미 연방수사국(FBI), 미국 시민 위치 데이터를 구매해 추적 중이라고 국장 확인

 (techcrunch.com)
1P by GN⁺ 7시간전 | ★ favorite | 댓글 1개
  • FBI가 상업적으로 판매되는 위치 데이터를 구매해 미국 시민을 추적하고 있음이 공식 확인됨
  • 이 데이터는 일반 스마트폰 앱과 게임을 통해 수집된 정보로, 데이터 브로커를 통해 제공됨
  • FBI는 영장 없이도 합법적이라 주장하며, 헌법과 전자통신프라이버시법(ECPA)에 부합한다고 설명
  • 상원의원 론 와이든은 이를 헌법 수정 제4조 위반이라 비판하며, 영장 없는 정보 구매 금지를 요구
  • 의회에서는 데이터 브로커 감시 허점 차단을 포함한 ‘정부 감시 개혁법(Government Surveillance Reform Act)’이 발의됨

FBI의 데이터 구매 재개

  • FBI가 미국인의 데이터 및 위치 이력을 다시 구매하기 시작했다고 의회 증언에서 확인됨
    • 이는 2023년 이후 처음으로 공식 인정된 사례임
    • 이전 국장 크리스토퍼 레이는 과거 구매 사실은 인정했으나, 당시에는 “현재는 구매하지 않는다”고 밝힌 바 있음
  • 데이터는 데이터 브로커로부터 제공되며, 이들은 주로 소비자용 앱과 게임에서 수집된 정보를 판매함

FBI의 입장과 법적 근거

  • 국장 카쉬 파텔은 FBI가 “헌법과 전자통신프라이버시법(ECPA) 에 부합하는 상업적 정보를 구매한다”고 발언
    • 그는 이러한 정보가 “유용한 정보 수집으로 이어졌다”고 증언함
  • FBI 대변인은 추가 질문에 대해 파텔의 발언 외에는 언급을 거부
    • 데이터 구매 빈도나 거래한 브로커의 구체적 정보는 공개되지 않음

영장 없는 데이터 구매 논란

  • 상원의원 론 와이든은 FBI의 행위를 “헌법 수정 제4조를 우회하는 행위”라고 비판
    • 제4조는 정부가 개인의 기기나 데이터를 수색·압수하려면 판사의 영장이 필요하다고 규정함
  • 최근 몇 년간 미국 정부 기관들은 법원의 영장 절차를 피하기 위해 상업 데이터 구매 방식을 활용해 옴

다른 정부 기관의 유사 사례

  • 미국 세관국경보호국(CBP) 도 실시간 입찰(RTB) 서비스에서 수집된 데이터를 구매한 것으로 확인됨
    • RTB는 광고 산업의 핵심 기술로, 위치 및 식별 정보를 수집해 광고 타깃팅에 사용됨
    • 감시 기업들은 이 과정을 통해 사용자의 위치를 파악하고, 이를 데이터 브로커나 정부 기관에 판매할 수 있음

법적 공백과 입법 대응

  • FBI는 이러한 데이터 사용에 영장이 필요하지 않다고 주장하지만, 이 법적 근거는 법원에서 검증된 적 없음
  • 와이든 의원 등은 초당적 법안인 ‘정부 감시 개혁법(Government Surveillance Reform Act)’ 을 발의
    • 이 법안은 연방 기관이 데이터 브로커로부터 미국인의 정보를 구매할 때 법원 영장 의무화를 포함함
GN⁺ 7시간전  [-]
Hacker News 의견들

  • 누가 데이터를 판매하느냐가 훨씬 심각한 문제임
    소비자 앱이 광고 SDK를 포함하고 → SDK가 RTB 광고 교환소로 위치 신호를 보내고 → 감시 목적의 기업이 입찰 과정에서 데이터를 수집하고 → 그 데이터가 소비자와 직접 관계없는 데이터 중개업체로 흘러가 정부 기관 등에게 판매되는 구조임
    각 단계마다 책임이 분산되어 누구도 실제 동의를 검증하지 않음. 결국 이 데이터가 누구나 살 수 있는 상품이 되어버린 것이 핵심 문제임

