FBI는 미국 번호판 판독기에 ‘준실시간’ 접근을 원한다

 (wired.com)
1P by GN⁺ | ★ favorite | 댓글 1개
  • FBI는 미국 전역 도로변 자동 번호판 판독기 데이터에 수백만 달러를 지불하고, 차량 이동 정보를 준실시간으로 확보하려 함
  • ALPR 카메라는 지나가는 차량 이미지를 촬영해 번호판·위치·시간·날짜를 검색 가능한 데이터베이스에 넣고, 지방·연방 사법기관이 자주 접근함
  • 미국 양당 의원 2명이 경찰의 번호판 추적 활용을 전국적으로 막는 초기 입법안을 낸 시점에, FBI 조달 문서는 주요 고속도로와 다양한 위치의 데이터 접근 필요성을 밝힘
  • Google은 패치되지 않은 Chromium 취약점의 동작 개념증명을 공개했다가 내렸지만, 익스플로잇 코드가 이미 미러링돼 Chrome·Edge 등 사용자에게 위험이 남음
  • Take It Down Act 집행 강화와 FTC 경고, 딥페이크 성적 학대 이미지 관련 체포가 이어지며 비동의 이미지 삭제와 생성 서비스 감시 압박이 커짐

FBI의 전국 번호판 판독기 접근 계획

  • The FBI Wants ‘Near Real-Time’ Access to License Plate Readers Across the US
  • 미국 의원들이 전국 자동 번호판 판독기 사용을 금지하려는 제안을 낸 같은 주에, FBI가 카메라 접근권과 차량 이동 데이터의 준실시간 접근을 구매하려는 계획이 드러남
  • 404 Media가 처음 보도한 FBI Directorate of Intelligence의 공개 조달 기록은, FBI가 도로변 ALPR 데이터 접근에 수백만 달러를 지불하려 한다는 내용을 담고 있음
  • ALPR 카메라는 지나가는 차량 이미지를 촬영하고 번호판·위치·시간·날짜를 검색 가능한 데이터베이스에 추가하며, 이 데이터베이스는 지방 사법기관과 일부 연방기관이 자주 접근함
  • 작업명세서는 “FBI has a crucial need for accessible LPRs to provide a diverse and reliable range of collections across the United States”라고 밝힘
  • 같은 문서는 “This data should be available across major highways and in an array of locations for maximum usefulness to law enforcement”라고 적고 있음
  • 추가 문서는 데이터 접근이 “near real time”으로 제공돼야 한다고 명시함

Google의 미패치 Chromium 취약점 익스플로잇 공개

  • Google Publishes Live Exploit Code for Unpatched Chromium Flaw
  • Google은 Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc의 기반인 오픈소스 코드베이스 Chromium의 아직 수정되지 않은 취약점에 대한 동작 개념증명 코드를 공개함
  • Ars Technica 보도에 따르면, 이 결함은 독립 연구자 Lyra Rebane이 42개월 전 Google에 처음 제보했음
  • Rebane은 수요일 프로젝트 버그 트래커 게시물이 패치 배포를 의미한다고 봤지만, 실제 패치는 배포되지 않았음
  • Google은 오류가 드러난 뒤 공개 내용을 내렸지만, 익스플로잇 코드는 이미 아카이브 사이트들에 미러링됨
  • 취약점은 대용량 백그라운드 다운로드를 처리하는 Browser Fetch API를 악용해, 사용자가 방문한 임의 웹사이트가 기기에서 지속적인 service worker를 띄울 수 있게 함
  • 생성된 연결은 브라우징 활동 감시, 피해자 기기를 통한 트래픽 라우팅, 프록시 기반 DDoS 네트워크 편입에 쓰일 수 있음
  • 이 연결은 브라우저 재시작 이후에도 유지되며, 일부 경우에는 기기 재부팅 이후에도 유지됨
  • Edge에서는 눈에 띄는 징후가 거의 없고, Chrome 사용자는 설명되지 않는 다운로드 드롭다운을 볼 수 있음
  • Google 엔지니어들은 최초 공개 스레드에서 이 버그를 심각한 문제로 표시했고, 내부 등급 체계에서 여러 high-severity 등급을 부여함
  • Firefox와 Safari는 관련 기능을 구현하지 않아 영향을 받지 않음
  • Google은 수정 작업 중이라고 밝혔고, 사용자는 요청하지 않은 다운로드 창을 의심스럽게 봐야 함

