FCC, 위치 데이터 무단 공유한 미국 대형 통신사들에 2억 달러 과징금
(docs.fcc.gov)- 고객의 실시간 위치 정보 접근권이 동의 없이 외부로 공유된 사건에 대해 FCC가 AT&T, Sprint, T-Mobile, Verizon에 총 2억 달러에 가까운 과징금을 확정함
- 통신사들은 위치 정보 접근권을 애그리게이터에 판매했고, 애그리게이터는 이를 다시 제3자 위치 기반 서비스 제공업체에 재판매함
- 고객 동의 확보 책임을 하위 수신자에게 넘기는 구조였지만, 여러 경우 유효한 동의가 확보되지 않았고 보호조치도 충분하지 않았음
- 과징금은 Sprint 1,200만 달러 초과, T-Mobile 8,000만 달러 초과, AT&T 5,700만 달러 초과, Verizon 약 4,700만 달러이며 Sprint와 T-Mobile은 조사 시작 이후 합병됨
- Communications Act Section 222는 위치 정보를 포함한 고객 정보 보호와 명시적 동의를 요구하며, 제3자 공유에도 같은 의무가 적용됨
위치 정보 판매 구조와 과징금 규모
- FCC는 2024년 4월 29일 미국 대형 무선통신사들이 고객의 위치 정보 접근권을 불법 공유했다며 과징금을 부과함
- Sprint: 1,200만 달러 초과
- T-Mobile: 8,000만 달러 초과
- AT&T: 5,700만 달러 초과
- Verizon: 약 4,700만 달러
- 각 통신사는 고객 위치 정보 접근권을 애그리게이터에 판매했고, 애그리게이터는 이를 제3자 위치 기반 서비스 제공업체에 다시 판매함
- 통신사들은 고객 동의 확보 의무를 하위 수신자에게 넘기려 했지만, 여러 경우 유효한 고객 동의가 확보되지 않았음
- 보호조치가 효과적이지 않다는 사실을 알게 된 뒤에도 네 통신사는 무단 접근을 막을 합리적 조치 없이 위치 정보 접근권 판매 프로그램을 계속 운영함
- FCC Chairwoman Jessica Rosenworcel은 이 데이터가 고객의 이동 경로와 신원을 드러낼 수 있는 민감한 정보라는 점을 강조함
조사 계기와 법적 근거
- 조사는 2018년 Ron Wyden 상원의원의 공개서한과 관련 사용 사례에 대한 공개 보도를 계기로 시작됨
- 공개 보도에 따르면, 교정시설 통신 서비스 제공업체 Securus가 운영한 위치 조회 서비스를 통해 Missouri 보안관이 여러 개인의 위치를 추적할 수 있었음
- FCC는 네 통신사가 무단 접근을 인지한 뒤에도 위치 기반 서비스 제공업체들이 실제로 고객 동의를 받는지 확인할 합리적 보호조치를 마련하지 않았다고 판단함
- Communications Act Section 222 등 관련 법은 통신사에 다음 의무를 부과함
- 위치 정보를 포함한 특정 고객 정보를 보호하기 위한 합리적 조치
- 고객 정보의 기밀 유지
- 정보 사용·공개·접근 허용 전 명시적이고 적극적인 고객 동의 확보
- 제3자와 고객 정보를 공유할 때도 동일한 의무 적용
명령 확정과 후속 조치
- 이번 Forfeiture Orders는 2020년 2월 발부된 Notices of Apparent Liability를 확정한 것임
- AT&T와 Sprint 과징금은 NAL 단계와 동일함
- T-Mobile과 Verizon 과징금은 NAL 답변 제출자료를 추가 검토한 뒤 감액됨
- 법은 NAL 발부 이후 특정 위반에 대한 몰수액 증가를 허용하지 않음
- 관련 명령:
- FCC Chairwoman은 2023년 Privacy and Data Protection Task Force를 설치했으며, 이 조직은 개인정보와 데이터 보호 분야의 규칙 제정, 집행, 대중 인식 관련 요구를 기관 내에서 조율함
- FCC는 이번 발표가 위원회 조치의 비공식 발표이며, 위원회 명령 전문 공개가 공식 조치라고 밝힘
댓글과 토론
Hacker News 의견들
-
