정부 앱 ‘Fedware’: 금지된 앱보다 더 강력한 감시 수행

 (sambent.com)
1P by GN⁺ 21시간전 | ★ favorite | 댓글 1개
  • 미국 연방정부 공식 앱들이 민간 앱보다 더 많은 권한과 추적 기능을 요구하며, 위치·생체정보·기기 식별정보 등을 수집함
  • White House, FBI, IRS, TSA, CBP, ICE 등 주요 기관 앱들이 공공서비스를 표방하지만, 실제로는 추적 SDK와 데이터 공유 구조를 통해 감시 네트워크를 형성함
  • 일부 앱에는 Huawei 추적기, ICE 신고 기능, 얼굴인식 시스템까지 포함되어 있으며, 수억 장의 얼굴 이미지와 위치 데이터가 정부 기관 간 공유됨
  • IRS와 ICE의 세금 데이터 공유 사건 등으로 개인정보 보호 책임자 사임과 법원 금지 명령이 이어졌으나, 감시 인프라는 계속 작동 중
  • 정부는 웹으로 제공 가능한 정보를 앱 형태로 포장해 과도한 권한을 요구하는 ‘Fedware’ 구조를 유지하고 있으며, 사용자는 앱 설치 없이 웹·RSS로 접근할 자유를 가짐

연방정부 앱의 감시 구조

  • 연방정부 공식 앱들이 민간 앱보다 더 많은 추적 기능과 권한을 요구하며, 위치, 생체정보, 저장소, 연락처, 기기 식별정보 등을 수집함
  • White House, FBI, FEMA, IRS, TSA, CBP, ICE 등 주요 기관의 앱들이 공공정보 제공을 명목으로 배포되지만, 실제로는 과도한 권한 요청과 추적 SDK 내장을 통해 감시 네트워크에 데이터를 공급함
  • 이러한 앱들은 “Fedware” 로 불리며, 정부 감시 인프라가 앱·데이터브로커·기관 간 데이터 공유를 통해 하나의 시스템으로 작동함

  • White House 앱의 추적 기능

    • White House 앱(버전 47.0.1) 은 “행정부 접근성 제공”을 내세우지만, 정확한 GPS 위치, 지문 접근, 저장소 수정, 부팅 시 자동 실행, 다른 앱 위 표시, Wi-Fi 연결 보기, 배지 알림 읽기 등 다수의 권한을 요구함
    • Huawei Mobile Services Core 를 포함한 3개의 추적기 SDK 가 내장되어 있으며, 이는 미국 정부가 제재한 중국 기업의 추적 인프라를 공식 대통령 앱에 포함한 사례임
    • 앱에는 ICE 신고 버튼이 포함되어 있고, “Text the President” 기능은 자동으로 “Greatest President Ever!” 문구를 채워 넣으며 사용자 이름과 전화번호를 수집함
    • 별도의 앱 전용 개인정보 보호정책은 존재하지 않으며, 일반적인 whitehouse.gov 정책만 적용되어 추적 기능 관련 언급이 없음

  • FBI, FEMA, IRS 앱의 권한 및 추적기

    • FBI의 myFBI Dashboard 앱12개 권한을 요청하고, Google AdMob4개의 추적기를 포함해 광고 SDK를 통해 사용자 데이터를 수집함
    • FEMA 앱28개 권한을 요구하며, 최신 버전(v3.0.14)에서는 1개의 추적기만 남았지만 여전히 과도한 권한을 사용함
      • 주요 기능은 재난 알림과 대피소 위치 제공에 한정됨
    • IRS2Go 앱3개의 추적기와 10개의 권한을 포함하며, Privacy Impact Assessment 미완료 상태에서 공개되어 OMB 규정 위반
      • 기기 ID, 앱 활동, 충돌 로그를 제3자와 공유하며, 환급 정보 암호화 여부도 확인되지 않음

생체정보 수집과 감시 확장

  • CBP, TSA, ICE 관련 앱의 생체정보 수집

    • MyTSA 앱9개 권한과 1개의 추적기를 포함하며, 위치정보를 로컬에 저장한다고 명시함
    • CBP Mobile Passport Control 앱14개 권한(7개는 ‘위험’ 등급) 을 요청하며, 백그라운드 위치 추적, 카메라, 생체인증, 외부 저장소 접근을 포함함
      • CBP 생체정보 시스템은 얼굴 데이터(faceprint)를 최대 75년간 보관하고 DHS, ICE, FBI와 공유함
    • Mobile Fortify 앱 은 ICE 요원이 사용하는 얼굴인식 앱으로, DHS·FBI·국무부 데이터베이스의 수억 장의 이미지를 활용함
      • Clearview AI와 9.2백만 달러 계약을 체결해 500억 장 이상의 얼굴 이미지 접근권을 확보함
      • CBP는 미국 시민 포함 모든 사진을 15년간 보관한다고 명시함
      • EFF 조사에 따르면 사용자는 얼굴인식 스캔을 거부할 수 없으며, 생체 매칭만으로도 이민 신분이 결정될 수 있음

