Oura, 사용자 데이터에 대한 정부 요구를 받는다고 밝혀

 (this.weekinsecurity.com)
1P by GN⁺ | ★ favorite | 댓글 1개
  • Oura ring은 심박수, 수면, 생리 주기, 위치 같은 민감한 건강 데이터를 수집하며, 서버 보관 구조가 외부 접근 가능성을 좌우함
  • Oura 데이터는 종단 간 암호화가 아니고 일부 직원이 접근 가능한 방식으로 저장돼 영장, 탈취 키, 내부자 위험에 노출될 수 있음
  • Oura는 정부 요청이 드물다고 밝히고 합법성·범위·필요성을 검토한다고 하지만, 요청 건수와 제공 빈도는 공개하지 않음
  • 2013년 NSA 감시 스캔들 이후 많은 기술 기업이 반기 투명성 보고서를 냈지만, Oura는 8개월이 지나도 공개 약속을 내놓지 않음
  • 누적 550만 개 이상 판매한 Oura가 고객 신뢰를 유지하려면 정부 데이터 요구에 대한 집계 수치 공개가 필요함

Oura 데이터와 접근 구조

  • Oura ring은 손가락에 착용하는 건강 모니터링 웨어러블로, 심박수, 수면 패턴, 생리 주기, 위치 등 민감한 건강 데이터를 수집함
  • 사용자 데이터는 Oura 서버에 저장되며, 제품과 서버 설계 방식에 따라 정부나 해커의 접근 가능성이 달라짐
  • Oura는 Department of Defense 및 Palantir와 계약한 뒤 소셜미디어에서 논란에 휘말렸고, 일부 고객은 자신의 데이터가 Trump 행정부에 넘어갈 수 있다고 우려함
  • Oura는 현재 주요 건강 기술 웨어러블 제조사 중 하나이며, 기업공개를 앞두고 기업가치가 110억 달러 이상으로 평가됨
  • Oura는 기업공개를 위한 비공개 초안 등록서 제출을 발표한 상태라, 사용자 데이터 접근 통제 책임도 더 커짐

종단 간 암호화 부재

  • Oura 데이터는 종단 간 암호화(end-to-end encryption) 되어 있지 않음
  • 사용자의 건강 데이터는 ring에서 휴대폰 앱을 거쳐 인터넷을 지나 Oura 서버에 도착하는 과정의 특정 지점에서 해독될 수 있음
  • Oura는 사용자 데이터를 일부 직원이 접근할 수 있는 방식으로 저장한다고 확인함
  • 이런 구조에서는 영장을 가진 검사, 탈취한 키를 가진 해커, 악의적인 내부자도 데이터에 접근할 가능성이 생김
  • 이 가능성 중 정부 요청은 실제로 존재한다고 Oura가 인정함

Oura가 인정한 정부 데이터 요청

  • Oura는 정부로부터 드문 요청(infrequent requests) 을 받는다고 밝힘
  • 각 요청은 “합법성, 범위, 필요성” 기준으로 검토됨
  • 요청이 유효하지 않거나, 지나치게 광범위하거나, 회원 개인정보 보호 약속과 맞지 않을 때 Oura는 반대한다고 밝힘
  • 하지만 요청 건수, 사용자 데이터 제공 빈도, 요청되는 데이터 유형은 공개하지 않음
  • Oura는 최근 기사 시점 기준으로 누적 550만 개 이상의 ring을 판매해 고객 기반 규모가 큼

투명성 보고서와 공개 지연

  • 많은 기술 기업은 2013년 NSA 감시 스캔들 이후 정부 요구 건수를 반기 단위로 집계해 공개하기 시작함
  • 이런 공개는 기업들이 정부 요청을 받으면 사용자 데이터를 대량으로 몰래 넘긴다는 의혹에 대응하기 위한 방식이었음
  • Oura는 과거 투명성 보고서를 발행하지 않았지만, “보안을 유지하고 회원에게 위험을 만들지 않는 방식으로 집계 데이터를 공유하는 방법을 적극 평가 중”이라고 밝힌 바 있음
  • 이후 8개월이 지났지만, 투명성 보고서 공개 여부나 요청 건수 공개 약속은 나오지 않음
  • 최근 재문의와 여러 차례 후속 이메일에도 Oura는 답변하지 않음