    • Apple과 Google도 이 데이터 판매를 조장하고 있음
      무료 앱을 통해 개인 정보를 수익화하는 구조에서, 두 회사는 높은 수수료를 받는 대신 보안 심사를 한다고 주장하지만 실제로는 알고도 방치함
      OS 차원에서 어떤 앱이 이런 행위를 하는지 파악하는 것은 어렵지 않음
    • 데이터 거래의 양쪽 끝을 모두 차단해야 함
      명시적 동의 없이 데이터 판매를 금지하고, 정부가 이런 데이터를 구매하는 것도 헌법 수정 4조에 따라 금지해야 함
      정부 사용 동의가 필요한 경우라도, 현실적으로 아무도 그런 동의를 하지 않을 것임
    • 나는 꼭 필요한 앱만 남기고 나머지는 전부 삭제하고 있음
      시간이 지나면 쓸모없는 앱이 얼마나 많은지 놀라울 정도임
    • RTB 구조는 이미 10년 넘게 존재함
      자동차 회사들이 데이터를 보험사에 판다는 건 알고 있지만, 정부가 그 데이터를 상업적으로 구매할 수 있는지는 궁금함
    • 요약이 정확함
      1년 전에 깔았던 게임 하나가 문제의 시작일 수 있음
      스마트폰의 위치 서비스 설정을 항상 확인하는 게 중요하며, 배터리 절약에도 도움이 됨

  • 위치 데이터를 도청법 수준으로 규제해야 한다고 생각함
    내 위치 정보를 제3자에게 전달하려면 명시적 동의가 필요하며, 포괄적 동의로는 안 됨
    특히 실시간으로 개인을 식별할 수 있는 데이터는 더욱 엄격히 다뤄야 함

    • “합리적 선의의 동의 추정” 같은 허점은 만들지 말아야 함

  • Carpenter v. United States (2018) 판결에서 정부가 통신사로부터 위치 정보를 얻으려면 영장이 필요하다고 했음
    하지만 사용자가 앱에 위치 추적 동의를 한 경우, 기업이 데이터를 판매하는 건 다른 문제임
    기술 사용을 위해 너무 쉽게 프라이버시를 포기하는 것이 근본 원인임

    • 허점은 언제나 “국가 안보”임. 대법원도 이를 제대로 집행하지 않음
    • 트럼프 행정부는 마음에 들지 않는 판결은 무시하는 식으로 우회했음

  • 예전에 Chaos Computer Conference에서 독일 연구자가 정치인들의 이동 패턴을 추적한 DIY 발표가 있었음
    지금은 검색이 어려워 찾기 힘듦

  • Third Party Doctrine(제3자 원칙)을 폐지해야 함
    입법을 통해 데이터 수집과 공유의 근본 문제를 해결해야 함

    • 개발자들이 아예 사용자 데이터를 다루지 않는 제품을 만들고 이를 투명하게 공개해야 함
      품질이 비슷하다면 사람들은 프라이버시 중심 제품을 선택할 것임

  • FBI의 역할은 국내 범죄 수사임
    그런데 민간 기업이 왜 이렇게 추적 생태계에 적극적으로 참여하는지 의문임
    “불법이 아니면 걱정할 게 없다”는 식의 사고가 문제임

    • 단순히 돈벌이 비즈니스임. 데이터를 싸게 사서 비싸게 파는 구조로, 대부분의 데이터 브로커는 이미 평판이 나쁨
    • 시민 전체를 감시하는 것은 FBI의 임무가 아님
    • 기업들이 참여하는 이유는 단 하나, 임. 수익이 나면 뭐든 함
    • 불법일 때 나쁜 행위가 합법이 되면 더 나쁘고, 의무적으로 수행되면 최악임
    • 영리 기업은 주주 이익 극대화가 법적 의무임
      FBI는 제3자 원칙을 이용해 헌법 4조의 정신을 우회하고 있음
      의회는 책임을 피하려고 이를 법제화하지 않음

  • iOS에서 GUID가 사라졌는데도 광고 SDK가 어떻게 사용자 추적을 하는지 궁금함

    • 위치 데이터만으로도 개인을 식별할 수 있음
      예를 들어, 밤에는 특정 아파트 단지에 있고 낮에는 특정 사무실에 있는 패턴은 거의 유일함
    • 앱이 설치된 기기를 지문 인식(fingerprinting) 하는 것도 웹 브라우저 수준으로 쉬움
      IP, 위치, 앱 사용 패턴, 화면 크기, OS 버전 등으로 충분히 확률적 식별이 가능함

  • 글은 잘 썼지만 결론에는 동의하지 않음
    데이터는 여러 해석이 가능함

  • 이건 헌법 수정 4조를 우회하는 행위임

    • 맞음. 하지만 위헌은 아님
      Wyden 의원도 “영장 없이 미국인 정보를 사들이는 건 4조를 우회하는 분노할 일”이라 했음
      이런 이유로 미국에는 강력한 프라이버시 법이 필요함. 선거 때 이를 지지하는 후보를 찾아야 함

  • 미국은 정부와 기업에 대해 이중적 기대를 가지고 있음
    정부는 법을 지키고 투명해야 하지만, 기업은 이익만 추구하는 존재로 여겨짐
    그래서 FBI는 직접 감시하지 않고, “원래 탐욕스럽다고 인정된” 기업을 통해 데이터를 사들이는 방식을 택함
    이런 구조가 책임 회피의 완벽한 예시

답변달기