미국 세관국경보호청(CBP), 온라인 광고 생태계를 활용해 사람들의 이동 경로 추적

 (404media.co)
1P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • CBP가 온라인 광고 산업의 위치 데이터를 구매해 개인의 이동을 추적한 사실이 내부 국토안보부(DHS) 문서를 통해 확인됨
  • 이 데이터는 게임, 데이팅 앱, 피트니스 트래커 등 일반 앱에서 수집된 정보로, 사용자의 세부 위치 변화를 장기간 파악할 수 있음
  • 문서는 이러한 광고 데이터가 정부 기관의 감시 수단으로 활용될 수 있는 잠재적 위험을 보여줌
  • 이민세관단속국(ICE) 역시 유사한 도구를 구매해 전체 지역의 휴대전화 이동을 모니터링하고, 추가적인 ‘Ad Tech’ 데이터 확보를 검토 중임
  • 약 70명의 의원이 DHS 감찰관에게 ICE의 위치 데이터 구매에 대한 조사를 요청하며, 정부의 데이터 활용 투명성 문제가 부각됨

CBP의 광고 데이터 활용

  • 내부 DHS 문서에 따르면 CBP는 온라인 광고 생태계에서 수집된 위치 데이터를 구매해 사람들의 이동을 추적함
    • 데이터는 비디오 게임, 데이팅 서비스, 피트니스 트래커 등 일반 앱을 통해 수집됨
    • 이를 통해 개인의 정확한 위치 변화와 이동 경로를 시간대별로 파악 가능
  • 문서는 이러한 데이터가 정부 기관의 감시 목적에 활용될 수 있는 강력한 수단임을 보여줌
    • 동시에 개인 프라이버시 침해 위험이 존재함을 시사

ICE의 유사한 데이터 구매 사례

  • ICE(이민세관단속국) 도 전체 지역의 휴대전화 이동을 모니터링할 수 있는 유사한 도구를 구매한 것으로 확인됨
    • ICE는 최근 추가적인 광고 기술(Ad Tech) 데이터 확보에도 관심을 표명함
  • 404 Media의 보도 이후, 공개 조달 문서를 통해 관련 사실이 드러남

의회의 대응

  • 70명의 의원이 DHS 감찰관에게 서한을 보내, ICE의 위치 데이터 구매 행위에 대한 새로운 조사 착수를 촉구함
    • 서한은 데이터 구매의 적법성과 감시 남용 가능성을 문제로 제기

전문가의 평가

  • 아일랜드 시민자유위원회(ICCL) 의 Johnny Ryan은 광고 데이터가 “모든 사람의 위치와 소비 행태를 추적할 수 있는 금광”이라고 표현
    • 그는 광고 데이터 판매가 개인 정보 보호에 심각한 위협이 될 수 있다고 경고

기사 접근 제한 안내

  • 본문은 유료 회원 전용 게시물로, 전체 내용 열람을 위해서는 구독이 필요함
    • 무료 회원 가입 또는 로그인 링크가 함께 제공됨
GN⁺ 1일전  [-]
Hacker News 의견들

  • 기사 아카이브 링크

  • 나는 직업상 광고 데이터를 자주 다루는데, 기자들이 오해하는 부분이 많음
    위치 데이터는 실제로 매우 부정확함. OS나 브라우저가 위치 접근을 잘 막아주기 때문에, 광고 네트워크가 제공하는 위치 정보는 대부분 IP 기반의 대략적인 추정치임
    광고 네트워크는 데이터 품질을 과장할 유인이 있음. 그리고 사용자 단위 추적은 생각보다 훨씬 어려움. 각 앱의 SDK가 신호를 보내더라도, 앱 간에 사용자를 연결할 키가 없으면 전부 별개의 데이터로 취급됨
    그래서 종종 같은 IP의 다른 사람 검색 기록을 기반으로 광고가 노출되는 것임
    특히 Bidstream 데이터는 실시간 광고 송출 시점의 단편적 정보일 뿐, 개인을 추적하기엔 부적합함. Mobilewalla 같은 데이터는 개인 추적보다는 패턴 분석용임
    정부 기관들도 이 데이터를 실제로는 제한적으로만 활용함 — 예를 들어 CBP는 국경 지역의 비정상적인 휴대폰 활동을 탐지하려 했고, IRS는 Venntel 데이터를 써봤지만 실패했음
    결국 해결책은 맞춤형 광고의 단계적 폐지뿐이라 생각함. 지금 상태로는 정부가 이 데이터를 통해 개인을 식별할 수준은 아님

    • 나는 예전에 ad-tech 업계에서 일하다가 떠났음. Factual이라는 회사가 자사 규정보다 훨씬 작은 지오펜스(geofence) 를 사용했는데, 우리 회사는 그걸 알면서도 계속 사용했음
      CEO는 “우리가 직접 만든 게 아니니 문제없다”고 했지만, 결국 우리는 고해상도로 사람을 추적하는 시스템의 중간자 역할을 한 셈임. 업계가 파괴한 걸 직시해야 함
    • 데이터 출처를 융합(fusion) 하면 생각보다 훨씬 많은 걸 할 수 있음.
      관련 연구로 Large-Scale Online Deanonymization with LLMsRobust De-anonymization of Large Sparse Datasets이 있음
    • 정부든 광고사든, 내 위치를 알 필요는 없음. 데이터가 “대략적”이라 해도 사생활 침해
    • 완전 공감함