고객 신뢰를 위한 공개 필요성

  • 요청 수치가 없으면 Oura가 정부의 데이터 요구를 얼마나 자주 거부하는지, 실제로 거부한 적이 있는지 알기 어려움
  • 민감한 건강 데이터가 서버에 저장되고 일부 직원이 접근 가능한 구조에서는 정부 요청 통계 공개가 고객 신뢰와 직접 연결됨
  • Oura가 고객 신뢰를 얻거나 유지하려면 다른 기술 기업처럼 정부 데이터 요구에 대한 집계 수치를 공개해야 함

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • 일리노이에는 강한 생체정보 프라이버시법이 있음
    Oura가 예를 들어 텍사스 경찰서가 일리노이 주민의 보호 대상 정보를 조회하지 못하게 하는 데 특별히 신경 쓰고 있을 것 같지는 않음
    https://en.wikipedia.org/wiki/Biometric_Information_Privacy_...

    • 그런 조항을 무시해도 심각한 결과가 생길 가능성이 사실상 0이라면, 굳이 조심할 이유가 있나 싶음

  • “이전 블로그에서 Oura 데이터가 종단 간 암호화되지 않는다는 점을 밝혔다. 즉 Oura 사용자의 건강 데이터는 반지에서 휴대폰 앱을 거쳐 인터넷을 지나 Oura 서버에 도착하는 동안 특정 지점에서 복호화될 수 있다는 뜻이다”
    꽤 이상함. 종단 간 암호화전송 중 암호화를 혼동하는 것처럼 보임

    • 내가 이해하기로 종단 간 암호화는 전송 중 암호화를 포함
      메시지가 출발지에서 암호화되고 목적지에서만 복호화되므로, 그 사이 어디에서나 암호화된 상태임
    • 혼동으로 보이지는 않음. 글쓴이는 데이터가 종단 간 암호화되지 않는다는 점을 분명히 말하고 있음
      전송 중에는 암호화되는 것처럼 들리는데, 지난 20년 정도는 이 정도가 기본값에 가까움. “이동 중 특정 지점에서 풀린다”는 설명은 비기술 독자에게 두 방식의 실제 차이를 설명하는 데 충분히 합리적임
    • 저장 시 암호화도 안 되어 있는 것처럼 들림
      아마 각각의 전송 구간을 별도의 종단 간 IP 교환으로 보는 건가 싶음
    • 그건 종단 간 암호화와 저장 시 암호화를 혼동하는 것임
    • 아주 이상한 건 아니고, E2EE라는 말이 너무 많이 쓰이다 보니 다들 다르게 해석함. 어떤 경우에는 기대치가 비현실적이기도 함
      서버를 중개자로 쓰는 메신저 앱을 보면, E2EE는 두 사용자만 내용을 볼 수 있고 중개 회사 서버는 볼 수 없다는 뜻임. Oura는 사용자와 회사 서버만 있는데, 많은 사람은 Signal이나 WhatsApp 서버가 E2EE 때문에 데이터를 읽지 못하듯 Oura도 읽지 못한다고 가정함. 마케팅은 보통 이런 오해를 허용하거나 부추김
      다만 Oura가 E2EE를 주장한다면, 사용자와 서비스 사이의 인터페이스, 즉 반지나 적어도 앱에서 암호화를 강제해야 하고 데이터는 반대편인 Oura 서버에서만 복호화되어야 함. 이 두 끝점 사이 어느 지점에서든 데이터가 복호화된다면 E2EE가 아님

