
- 앱은 이용자 입력 데이터를 외부에 공유하지 않고, 서비스 제공에 필요한 경우에만 일부 데이터만 관련 업체에 제공하겠다고 명시적으로 약속했음
- 그러나 2016~2019년 사이 Flo Health는 이러한 개인 정보를 Facebook(현재 Meta), Google, AppsFlyer, Flurry 등에 폭넓게 제공했음
- 앱 실행 시마다 접근 기록이 남고, 앱 내 모든 이용 행위가 기록되어 외부로 전송됨
- 제3자는 해당 정보를 서비스 제공 목적 이외의 용도로도 활용 가능했음
Flo Health의 정책 및 신뢰 문제
- Flo Health는 이용자에게 신뢰와 프라이버시 보호를 약속했으나, 실제로는 제3자에 대한 데이터 사용 제한이나 가이드라인이 전혀 없었음
- 앱의 이용약관상, 외부 파트너가 Flo Health 이용자의 데이터 중 일부를 자유롭게 활용하도록 허용했음
- 2020년 기준, Flo Health는 1억 5,000만 명의 사용자에게 “개인 데이터 보호를 최우선으로 한다”고 명시해 신뢰를 유도했음
법적 책임 및 FTC 조치
- 실사용자 Erica Frasco는 2021년 Flo Health 및 연관 기업들(특히 Meta)을 상대로 집단 소송을 제기함
- 프라이버시 침해, 계약 위반, 부정 축재, 의료 정보법 위반 등이 주요 쟁점임
- 피해 보상 및 부당 이익 환수를 청구함
- Flo Health와 Google은 이미 원고와 합의했으나, Meta는 마지막까지 합의하지 않고 소송전 임
- 배심원단은 Meta가 전자 장치로 대화를 감청 또는 녹음했으며, 사용자 동의 없이 행동했다는 점을 인정함
사안의 사회적 배경과 시사점
- 미국 연방거래위원회(FTC)는 Flo Health에 대해 정책 외부 감사 및 개인정보 오남용 금지 등의 시정 명령을 내림
- 2022년 미국 연방대법원이 낙태권을 취소한 이후, 여성 건강 데이터의 프라이버시가 더욱 중요한 이슈로 부상함
- Meta는 2022년 경찰 수사에 협조해 여성과 딸 둘 사이의 낙태 관련 메시지 데이터를 제공한 사실로 추가 논란이 됨
- Propublica의 보도에 따르면, 온라인 약국도 구글 등과 민감한 정보를 공유해 법적 증거로 활용될 위험이 존재함
결론 및 보안 경각심
- 많은 이용자들이 Flo Health를 신뢰했으나, 실제 데이터 처리 방식이 드러난 후 신뢰 상실 현상 심화됨
- 이 사안은 단순히 앱 이용 자제에서 나아가, 개인 건강 데이터 전반의 프라이버시와 기술 신뢰성 문제를 환기함
- 기술은 편리함을 제공하지만, 데이터 오남용 시 사용자에게 실질적 위험까지 야기함
Hacker News 의견
-
페이스북이라는 회사 자체를 좋아하지는 않지만, 이번 판결은 잘못된 결론이라고 생각함. 고소장 내용을 보면, “전자기기를 이용해 도청하거나 녹음했다”는 부분이 실제로는 “Flo가 Facebook SDK를 이용하여 커스텀 이벤트를 전송했다”는 의미였음. Flo가 이런 정보를 Facebook에 보낸 건 비난받아야 하지만, Facebook이 “고의적으로 도청했다”고 판결한 것은 전혀 말이 안 맞음. 내가 보기엔, Flo가 생리 데이터를 Facebook에 요청도 없이 자발적으로 보냈고, Facebook은 SDK를 이용해 민감 정보 송신을 금지하는 정책까지 갖고 있었음. Facebook을 고소하는 건, 마치 어떤 의사가 Google Drive에 환자 데이터를 저장했다고 Google을 고소하는 것과 똑같은 논리임
-
Facebook SDK 정책 문서 6페이지 1번째 줄
-
