Deception, exploited workers, and cash handouts: How Worldcoin recruited its first half a million test users

암호화폐 스타트업 월드코인이 벌인 기만극…피해는 누가 봤나

스타트업인 월드코인은 공정하게 분배된 암호화폐 기반의 '보편적 기본 소득'을 주겠다고 약속했다. 하지만 지금까지 한 일이라고는 이런 약속을 미끼로 얻은 가난한 사람들의 생체인증 정보를 갖고 데이터베이스를 구축한 게 전부다.

2021년 12월 어느 화창한 날 인도네시아 웨스트자바주 구눙구루(Gunungguruh)에서 가구 제작자로 일하는 35세 아이유스 루스완디는 어머니가 깨우는 소리에 아침 일찍 일어났다. 어머니는 한 기술회사가 마을 이슬람 초등학교에서 ‘사회부조 증정 행사(social assistance giveaway)’를 벌이고 있다며 빨리 가보라고 아들을 재촉했다. 루스완디는 사람들이 길게 늘어선 줄에 합류했다. 그중 어떤 이는 새벽 6시부터 줄을 섰다. 가계경제가 팬데믹으로 큰 타격을 입은 상황에서, 원조 행사라면 어떤 것이든 사람들에게 환영받았다.

줄 맨 앞쪽에서 암호화폐 스타트업 ‘월드코인(Worldcoin)’의 인도네시아지부 담당자는 주민들의 이메일 주소와 전화번호를 수집하고 있었다. 다른 직원은 미래지향적으로 생긴 구(球) 형태의 금속을 사람 얼굴 가까이에 대며, 홍채를 비롯한 생체인증 데이터를 스캔했다. 지역 공무원도 그 자리에 있었는데, 그는 질서 유지를 위해 사람들에게 순번표를 나눠주고 있었다.

루스완디는 월드코인 담당자에게 무슨 자선 활동을 하는 것인지 물었지만, 새로운 정보를 얻지는 못했다. 그저 그의 어머니가 말했던 것처럼 ‘돈을 지급하고 있다’는 답변이 돌아올 뿐이었다.

월드코인이 방문한 지역이 구눙구루뿐 만은 아니었다. 그들은 전 세계 개발도상국을 위주로 24개 국가의 대학 캠퍼스, 지하철역, 시장, 도심지들에 출몰했다. 웨스트자바 전역에도 월드코인 담당자들이 마을마다 하루이틀씩 나타나 비슷한 일을 벌였다. 그들은 자신들의 저의는 거의 드러내지 않은 채, 공짜로 돈을 주는 대신 생체인증 정보를 수집해갔다. 

이 일로 루스완디를 비롯해 많은 사람이 당혹감을 느꼈다. 월드코인은 이 수많은 사람들의 홍채 정보로 무엇을 하려던 것일까?

생체인

월드코인이 루스완디가 살고 있는 마을을 방문하기 두 달 앞서 미국 샌프란시스코에 기반을 둔 ‘툴즈 포 휴머니티(Tools for Humanity)’라는 회사가 비밀보안 유지상태인 ‘스텔스 모드’에서 벗어났다. 월드코인은 그 회사의 상품이었다.

이 회사의 홈페이지에서는 월드코인을 이더리움 기반의 ‘공동 소유 방식의 새로운 글로벌 화폐이며, 가능한 한 많은 이들에게 공평하게 분배될 것’이라고 소개했다. 그들은 전 세계 사람 누구나 ‘크롬 오브(chrome orb)’로 홍채를 스캔하는 데 동의하기만 한다면, 무료로 이 코인을 얻게 될 것이라고 했다. 크롬 오브는 이 회사에서 홍채 스캔을 위해 특별히 제작한 기계로, 로봇의 머리통처럼 생긴 금속 구를 말했다.

또한 홈페이지에는 ‘모든 사람이 각자 자신에게 할당된 몫의 디지털 화폐를 얻어야 한다’는 월드코인의 유일한 공정성 원칙을 지키기 위해 크롬 오브가 필수적이라고 설명했다. 코인을 이중 수령하는 일이 발생하지 않도록 확실히 하기 위해 크롬 오브는 참가자의 홍채를 포함한 기타 생체인증 데이터를 스캔한다. 그리고 아직 이 회사가 개발 중인 전용 알고리즘을 사용하여, 월드코인의 데이터베이스에서 참가자가 중복되지 않았다는 사실을 암호로 확인한다.