딥페이크 성적 학대 이미지 단속과 Take It Down Act

  • Feds Arrest Men Allegedly Behind Deepfake Sexual Abuse Watched Millions of Times
  • 최근 영국과 EU는 인공지능으로 여성과 소녀의 가짜 나체 이미지를 만드는 이른바 nudifying websites를 금지할 계획을 발표함
  • 5월 19일부터 Take It Down Act 집행이 강화되면서, 미국에서도 비동의 사적 이미지 삭제 요구와 서비스 감시 압박이 커짐
  • FTC는 이번 주 nudifying 서비스를 제공하는 12개 회사에 서한을 보내, 해당 회사들이 Act를 위반했을 수 있다고 경고함
  • FTC 서한은 피해자가 비동의 사적 이미지 삭제를 요청할 수 있는 절차를 갖춰야 한다고 밝힘
  • 이 조치는 서비스 콘텐츠를 직접 제한하지는 않지만, 유해 사이트에 대한 감시를 강화함
  • 법무부는 실제 여성들이 나체이거나 성행위에 관여한 것처럼 보이는 AI 생성 사진과 동영상 “수천” 건을 공유한 혐의로 두 남성을 체포
  • Cornelius Shannon(51)과 Arturo Hernandez(20)는 AI 생성물을 포르노 웹사이트와 동영상 공유 플랫폼에 업로드한 혐의를 받음
  • 검찰은 해당 이미지와 동영상이 수백만 회 조회됐고, 유명인과 정치인뿐 아니라 피고인들이 알고 있던 여성들도 포함됐다고 밝힘
  • 이번 체포는 지난달 Take It Down Act에 따른 Ohio 남성의 첫 유죄 판결 이후 이어진 조치임

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • SCOTUS는 이미 영장 없이 장기간 사람의 이동을 추적하는 것이 수정헌법 제4조 위반이라고 판결한 바 있음
    https://en.wikipedia.org/wiki/Carpenter_v._United_States

    • SCOTUS가 병행 구성(parallel construction) 자체를 위헌이라고 판결하기 전까지는, FBI가 모두를 추적하고 불법 데이터로 사건을 만든 뒤 다른 경로로 얻은 것처럼 꾸밀 수 있음
      https://en.wikipedia.org/wiki/Parallel_construction
    • 안타깝게도 요즘은 SCOTUS가 전에 위헌이라고 했다는 말이 예전만큼 최종적인 느낌을 주지 못함
    • 법원은 사람들이 휴대전화 기록에 대해 합리적인 사생활 기대를 가진다고 판결한 것일 뿐임
      이런 판례를 일반화하면 이상하고 작동하기 어려운 결론으로 가게 됨. 미국에서는 대체로 관찰되지 않고 이동할 권리가 확립돼 있지 않으며, 자동차나 오토바이에 명확히 보이는 추적 장치인 번호판을 달아야 한다는 사실 자체가 그걸 보여줌
    • 현 SCOTUS는 아마 그런 판례를 신경 쓰지 않을 것 같음
      파시즘이 다가오고 있고, 우리는 서서히 끓는 물속의 개구리처럼 보임
    • 왜 신경 쓰겠음

  • 법 집행 차량의 위치를 실시간으로 알려주는 오픈소스 자동 번호판 인식 시스템을 만들어야 함
    경찰관이 출퇴근에 쓰는 차까지 포함하면 좋겠고, 캘리포니아에서 ICE 요원들의 번호판 위반을 찾는 데도 도움이 됐을 것임. 이름은 "CopAware"라고 부를 수 있겠음