  • 월 6달러 내고 연방기관에 감시당하는 사람 같음

    • 휴대폰 요금제 광고를 보면, 대부분은 그보다 더 많이 내고 연방기관에 감시당하는 듯함
    • Claude나 Open(Closed)AI에 월 100달러 내고 연방기관에 감시당하는 게 좋음. 어떤 경우에는 Max Premium 구독으로 월 200달러를 내기도 함
      하지만 걱정 말라, 이들이 토큰을 손해 보고 팔고 있으니 이 데이터 판매는 중요하지 않다는 식임
      학습에 쓰지 않는 내 데이터는, 내가 돈을 내고 그들이 나에게서 뽑아가게 하는 구조여야 한다는 건가 싶음

  • 이 모든 걸 감안해도, 매장에서 산 스마트 TV의 자동 콘텐츠 인식(ACR) 이 더 걱정됨
    사용자는 인식조차 못 하는데, TV가 시청한 모든 것을 집으로 전송하고 있음

    • TV 시청 정보의 프라이버시가 의료 데이터보다 더 걱정된다고? 진지한 주제를 이상하게 가로채는 느낌임
    • 그게 걱정된다면 TV에 인터넷을 연결하지 말고, Shield TV나 Apple TV 같은 TV 박스를 쓰면 됨

  • 정부가 내 심박수와 혈중 산소 데이터로 대체 뭘 하겠나 싶음
    “Smith 씨가 또 달렸군, 심문하러 데려와야겠어!”
    덧붙이면, 정부가 데이터를 요청하고 있으니 분명 뭔가에 쓰고 있긴 할 텐데, 그게 뭔지 모르겠음

    • Target은 2002년에 이미 단일 상점의 보상 카드 구매 기록만으로, 부모보다 먼저 십대 소녀의 임신 여부를 추론한 것으로 악명 높았음
      기술 회사가 벤처 투자자에게 말할 때는 “집계 데이터와 인공지능으로 온갖 소름 끼치는 추론을 해 타깃 광고 매출을 극대화할 수 있으니, 같은 업종의 비기술 회사보다 50배 가치가 있다”고 함
      그런데 고객에게 말할 때는 “프라이버시를 걱정하다니 참 순진하네요, 고립된 변수 하나가 무슨 쓸모가 있겠어요?”라고 함
    • Oura에서 심박수와 혈중 산소 데이터를 사고, Eyez에서 홍채 데이터를 모으고, Borg에서 운동 데이터를 구매하고, Krump를 통해 구매 패턴을 보고, Gwimp를 통해 온라인에서 한 말을 모두 알고, FamaTree에서 염기서열 분석된 DNA를 받고, 위치 데이터는 사실상 존재하는 거의 모든 앱에서 추적함
      단일 변수 하나로 대체 뭘 할 수 있겠나?
    • 여성이면 생체 신호를 이용해 생리 주기와 생리를 건너뛴 시점을 알 수 있음
    • 미국 밖에서 달린 뒤 택시를 불렀다? 아마 대중교통을 놓쳤을 것임. 가격 올려라, 예전 Uber가 iPhone 배터리 잔량을 기준으로 하던 것처럼
      악의적으로 굴 생각만 있다면 가능성은 끝이 없음
      건강이 나쁘면 보험료를 올릴 수도 있고, 내가 떠올리지 못하는 더 나쁜 일도 가능함
    • 경찰이 사람들을 쫓던 시간에 그도 달리고 있었음. 데려와야 함

  • 그래서 Apple Watch를 아주 좋아하진 않지만 다른 건 쓰지 않음
    건강 데이터는 매우 민감하고, 그걸 맡길 만한 회사는 Apple뿐이라고 봄. 완벽하진 않지만 다른 회사와 비교하면 경쟁이 안 됨