[1] 기준으로 보면, 처음에는 피고가 Flo뿐이었기 때문에 Facebook에 대한 주장이 담기지 않은 것은 당연함. 그러나 수정된 소송장(3)에는 Facebook에 대한 새로운 피고 주장들이 포함됨. 수정 소송장에 따르면 Facebook이 해당 사실이 2019년에 공개된 뒤 2021년까지도 그 행동을 지속했고, Flo가 FTC에 의해 그만두게 된 후, 의회 조사도 시작된 다음에도 Facebook은 이미 잘못 수집한 데이터를 검토하거나 파기하지 않았다는 점이 문제로 지적됨. 또한 증거 개시 과정에서 Facebook이 어떤 데이터를 어느 정도 인식하고 있었는지에 대한 구체적인 증거가 더 나왔을 것이라 기대됨
-
이건 이야기의 일부에 불과함. Facebook이 단순히 Flo가 보낸 데이터를 보관만 하거나 Flo를 위해서만 사용했다면 상황이 달랐을 것임. 문제는 Facebook이 이 의료 데이터를 광고 목적으로 활용했고, 합법적으로 사용할 수 있는지 스스로 확인하지도 않았다는 점임. 확인해야 할 의무가 있었음에도 불구하고 Facebook은 그 절차를 거치지 않았기 때문에 유죄 판결이 나온 것임
-
Flo가 Facebook에 그런 데이터를 보낸 건 분명 잘못임. 그래서 Flo는 소송에서 합의하게 됨. 그러나 Facebook은 이 정보를 받은 뒤 단순히 쌓아두거나 무시한 게 아니라, 본인들의 다른 신호들과 이 데이터를 섞어서 활용했음. 이 점이 Facebook에 대한 고소장에 핵심적으로 담겼음
-
합법적인 데이터인지 확인할 책임이 있다고 생각함. 훔친 물건을 사지 않는 것처럼, Meta 역시 범죄자와 파트너십을 맺지 않도록 유의해야 함. Flo의 잘못이 가장 크지만, Meta 역시 충분한 주의를 기울였다는 걸 보여줄 필요가 있음. 단순히 이용약관만으로 책임을 피할 수 없고, 사용자가 해당 내용을 반드시 이해하도록 만드는 게 중요함
-
이런 사건에서는 배심원 재판보다 판사 판결이 훨씬 더 좋음. SDK나 데이터 공유, API 같은 기술적 세부 내용을 일반 배심원이 제대로 이해하기 어렵기 때문임. 반면 높은 수준의 기술 소송에서는 판사가 적극적으로 엔지니어링 지식을 배우고 깊이 있게 논의하는 경우가 많음
-
법정에서 Facebook과 대적할 때마다 떠오르는 이미지는, 조그만 쥐가 북극곰한테 덤비는 모습임. 아니면 고블린 대 드래곤, 파리 대 코끼리 같은 느낌임. 이런 대기업들은 거의 법의 통제를 받지 않는 괴물에 가까움. 이들이 실질적으로 스트레스를 받는 유일한 경우는 시장 점유율을 잃을 위기나 특정 지역에서 차단될 위험이 있을 때뿐임
-
이런 얘기를 들으면 오해할 수도 있는데, 사실 이 대기업들은 법의 바깥이 아니라 그 내부임. 왜냐하면 이들은 자금력과 영향력으로 법의 경계 자체를 자기 입맛대로 조율할 수 있음. 법이 어떻게 적용되어야 한다는 외침이 아무리 커도, 이들이 비용을 감당할 수 있는 한 “합법”의 범위에 들어감
-
나를 가장 우울하게 하는 점은, 내가 아는 거의 모든 사람들이 이런 프라이버시 문제에 대해 걱정하면서도 여전히 Meta의 계정을 유지한다는 점임. 자기 기준으로 아무 문제 없으니까 쓰는 건 괜찮음. 사람마다 실수하는 건 인지상정임. 그런데 본인 신념에는 엄격하면서 남을 평가할 땐 이상할 정도로 융통성이 없는 태도는 정말 이상함. 사람들을 좋아하지만, 가끔 참 이해하기 힘든 존재임
-
결국 각 피해자당 3자리수 벌금만 부과해도 Facebook에 엄청난 압박이 갈 것임
-
모든 사람들이 Facebook만 탓하는데, 입법자나 법원은 비난하지 않는 분위기임. 사실 이런 문제로 조 단위 이상의 벌금이 나와서 정부가 Facebook 사무실에서 서버, 의자, 프로젝터까지 몽땅 경매에 넘겨야 할 만큼 현금화해야 한다면, 다른 기업들도 빠르게 불법 행위를 멈추고 처신을 달리할 것임