작년 여름 최초로 이 회사와 관련된 보도를 냈던 블룸버그와의 인터뷰에서 실리콘밸리의 액셀러레이터 기업 ‘와이 콤비네이터(Y Combinator)’의 전임 사장인 샘 알트먼(Sam Altman)은 “나는 보편적 기본 소득(universal basic income, UBI)이나 세계 부의 재분배와 같은 일에 매우 관심이 많다”고 말했다. 그는 이어 이를 전 세계적으로 이룰 수 있는 기술을 활용할 수 있는 방법을 묻는 블룸버그 기자의 질문에 “월드코인이 그러려고 한다”고 답했다. (알트먼은 MIT 테크놀로지 리뷰와 주고받은 이메일 서신에서도 UBI에 대한 자신의 신념을 되풀이했다. 그는 “UBI가 사람들이 자기 잠재력을 최대한 발휘하도록 돕는 강력한 요소”라서 “이곳에서 실험과 아이디어가 계속되고 있다니 흥분된다”고 밝혔다.)


월드코인은 이제 막 시작했을 뿐이다. 이 회사는 2023년까지 가입자 10억 명을 목표로 하고 있다.

같은 기사에서 당시 월드코인의 CEO였던 27살의 알렉스 블래니아(Alex Blania)는 “전 세계 많은 인구가 아직 금융 시스템에 접근하지 못하고 있다”면서 “가상화폐(Crypto)는 우리가 그러한 곳에도 영향을 미칠 수 있게 해 준다”고 말했다. (블래니아를 비롯한 사람들은 ‘월드코인’이라는 명칭을 회사를 지칭하는 동시에 그들의 화폐를 지칭할 때도 썼다. 본 기사에서도 같은 방식으로 사용한다.)

하지만 월드코인은 이러한 공상적 박애주의의 의도를 가졌을 뿐 아니라, ‘웹 3,0’의 중요한 기술적 문제 또한 해결할 수 있다. 최근 열풍을 몰고 있는 웹 3.0이란 블록체인 네트워크 기반의 3세대 인터넷을 의미한다. 이곳에서는 소수기업에 한해 데이터와 콘텐츠가 독점되지 않고, 이용자 개인이나 집단이 이를 직접 소유한다. 즉 ‘탈중앙화된(decentralized)’ 가상공간인 것이다.

블래니아는 MIT 테크놀로지 리뷰와의 인터뷰에서 웹 3.0의 주요 과제 중 하나로 ‘이용자가 상대적으로 부족하다’는 점을 짚었다. 그러면서 월드코인으로 “새로운 규약의 소유권을 모두에게” 부여한다면, 지금껏 “가상화폐와 웹 3.0의 시대로 전환하는 데 있어 가장 빠르고 큰 규모의 수단”이 될 것이라고 말했다.

또한 블래니아에 따르면 월드코인은 생체인증 정보를 통해 개개인을 식별하기 때문에 탈중앙화 기술의 또 다른 “매우 근본적인 문제점”, 즉 ‘시빌 공격(Sybil attacks)’의 위험성을 해소할 수 있다. 이 네트워크 해킹 공격은 한 사람의 행위를 여러 사람의 행위인 것처럼 속이는 방식으로 이루어지기 때문에, 특히 필명을 주로 사용하는 탈중앙화된 네트워크에서 더욱 위험성이 높다고 할 수 있다. 그동안 시빌 공격을 원천적으로 차단하기는 몹시 어려운 일로 여겨져, 이러한 약점이 웹 3.0을 대중화하는 데 또 하나의 장애물로 생각되었다.

월드코인은 24개국에서 현장 테스트를 완료했다. 이 홍보 사진들은 (좌에서부터 우로) 수단, 인도네시아, 칠레, 케냐에서 촬영되었다.

앞서 언급한 두 가지 문제에 대한 해결책이 될 수 있다는 점에서 블래니아는 월드코인이 “개인 식별(proof-of-person)과 배급 확대를 위해 모두가 사용할 수 있는 개방 플랫폼”이 될 수 있다고 말했다. 월드코인의 장래를 희망적으로 본다면 맞는 주장이다. 만약 이렇게 될 경우 월드코인은 차세대 인터넷의 보편적인 인증 수단이 될 수 있으며, 그 사실이 월드코인의 가치를 높여줄 것이다. “투자자들은 월드코인 프로젝트가 세상에 가치로운 것을 가져다주길 바라며, 결과적으로 월드코인 자산 혹은 토큰의 시세가 오르길 바란다”라고 월드코인 측은 이메일에서 밝혔다.