    • 좋은 예가 Apple의 새 자체 설계 셀룰러 모뎀임. 이동통신사에 정확한 위치를 보고하지 않는 선택지를 줌
      연방기관이 고객 데이터에 접근하지 못하게 하는 가장 좋은 방법은 애초에 데이터를 수집하지 않는 것임
    • Google의 Health Connect도 이 데이터를 공유하지 않음. 물론 서드파티 앱에는 동의 프롬프트가 필요함
      오히려 어느 정도 동기화를 지원했으면 할 정도임. 같은 계정에 연결된 두 기기 사이에서도 건강 정보를 옮기려면 서드파티 앱이 필요함
      Apple도 Oura와 같은 법의 적용을 받음. 경쟁사들도 마찬가지임
    • 다시 생각해보는 게 좋을 수 있음
      Apple은 훌륭한 홍보, 혹은 선전 부서 덕분에 많은 사람이 Apple이 프라이버시를 존중한다고 믿게 만들었음. 실제로는 그렇지 않음. Google보다 “낫다”고는 해도 아주 조금이고, 현실적으로는 별 차이가 없을 정도임
      “Apple은 영국 정부가 사용자 데이터 접근을 요구하자, 영국 고객에게서 최고 수준의 데이터 보안 도구를 제거하는 전례 없는 조치를 취하고 있다”
      https://www.bbc.com/news/articles/cgj54eq4vejo
      영국에서 벌어진 일이니 미국에서도 오래 걸리지 않을 것임
      미국도 있음: https://www.bbc.com/news/technology-36084244
      프랑스, 독일, 호주, 브라질, 일본도 있음: https://www.apple.com/legal/transparency/pdf/requests-2024-H...
      러시아도 있음: https://www.bloomberg.com/news/articles/2019-02-04/apple-fil...
      중국도 있음: https://www.article19.org/resources/apple-cares-about-digita...
      일반적인 내용도 있음: https://proton.me/blog/iphone-privacy
    • 개인 데이터를 맡길 곳은 Apple 말고는 없다고 봄. 연방기관에 굴복하지 않은 기록은 황금 같았고, 말 그대로 24캐럿
    • Apple은 지금은 꽤 괜찮을 수 있음. 하지만 앞으로도 항상 그럴 거라는 보장은 없음

  • 투명성 보고서를 공개하면 현 행정부의 블랙리스트에 오르기 쉬워 보임
    실제로 공개된다면 놀랄 것 같음

  • 대체 무슨 생각으로 건강 데이터를 수집하고 파는 기기를 사고, 게다가 구독료까지 내는지 모르겠음
    그 대가로 받는 건 숫자로 된 위약 대시보드뿐임

    • 불면증이 있을 때 수면을 추적하려고 썼음
      하지만 구독료를 받기 시작한 뒤로는 전자폐기물이 됨
    • 주된 이유는 소셜 미디어임

  • Oura를 고려했지만 결국 Apple Watch를 골랐음
    마음 편하려고 연결된 iPhone에서 Advanced Data Protection을 켰음. 특히 활동 추적기 소비자 영역에서는 ADP의 종단 간 암호화와 영지식 암호화 보호에 준하는 걸 제공하는 대형 데이터 사업자가 거의 없음

    • Garmin은 완전히 오프라인으로 쓸 수 있지 않나?
      내가 알기로는 민감한 환경에서 사용할 수 있도록 무선 하드웨어가 없는 시계도 있음
    • 둘 사이에서 고민했는데, Oura가 더 나은 수면 추적과 배터리 수명 때문에 이겼음
      한 가지 방법은 Apple Health로 데이터 동기화를 켜고, 주기적으로 Oura 계정을 삭제했다가 새로 만들어 과거 건강 데이터를 지우는 것일 수 있음. 좋은 흐름은 아니지만, Oura를 쓰면서 Apple Health의 E2EE 이점을 누릴 수 있음. 물론 Oura의 “계정과 모든 데이터 삭제”가 말한 대로 작동한다는 가정이 필요함

  • 이 데이터를 왜 굳이 클라우드에 저장해야 하는지 모르겠음

    • 그들이 그걸 어떻게 읽을 거라고 기대함?
답변달기