  • ICE의 SmartLINK와 데이터 브로커 활용

    • SmartLINK 앱 은 ICE의 전자감시 도구로, GEO Group 자회사 BI Incorporated22억 달러 계약으로 개발함
      • 위치, 얼굴, 음성, 의료정보(임신 여부 포함), 연락처 번호 등을 수집
      • ICE는 수집된 데이터를 “무제한 사용·처분·공개” 할 권리를 가짐
      • 2019년 6,000명에서 2022년 23만 명 이상으로 사용자 급증
      • 2019년에는 GPS 데이터를 이용해 6개 도시에서 약 700명 체포
    • 정부 기관들은 앱 외에도 Venntel 등 데이터 브로커를 통해 매일 250억 개 이상의 위치 포인트를 구매함
      • DHS, FBI, DOD, DEA가 영장 없이 데이터 구매
      • 국방부는 기도 앱 위치 데이터를 이용해 무슬림 커뮤니티를 감시함
      • 경찰은 인종 정의 시위 참가자 추적에도 활용함

IRS-ICE 데이터 공유 사건

  • 2025년 4월, IRS와 ICE는 추방 대상자의 이름·주소·세금 데이터 공유 MOU를 체결함
    • ICE는 128만 명의 이름을 제출했고, IRS는 잘못된 납세자 데이터 수천 건을 오전송
    • IRS 국세청장 대행과 개인정보보호 책임자가 항의 후 사임
    • 2025년 11월 연방법원은 추가 공유를 금지했으나, IRS는 이미 자동화된 대량 주소 제공 시스템을 구축 중이었음

통합 감시 인프라와 감독 부재

  • 각 기관의 앱, 데이터베이스, 브로커 계약이 단일 감시 파이프라인으로 연결되어 있으며, 어느 기관도 전체를 통제하지 않음
  • GAO 2023년 보고서에 따르면, 2010년 이후 발행된 개인정보·보안 권고 236건 중 약 60%가 미이행 상태
  • 의회는 2013년과 2019년에 포괄적 인터넷 개인정보법 제정을 권고받았지만 미이행
  • 감독은 형식적 절차에 불과하며, 보고서와 청문회 이후에도 계약은 갱신되고 데이터 수집은 지속

결론: 앱이 아닌 웹으로 접근할 자유

  • 정부는 웹과 RSS로 제공 가능한 공공정보를 앱 형태로 포장해 과도한 권한을 요구
  • 앱은 웹페이지가 수행할 수 없는 감시 기능—지문 읽기, 백그라운드 GPS 추적, 계정 목록 접근—을 수행함
  • 사용자는 브라우저와 RSS 리더만으로 동일한 정보 접근 가능하며, 정부 앱 설치 없이도 공공정보 이용 가능
  • “Fedware”는 공공서비스를 가장한 감시 도구이며, 사용자는 자신의 기기에서 무엇이 실행되는지 스스로 결정해야 함
GN⁺ 21시간전  [-]
Hacker News 의견들

  • 이 앱에는 “대통령에게 문자 보내기” 버튼이 있는데, 자동으로 “Greatest President Ever!”라는 문구를 채워 넣고 이름과 전화번호를 수집함
    현실이 풍자 사이트 The Onion보다 더 황당해진 느낌임. 기사 나머지는 너무 우울해서 “와, 역겹다” 정도밖에 할 말이 없음

    • 어릴 때 북한 관중들이 기립박수 치고 기절하는 영상을 보고 얼마나 어리석은가 생각했는데, 이제는 그런 생각이 안 듦
    • 사람들은 북한의 선전은 보면서 자기 나라에서 벌어지는 건 왜 못 보는지 이해가 안 됨
    • 요즘 The Onion은 오히려 좋은 뉴스로 전환했는데, 그게 더 황당함
      관련 기사
    • 세상을 지배하려는 억만장자들의 행동이 너무 오글거림. 부를 좇는 성향이 정신적 문제와 연관 있는 게 아닌가 싶음