핵심은 투명성임. '개인정보 처리방침'이 아니라, 회사가 내 정보를 누구에게 팔거나 넘겼는지, 그 판매에 어떤 제한이 붙었는지를 보고 싶음
개념은 단순함. 내 정보를 수집하고 다른 주체가 접근할 수 있게 했다면, 그 사실을 알려주고 쉽게 확인하고 차단할 수 있게 해야 함. 사람들이 실제로 무슨 일이 벌어지는지 알기만 해도 개인정보 남용 대부분은 사라질 것임- 모든 것은 사전 동의여야 함. 부담은 회사 쪽에 있어야 하고, “당신의 데이터를 공유하고 싶고, 동의하면 이런 혜택이 있다” 같은 식이어야 함
- Facebook처럼 데이터를 분석해 나에 대한 더 깊은 추론을 만드는 회사까지 포함해야 함. 내 데이터로부터 나에 대해 내린 모든 결론을 볼 권리가 있어야 하고, 그래야 잘못된 가정을 고치거나 스스로에 대해 더 배울 수도 있음
- “회사가 내 정보를 누구에게 팔거나 넘겼고, 그 판매에 어떤 제한이 붙었는지 보고 싶다”는 요구를 더 확장하면, 회사가 개인정보를 넘길 때마다 관리 연쇄(custody chain) 를 보관하도록 하는 법은 비교적 논란이 적을 것 같음
개인정보 매매 자체를 없애는 게 더 낫겠지만, 첫 단계로는 “어떤 주체가 사용자의 데이터를 만졌는지 정확히 추적하지 않은 회사에 막대한 벌금”이 가능함 - 사람들이 실제로 쓸 수 있는 대안도 있어야 함. 물론 차단 기능이 있다면 그것도 작동할 수 있음
- 핵심은 투명성이 아니라 감시와 무력함임
-
2억 달러는 푼돈임. 이런 통신사들은 오랫동안 이 일을 해왔고, 아무것도 바뀌지 않을 것임
기껏해야 개인정보 처리방침에 각주 하나가 추가될 뿐임- 문제는 그들이 이걸 팔아서 얼마를 벌었느냐임. 2억 달러가 푼돈인 이유가 2000억 달러를 벌었기 때문이라면 관련성이 크지 않음. 실제 수익이 2억 달러보다 훨씬 적었다면, 그들은 이 일을 그만둘 것임
- 정확히는 Securus라는 제3자 회사가 이동통신사들과 위치 데이터 구매 계약을 맺고 사실상 거의 모든 사람을 추적할 수 있는 포괄적 상품을 제공한 것임
Securus는 원래 미국 수감자 관련 업무를 주로 하던 회사인데, 모두의 데이터를 수집한 뒤 그 역량과 관계를 서비스로 재포장했음. FCC 판단 이후 추가 소송을 피하려는 투박한 시도로 지금은 없어졌다고 보임
https://securustechnologies.tech/investigative/investigation...
아직 추적 정밀도에 대한 기술적 세부사항은 없음. 통신사 모뎀이 어디서 끝나고 펌웨어/하드웨어가 어디서 시작되는지 흐릿한데, 아마 의도된 것일 수 있음. 실시간 GPS 좌표를 조회할 수 있었을 가능성은 낮고, 기지국에서 ASN을 조회해 사용자 위치의 대략적 범위를 제공했을 가능성은 매우 높음 - 우연히도 Verizon에서 회선당 5달러씩 오르고, Internet은 ATT에서 오른다는 이메일을 받았음
FCC는 벌금 2억 달러를 챙겼지만 징역은 없고, 그 2억 달러 중 사생활을 침해당한 사람들에게 돌아가는 돈은 0달러임. 결국 평범한 월요일, 늘 하던 대로임 - 금액이 핵심이 아니라 벌금을 맞았다는 사실이 핵심임
주주들은 “이 일로 벌금을 맞았는데도 계속했고, 이제 또 벌금을 내야 한다”는 상황을 좋아하지 않음. 또 회사가 과거에 같은 일로 실제 벌금을 맞았다면, 행정부·법원·배심원도 “몰랐다”는 방어 논리에 더 회의적으로 봄
-
예전에 한 헤지펀드에서 일했는데, 매달 1억 2500만 명의 미국인에 대한 휴대폰 핑 데이터를 사들였음
온갖 딥러닝 알고리즘이 쇼핑, 물류창고, 기타 유동 인구를 분석했음. 민간 투자자들이 어느 수준까지 이해하고 있는지 사람들은 전혀 모름. 공개 수치에서 보이는 것보다 훨씬 깊고, 지구상에서 가장 똑똑한 사람들이 미국인의 일상 습관에서 엄청난 사실을 뽑아냄. 인류가 아는 거의 모든 통계 알고리즘이 이 데이터에 적용됐음- 그건 “시장”, 즉 일반 사람들이 어떻게 소비하는지를 분석하기 위한 것임?