-
-
기사를 제대로 읽은 사람이 많지 않은 것 같음. 실제로 잘못한 건 Flo 앱임. 앱 개발자들이 사용자의 정보를 제한 없이 Meta로 보낸 것이 문제임. 판결이 뭐라고 하든, 진짜 잘못은 Flo임
-
Flo는 온라인 데이터베이스에 민감정보를 업로드해서 잘못임. Meta 역시 이런 개인정보 데이터베이스 인프라를 제공해서 잘못임. 둘 모두 도덕적으로 비난받는 일이었음
-
정보를 Meta가 제한 없이 받아갔으니 Meta가 당연히 접근하게 됨. 데이터 활용 권한이 없다면, Meta가 먼저 명시적으로 허락받도록 요구하는 게 정상임. Meta가 사전 동의 없이 접속하는 현실이 문제임
-
-
5년 전 iOS 앱 생태계를 조사하면서 무료 앱들의 잠재 수익 구조를 알아봤음. 어떤 개발자는 아동 건강 데이터를 추적하는 무료 앱을 출시했는데, 그 데이터 자체가 앱 가치라는 인식이 있었음. 앱의 미래 수익성도 결국 데이터 판매에 있다고 자신함. 이후 나는 내 개인정보, 특히 건강 데이터를 저장하는 앱은 절대 쓰지 않고, 가능한 모든 앱 권한을 비활성화해야겠다는 생각이 정립됐음
- 도대체 왜 자기 개인정보나 건강 데이터를 이런 사이코패스 기업들에 넘기는지 이해가 되지 않음. 건강 데이터를 기록하는 앱이나 웨어러블 기기를 왜 써야 하는지, 그 배경이 불안함. 이런 기업들의 과거 행태를 생각하면, 모든 세부 정보를 기록해서 영원히 팔아먹고 저장할 것이라 가정해야 함
-
결론은 앱을 쓰지 않는 게 답임. 95%의 경우 이들이 요구하는 프라이버시 침해를 감수할 만큼의 가치가 없음
-
Mozilla가 생리 기록 앱들을 비교 조사한 자료가 있음. 그중 몇몇 앱은 사용자 프라이버시를 지키려 노력함
-
인터넷 연결이 진짜 필요한 소프트웨어라면, 개발자가 그 이유와 타당성을 먼저 입증해야 된다고 생각함
-
잘 모르는 입장이지만, 단순히 위치 정보 같은 권한만 꺼도 이 문제를 해결할 수 있지 않을까 궁금함
-
안타깝지만 이게 현실임
-
맞는 얘기임. 사용자들은 “새로운 무료 기능!”이라는 마케팅에 항상 같은 방식으로 끌림. 그 결과, 침해적 비즈니스 모델이 반복적으로 먹히는 구조임
-
-
여성분들에게 추천할 만한 앱으로 Drip이 있음.
-
보안성이 가장 높아 보임
-
사실 이런 건 나 혼자 호스팅해서 직접 관리하는 게 제일 낫다고 생각함. 누구에게도 맡기고 싶지 않은 데이터임. 참고로 나는 남성과 성관계를 하지 않지만 그래도 신경쓰임
-
내 아내가 Flo를 사용함. 앱을 열어 정보를 입력할 때마다, 기술적인 관점에서는 이게 굉장히 위험하다고 느낌. 이런 앱이 정말 민감한 정보를 다루기 때문에, 비기술적 일반인들에게 정보 보안의 중요성을 더욱더 알려야 한다는 필요성을 절감함
-
그래서 내가 휴대폰에 아예 앱을 거의 안 깔거나 최소한만 쓰는 정책을 지키게 됨. 물론 웹사이트나 웹앱 역시 유사하게 정보를 공유할 수는 있겠지만, 기본적으로 시스템 접근 권한을 줄이는 데서 오는 심리적 안정감이 있음. 개인적으로 LinkedIn이 그간 보여준 여러 행태를 보면, 아직도 앱스토어에서 살아남아 있다는 게 신기함
-
프라이버시 관련 뉴스에서 Meta가 연루되어 있지 않은 경우를 찾기 힘듦
- Google, Microsoft, Amazon 모두 이런 상황을 반긴다고 생각함
-
결국 부사장(VP)급 임직원이 감옥에 가는 상황이 와야 뭔가 바뀔 것임. 물론 현실적으로 가능성이 거의 없기는 함