  • 마지막 요점이 핵심임 — 이런 앱들은 전부 웹페이지로 대체 가능
    네이티브 앱을 내는 유일한 이유는 브라우저가 제공하지 않는 API 접근 때문임. 예: 백그라운드 위치, 생체인증, 기기 ID, 부팅 트리거 등

    • 여러 프로젝트에서 PM들이 웹앱을 앱스토어에 올리자고 했음. 사용자들이 앱스토어에서 앱을 받는 걸 당연하게 여기기 때문임
      하지만 실제로는 고객들이 웹사이트를 더 좋아한다는 피드백도 있었음. 앱 배포는 시간과 리소스 낭비였음
      마케팅팀은 이미 Google Analytics 등으로 충분한 데이터를 얻고 있어서 네이티브 API 데이터에는 관심이 없음
    • 정부가 쓸 만한 웹페이지를 만들 거라고는 믿기 어려움
      realfood.gov
    • 단순한 보도자료 앱이라도 실제로 다운로드하는 사람이 있음. 예를 들어 FBI에 관심 있는 학생이나 직원 가족일 수도 있음
      앱이 존재할 이유는 있을 수 있지만, 형편없는 품질은 정당화되지 않음
    • 대기업이 하는 걸 정부가 따라 함. 영국의 Companies House는 이제 Onegov ID를 요구함
      웹버전은 보안질문을 요구하고, 결국 앱을 쓰거나 우체국에 직접 가야 했음
      Occado도 앱에서는 주문 변경이 쉬운데 웹에서는 다시 결제해야 함. 왜 이런 차이를 두는지 의문임
    • 오늘 아침 TSA 대기시간을 확인하려 했는데, 앱 설치를 요구함
      링크

  • 이런 게시물이 그래픽/애니메이션 덕분에 업보트되는 건가 궁금했음
    스크롤할 때마다 반복 재생되는 애니메이션 때문에 읽기 힘들고, AI 생성된 듯한 그래픽이 많아서 신뢰가 안 감

    • 단순히 그래픽 때문이 아니라, 정부 기술 문제를 논의하기 위한 신호로 업보트되는 경우가 많음
      콘텐츠 자체보다 토론의 장으로서 의미가 있음
    • 정부 앱의 스파이웨어 수준 추적이 화제라서 업보트되는 것임. 단순 HTML/CSS여도 비슷한 반응이었을 것임
    • 행정부 비판”이라는 메시지 자체가 업보트 이유일 수도 있음
    • 사이트 디자인과 글이 이상하게 느껴짐. 예를 들어 이 글도 좀 불안정해 보임
      참고 링크
    • 처음엔 기사인 줄도 몰랐음. 상단의 그리드가 단순 인덱스 페이지인 줄 알았음

  • PACER에 가입해 법원 문서를 받으려 했는데, 이름·생일·주소·전화·이메일·신용카드 정보까지 요구함
    어머니의 성이나 보안질문도 있는 듯함. 이런 개인정보 덩어리가 유출되면 끔찍할 것임
    게다가 계정 활성화를 위해 1시간 동안 전화 대기해야 했음

  • 어제 호기심에 White House 앱을 깔았다가 바로 지웠음
    이미 데이터는 다 빠져나갔을 듯함. 이런 과도한 트래킹이 App Store나 Google Play의 정책 위반 아닌가 싶음

  • 예전에는 사람들이 Hatch Act를 진지하게 여겼던 시절이 있었음

  • 이런 앱들은 절대 쓰지 않음. 내 모든 기기는 Linux 기반이고, 비자유 소프트웨어는 거의 안 씀
    폰에는 브라우저 몇 개만 있고, 위치·센서·카메라·마이크 접근은 전혀 허용하지 않음

    • 앱은 데이터를 수집할 수 있고, 요즘은 많은 기능이 앱을 요구함

  • 미국 정치의 이중성이 드러남. “우리는 뭐든 할 수 있지만, 남들은 안 된다”는 태도임
    Apple이 개인정보를 보호한다고 하더니, 이제는 성인 인증을 위해 민감한 문서 제출을 요구함. 자업자득임

  • 대부분 문제적이지만, FEMA 앱이 위치 접근을 요구하는 건 합리적임
    목적이 근처 대피소 안내이기 때문임

  • 이런 앱들은 꼭 필요할 때만 설치하고, 끝나면 바로 삭제해야 함

답변달기