    • 마침 Benn Jordan이 Flock 카메라 조사 이후, Flock이 아닌 ALPR 장치를 역공학해서 기성 부품, 태블릿, 3D 프린터로 자기 시스템을 만들었음
      주로 실험 목적이었지만, Flock의 이미지 감지 알고리즘이 놀랄 만큼 나쁘고 번호판을 잘못 읽는 사례가 많다는 이유도 있었음. 번호판 감지용 오픈소스 모델도 몇 가지 있는데, 정확히 어떤 모델이 가장 좋았는지는 기억나지 않지만 상용 시스템이 얼마나 비효율적이고 쉽게 무력화될 수 있는지 이해하는 데 도움이 되는 훌륭한 영상이었음: https://www.youtube.com/watch?v=Pp9MwZkHiMQ
    • 집 서랍에 안 쓰는 Android 폰 한두 개쯤은 다들 있을 테니, 창가에 두고 공유되는 공개 서비스에 연결하면 될지도 모름
      다만 공개·공유 시스템이면 Flock도 그냥 공개 API에 접속해서 자기 데이터에 "Public cameras"라는 새 범주를 추가할 수 있음. 우리가 공개 시스템으로 제공하는 모든 데이터는 악의적 행위자에게도 제공됨
    • 그렇게 해야 함. 법 집행기관 관련 차량뿐 아니라, 경찰에 지시하고 법을 만드는 공직자들의 차량, 그리고 그 법을 집행하는 판사들의 차량만 대상으로 할 필요도 없음
      차라리 무차별적으로 모든 차량을 기록하고 원시 데이터를 공개하자는 쪽이 낫다. 이유는 간단함. 조직 내 역할을 나눌 수 있고, 역할 분리는 운영상 안전성을 높여줌. 지금은 4개 역할 정도가 적절해 보임: 카메라 운영자는 실제 집이나 건물과 연결되므로 직접 위험이 가장 크지만, 참여자가 가장 많이 필요하고 모두를 기록한다는 점이 그들에게 그럴듯한 부인을 가능하게 함. 데이터 정리 담당은 번호판·시각·위치 데이터를 모아 정렬하는 백엔드 역할이라 덜 위험하고 전 세계 어디서든 가능함. 필터 제작자는 어떤 번호판이 어떤 정부 인물과 연결되는지 추적하므로 더 위험하지만, 많은 조직이 그런 목록을 만든다고 말할 수 있음. 지도 제작자는 다른 사람이 모은 데이터와 필터를 받아 공개용 지도로 보여주는 역할이라 구조상 가장 중요하진 않아도 가장 눈에 띄고 언론의 공격을 받을 가능성이 큼

  • 올해 미국 지방선거 후보 중에는 연방정부에 맞서겠다는 사람들이 많음
    시장이나 주 상원의원 수준에서 할 수 있는 일이 많지 않다고 볼 수도 있지만, 지역 수동 감시를 없애는 것은 실제로 큰 영향을 줄 수 있음. 신호위반 카메라, 번호판 카메라, 기타 수동 감시 도구 금지를 공약으로 내세우는 후보가 많아졌으면 함. 데이터가 애초에 수집되지 않으면 남용될 수도 없음