- 서로 다른 데이터셋을 연결하고 비식별화 해제하는 수준이 어디까지 왔는지 궁금함
예를 들어 모든 걸 현금으로 사고, 선불 SIM과 구매 이력에 내 이름이 없는 휴대폰을 쓰며, 직접 소스에서 컴파일하지 않은 것은 실행하지 않는다고 치자. NixOS를 휴대폰에서 쓰는 식이라면 내 데이터가 충분히 쓸모없어서 이런 데이터셋에 안 들어갈까? 아니면 이미 너무 많은 데이터 포인트를 연결하는 데 익숙해져서 현금만 쓰는 방식도 별 의미가 없어졌을까?
-
T-Mobile, AT&T, Verizon의 합산 하루 매출 기준으로 1억 9600만 달러를 벌어들이는 데 약 9시간이면 됨
세 회사의 합산 하루 매출을 T-Mobile 4550만 달러, AT&T 1억 2560만 달러, Verizon 3억 4930만 달러로 가정하면 총 5억 2040만 달러임. 이를 24시간으로 나누면 시간당 2160만 달러이고, 벌금 1억 9600만 달러를 나누면 약 9.07시간이 나옴- 계산이 틀렸음. 하루 매출이 5억 2040만 달러라면 1억 9600만 달러 매출을 만드는 데는 반나절 미만이면 됨
실제 영향에 더 가까운 이익을 기준으로 보는 편이 더 흥미로운 접근임
- 계산이 틀렸음. 하루 매출이 5억 2040만 달러라면 1억 9600만 달러 매출을 만드는 데는 반나절 미만이면 됨
-
“고객의 위치 정보 접근 권한을 동의 없이 공유했다”는 부분만으로는 통신사가 아무도 읽지 않는 EULA나 개인정보 처리방침에 “위치 데이터 공유”를 추가하고, 이제 동의를 받았다고 주장하며 계속하는 걸 막을 수 없어 보임
별도의 거부 선택권 제공을 요구하지 않는다면, 장기적으로는 아무것도 바꾸지 못하는 임시 과속방지턱 같음- 문제 자체를 다루는 법이 필요함. 예를 들어 위치 데이터 수집은 수집 주체나 서비스가 명시적으로 필요로 하고 직접 사용할 때만 허용하고, 공유나 판매는 금지해야 함
- 더 긴 문서에는 이 내용이 다뤄짐: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
위원회는 고객 CPNI 보호에 사전 동의 요건만으로는 충분하지 않다고 인정했음. 특히 특정 고객이나 권한 있는 사람인 척해 고객 정보를 불법으로 얻는 “pretexting” 같은 수법은 사전 동의 요건을 우회할 수 있기 때문임 - 은행이 신용카드 신청서에 위치 데이터 동의 문구를 넣는 경우, 통신사가 따로 뭔가 해야 하는지도 의문임
“사기 방지 및/또는 기타 목적” 같은 문구를 붙일 수도 있고 아닐 수도 있음. 보험사도 마찬가지임. 그런 조항을 본 적이 있고, 휴대폰 통신사에서 데이터를 끌어오는 것이라고 확신함
-
미국 사법기관이 영장 없이 우회하려고 이런 상업 데이터를 구매하지 않나?
- 맞음
-
AT&T가 NSA가 복호화된 네트워크 데이터 전체를 도청하도록 허용한 일에 대해서는 벌금을 물린 적이 있나? 그게 훨씬 더 심각해 보임
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...- NSA가 모든 사람의 드라이브 백업을 떠둔 걸 복구해주는 비용을 받으면 자체 재원 조달도 가능할 듯함
- 그 건은 소급 면책에 양당이 모두 찬성했음
- 청구서를 NSA로 보내면 됨
-
관련 글:
Cape가 개인정보를 쓰지 않는 모바일 서비스를 위해 A16Z 등에서 6100만 달러를 유치함
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/ -
이것들은 민사 제재임. FCC가 어떤 한계, 혹은 한계가 없다면 어떤 범위 안에서 움직이는지 궁금함
더 큰 벌금을 부과할 수 있었을까? 그리고 DOJ가 형사 처벌을 추진할지 결정하는 데 영향을 주는지도 궁금함