  • Privacy Act가 법 집행 목적에는 예외를 둔 게 아쉬움. 당시엔 정부의 모든 행위가 ‘법 집행’으로 불릴 줄 몰랐을 것임
    미국 정부의 개인정보 처리에는 Fair Information Practice Principles라는 윤리적 프레임워크가 있음
    하지만 현실적으로 정부의 기준은 “합법적 목적이면 된다” 수준이라, 공공의 이익보다는 법적 최소한에 머물러 있음

    • 문제는 법이 아니라 데이터의 존재 자체임. 데이터가 있으면 정부든 내부자든 결국 악용하게 됨

  • 요즘 개인정보 보호에 대한 내 생각이 변하고 있음. 단순히 방어하는 수준이 아니라, 이제는 적극적인 공격을 받는 느낌임
    사람들은 사생활 침해로 생계나 명예를 잃고 있음. 내가 할 수 있는 건 거의 없고, 기업들은 내가 언제 화장실 가는지까지 알고 있음
    그들은 그걸 광고로 보여주고, 데이터를 팔아 부패한 기관이 합법적으로 남용하게 함
    결국 “그냥 맞고 있으라”는 선택지만 남은 상황에서, 누가 우리를 지켜줄지 모르겠음

    • 그래도 조금씩 나아질 수 있음. 이미 퍼진 데이터를 관리해주는 개인정보 삭제 서비스들도 있음

  • 납세자의 돈으로 납세자를 추적하고, 광고 산업을 지원하는 현실이 아이러니함

  • 나는 휴대폰에 26개의 앱만 설치했음. 그중 4개는 Safari 확장이고, 1개는 PWA, 1개는 내가 직접 만든 앱임
    NextDNS로 추적을 최대한 차단하고, 소셜미디어는 사용하지 않음. 현실적으로 할 수 있는 최선이라 생각함

    • 하지만 휴대폰 자체가 통신사에 위치 정보를 지속적으로 전송함. 정부는 영장 없이도 그 데이터를 받을 수 있음. 결국 이런 노력은 ‘프라이버시 연극’에 불과함
    • 게다가 휴대폰은 24시간 내내 기지국에 정확한 위치를 송신함

  • Cory Doctorow의 단편 “Scroogled (2007)” 이 현실이 된 느낌임
    원문 링크

    • 2007년엔 음모론처럼 들렸지만, Snowden 폭로(2013) 이전이었음. NSA 국장이 “메타데이터로 사람을 죽인다”고 말한 게 그로부터 7년 뒤였음
      사생활 침해는 천천히, 그러나 꾸준히 진행되어 왔고, 결국 ‘Turnkey Tyrant(즉시 작동 가능한 독재)’의 문을 열고 있음
    • “모방”이 아니라 이제는 “구현”의 단계임
    • 좋은 이야기였음

  • 죽은 댓글(octoclaw)이 LLM이었다는 걸 알고 놀랐음. 어쨌든 데이터가 얼마나 싸고 쉽게 구할 수 있는지가 문제임. 정부뿐 아니라 누구나 접근 가능함
    그래서 꼭 필요할 때만 휴대폰을 들고 다녀야 함

    • 그 댓글이 죽은 이유가 LLM이었기 때문임
    • 하지만 일반 소비자 입장에선 이 데이터가 그렇게 싸지 않음

  • 유럽식 개인정보 보호법이 이런 걸 막을 수 있을까 궁금함. 하지만 미국의 정치 상황상 그런 법이 생길 가능성은 낮음

    • 법을 만들어도 정부가 무시하면 의미 없음
    • 이론적으로는 팝업에서 동의를 거부하고, 숨겨진 ‘정당한 이익’ 항목까지 모두 거부하면 데이터 수집이 안 되겠지만, 현실적으로는 다크 패턴과 불투명한 감사 체계 때문에 대부분의 사람 데이터가 여전히 수집됨
      게다가 이런 데이터를 사들이는 정부라면, 기업의 위반을 단속할 리도 없음
    • “유럽식 법이 막아줄까?”라는 질문은 너무 단순함. 문제는 단순히 법의 부재가 아니라,
      1. 앱이 정밀 위치 데이터를 수집하고,
      2. 광고 인프라가 그걸 RTB로 송출하고,
      3. 브로커가 재판매하고,
      4. 정부가 직접 수집 대신 구매로 우회하고,
      5. 규제기관이 이를 막지 못하는 구조임
        GDPR이 더 엄격하긴 하지만, 집행력의 한계로 adtech 생태계는 여전히 존재함
        결국 핵심은 “유럽식 법”이 아니라, 수집 제한·재판매 금지·정부 구매 금지·감사 의무를 모두 포함한 실질적 제도 설계임

  • 나는 이런 데이터 시스템과 가까이 일한 적이 있음. 내부 정책상 미국 시민은 감시하지 않는다는 원칙이 있었지만, 실제로는 데이터 재판매 네트워크가 너무 탐욕적이었음. 더 많이 팔수록 돈이 되니까

    • 그런데 그럼 시민 여부는 어떻게 판단할까? 예를 들어 나는 미국 시민이지만, 호주에서 Gmail 계정을 만들었고, 접속 시 호주 도메인으로 연결되기도 함. 이런 경우 내 데이터가 외국인으로 분류되어 감시에 포함될 수도 있음
답변달기