    • 시장이나 주 상원의원 수준에서 할 수 있는 일이 많지 않다는 말은 사실이 아님
      첫째, 저항에는 그에 맞먹는 노력이 필요함. 1만 개 도시가 1만 명의 시장 때문에 비협조적이면 이를 뚫는 데 필요한 정치적 힘은 엄청나게 커짐. 시장은 비협조적이거나 악의적인 업체와의 사업을 지연하거나 취소할 수 있고, 인허가도 늦출 수 있음. 이 행정부와 감시 권력을 원하는 세력이 하위 선거, 교육위원회, 보안관 직책을 노리는 이유도 그걸 알기 때문임. 둘째, 주 상원의원은 생각보다 훨씬 강력함. 보통 연방 하원·상원보다 인원이 훨씬 적어서 개인 표의 영향력이 더 크고, 다수당과 위원회가 결합되면 주 정치에 큰 영향을 줄 수 있음. 셋째, 자원은 모이고 정당은 조율하므로, 자금의 근원인 영향력을 굶기는 것이 비민주적 정당을 밀어내는 핵심임. 온라인 정치 글을 그대로 믿지 말아야 함. 현대적이고 얕은 소비에 맞춰진 것이 많음. 작은 선거가 중요함. 직접 참여해도 큰 차이를 만들 수 있고, 선거운동에서 요란하게 외칠 필요도 없음. 그냥 출마하고, 평범하게 굴고, 이기고, 표결로 말하면 됨
    • 냉소적으로 들릴 수 있지만, 양당 체제는 이미 전면 감시국가를 원하기로 결정한 것처럼 보임
      관측 가능한 국내 사이버 영역을 거의 완전히 덮은 뒤, 다음 목표는 물리 계층임. 이에 반대하는 사람은 테러 동조자거나 범죄 의도가 있는 사람으로 몰림. 결국 조국의 안전을 위한 것이라는 식임
    • 자동차 의존 인프라가 미국인의 자유에 나쁜 이유도 이것임
      면허가 필요한 자동차 안에 있을 때보다 보행자일 때 시민권이 더 많음
    • 신호위반·번호판 카메라 금지에는 동의하지 않음
      차량 범죄에 너무 관대해졌고, 이는 다른 범죄와도 자주 연결됨. 과속, 신호위반, 갓길 주행, 번호판 누락·위조, 소음 위반, 배출가스 위반 등에 대해 자동 단속이 훨씬 더 많아졌으면 함

  • 이 글은 이미 프런트페이지에서 크게 다뤄진 기사에 대한 블로그스팸에 가까움
    https://news.ycombinator.com/item?id=48184350

    • 404 Media 기사는 유료벽 뒤에 있지만 Wired 제출글은 그렇지 않음
      Wired를 블로그스팸이라고 부르기는 좀 망설여짐

  • 개인적 생각이니 조심스럽지만, 기술은 우리가 항상 예측할 수 없는 새로운 행동과 기회를 가능하게 함
    우리는 거의 완전히 투명한 세계에서 살게 될 것임. 일상 대화, 음성, 텍스트, 영상은 언젠가 누군가에게 기록될 가능성이 높고, 상사가 직원에게 어떻게 대하는지, 간호사가 환자에게 어떻게 말하는지, 계산원이 고객에게 어떻게 말하는지, 부모가 아이에게 어떻게 말하는지가 모두 기록될 수 있음. 그리고 그게 좋은 일이 될 수도 있음. 상사가 코칭 방식에 대해 실시간 피드백을 받거나, 내가 배우자와 싸우지 않는 법에 대한 힌트를 받는 상황을 상상할 수 있음. 과제는 단순함. 모든 비밀을 잃는다면 사생활은 이웃의 예의에 달린 것이 됨. 강력한 법도 필요하지만, 관찰 가능한 행동을 바탕으로 광고를 보여주는 일을 남의 현관 앞에 배설한 뒤 휘발유를 붓고 불붙이는 것과 비슷한 수준으로 사회적으로 용납되지 않게 만드는 사회적 변화가 필요함. 그래도 사생활은 보호되면서 역학자들이 어려운 문제를 풀고, 인간이 더 잘 성장하며, 사회가 더 공동체적이고 튼튼해지는 세계도 가능함. 기술은 중립적이고, 이를 받아들이는 사회와 국가는 사람들이 AI에서 기대하는 부스트를 얻게 될 가능성이 큼

    • 기술이 중립적이라는 말은 부족함
      그 기술을 만들고, 자금을 대고, 통제하고, 개발하고, 배포하고, 사용하는 사람들은 중립적이지 않으며, 기술은 그 사람들과 분리하기 어려움. 그런 점에서 기술은 중립적이라는 주장은 수사에 불과하고, 의미 있는 모든 면에서 기술은 중립성을 갖지 못함
    • 상사가 코칭 방식에 대해 실시간 피드백을 받거나, 내가 아내와 싸우지 않는 법을 안내받는다는 건 디스토피아처럼 들림
      검토되지 않은 기계 생성 피드백을 받게 되어 전혀 맞지 않을 수도 있고, 누군가 검토했다면 내 인생 전체가 낯선 사람들에게 평가받는 셈임. 배우자가 바람을 피워서 내가 소리쳤는데, 내 행동이 선을 넘었다는 알림을 받는 장면이 떠오름. 의도한 긍정적 표현과 달리 "아무것도 소유하지 않겠지만 행복할 것이다"라는 문구와 섬뜩하게 비슷하게 들림
    • David Brin은 1996년에 투명한 사회 논의를 제시했지만, 경험적 시험에서는 실패했다고 보는 게 맞음
      그가 말한 아래로부터의 감시(sousveillance)는 가능하지만, 매 단계마다 자유주의 국가와 비자유주의 국가, 최근에는 이전에 자유주의적이던 국가의 권력 엘리트들이 그런 조치를 막아 왔음. 기술은 대체로 중립적이지 않고 권력 증폭기에 가까움
      <https://en.wikipedia.org/wiki/The_Transparent_Society>
      <https://www.wired.com/wired/archive/4.12/fftransparent.html>
      <https://www.schneier.com/essays/archives/2008/03/the_myth_of...>
    • 기술은 중립적이라는 말은 90년대 미국에서 대마초 거래 재판을 받으면서 판사에게 "그냥 식물일 뿐이잖아요"라고 말하는 것과 비슷한 지혜임
      맞을 수도 있지만, 우리가 지금 여기 있는 이유와는 별개임. "기술"에는 돈과 괴물들로 이루어진 기괴한 기계 전체가 필요하고, 그들은 거의 중립적이지 않음. 정말 기술이 중립적이라고 믿는다면, 이 모든 장치를 미국에서 가장 비밀스러운 기관 중 하나 뒤에 숨기고 과두 지배자들의 목줄에 끌려가게 할 게 아니라, 강하게 규제하고, 공적으로 운영·소유하며, 보편적으로 접근 가능하게 만들자고 해야 함. 그러지 않는다면 본인이 그 과두 지배자 중 하나이거나 그들에게 세뇌된 것임
    • 경찰국가의 권한 남용과 위헌적 사생활 침해에 대한 이야기에서조차, 결국 "진짜 중요한 건 Google이 얼마나 형편없는가"로 넘어가는 흐름이 매번 반복됨

  • 이게 타이어 안의 RFID를 읽는 시스템을 위한 백업인가 싶음
    오래전부터 이미 그렇게 되고 있다고 생각했음

  • 번호판은 연방 요구사항인가, 아니면 주 요구사항인가?

  • 지난 20년 동안 CSI 같은 미국 드라마를 대충 보면서, 이런 시스템은 이미 오래전부터 존재한다고 확신하고 있었음
    그럼 살짝 녹슨 나사에서 완벽한 반사상을 볼 수 없다는 뜻인가?

    • 이게 이미 미국 정보기관 체계에 통합돼 있지 않다면 정말 놀랄 것 같음
      다만 미국 시민을 겨냥한 국내 사건에는 흔히 쓰이지 않거나, 알면 안 되는 사실을 어떻게 알았는지 정당화하기 위해 병행 구성이 필요했을 수 있음. 이번 일은 그것을 합법화하거나 몇몇 새 데이터 소스를 통합하는 방식일 수도 있음

  • FBI는 미국인이 민주당과 공화당 사이에서 갖는 정치적 선택지를 잘 보여주는 비유임
    완전히 비이념적이고, 결국 권력과 국민 통제의 문제임. 어떻게든 권리를 되찾아야 함

  • 내 지역 경찰서가 Flock 데이터를 소유하고, Flock은 소유하지도 공유할 수도 없다고 들었는데 그건 뭐였나 싶음
    감시국가를 더 키우려고 거짓말을 들은 건가?

    • 데이터의 소유권은 어떤 다른 권리를 포기했는지에 따라 통제권과 거의 무관할 수 있음
      Flock 계약서가 데이터 소유권은 귀하에게 있다고 명시한 다음, 바로 다음 문장에서 그 데이터에 대한 통제권 대부분 또는 전부를 Flock에 넘기도록 할 수도 있음. 그래도 소유는 당신 것이라는 식임
    • 맞음
      https://youtu.be/uB0gr7Fh6lY?is=7osD4zLTz9wJ1hJc
      https://youtu.be/vU1-uiUlHTo?is=zmma8mce5k3nyflw
답변달기