이것이 어쩌면 실리콘밸리의 몇몇 거물이 월드코인에 자본을 쏟아붓는 이유일 것이다. 실리콘밸리의 유명 투자사인 안드레센 호로위츠(Andreessen Horowitz)는 최근 월드코인 스타트업의 모금 회차에서 1억 달러(약 1230억 원) 규모의 투자를 주도했다. 그 결과 월드코인 회사의 가치는 10억 달러에서 30억 달러로, 세 배 불어났다.

월드코인이 스텔스 모드에서 풀리기도 전에 이미 그들은 12개국에서 30개 이상의 크롬 오브로 현장 테스트를 시행했다. 이 과정에서 약 10만 명이 생체인증 스캔을 제공했다. 하지만 이것은 단지 시작일 뿐이다. 월드코인은 2023년까지 가입자 10억 명을 목표로 하고 있다.

월드코인의 등록 및 배포 과정을 더 잘 이해하기 위해, MIT 테크놀로지 리뷰는 인도네시아, 케냐, 수단, 가나, 칠레, 그리고 노르웨이의 총 6개국에서 35명의 관련자와 인터뷰를 진행했다. 그들 중에는 월드코인에서 일한 사람, 월드코인에서 본인의 홍채를 스캔한 사람, 참여하려 했으나 실패한 사람들도 포함되어 있었다. 우리는 인도네시아에서의 모집 행사에서 가입자들의 홍채가 스캔 되는 과정을 관찰했다. 그리고 소셜 미디어와 휴대전화 채팅방에서 이와 관련해 무슨 대화가 오고 가는지 보았으며, 구글 플레이와 애플 앱스토어에 있는 월드코인 지갑 앱의 후기를 참고하였다. 또한 우리는 블래니아를 인터뷰했고, 툴즈 포 휴머니티의 홍보 담당자인 아나스타샤 골로비나(Anastasia Golovina)와 서신을 주고받았다. 우리가 조사한 내용과 질문에 대한 의견을 듣기 위해 월드코인 측에 구체적인 내용도 전달하였다.

우리가 조사한 결과 ‘프라이버시를 보호하는 데 주력한다는 월드코인의 표어와 실제 이용자 경험 사이에는 큰 간극이 존재하는 것으로 나타났다. 우리는 이 회사의 모집 담당자들이 기만적인 마케팅을 펼친다는 사실을 발견했다. 그들은 가입 시 실제로 말한 것보다 더 많은 개인 정보를 수집했으며, 참가자들로부터 유의미한 사전동의(informed consent)를 얻는 데 실패했다. 이 회사의 개인정보 수집은, 그들이 개인정보 수집 동의서에서 인정한 바와 같이 유럽연합(EU)의 일반 개인정보 보호법(General Data Protection Regulation (GDPR))을 위반했을 소지가 다분할 뿐만 아니라, 해당 국가의 법도 위반한 것으로 생각된다.

2022 3월 초 오브가 제작되는 장소인 독일 에르랑겐(Erlangen)에서 이루어진 블래니아와의 화상 인터뷰에서 그는매끄럽지 못한 점이 있었음을 인정했다. 그는 이 문제의 원인을 회사가 아직 스타트업 단계에 있기 때문에 어느 정도 불안정한 측면이 있다는 데 돌렸다.

그는 이렇게 말했다. “그쪽에서 이 점을 알고 있는지는 모르겠지만 취재하는 분은 지금 시리즈A 투자 단계에 있는 회사가 진행한 테스트 활동을 들여다본 것이다. 현재 우리 일에 투입된 인력은 소수에 불과하다. 우버 같은 회사처럼 수백 명이 수없이 많은 테스트를 하는 게 아니다.”

크롬 오브

우리가 3월 블래니아를 만날 무렵 월드코인은 이미 25개국에서 45만 명의 얼굴, 신체, 두 눈을 스캔해 수집한 상태였다. 그중 14개국은 세계은행에서 정한 개발도상국에 해당했고, 8개국은 아프리카 대륙에 위치한 나라였다.

월드코인 배포의 중심에는 최첨단 크롬 오브가 있었다. 이 회사의 블로그 게시물에서 묘사한 바에 따르면 크롬 오브는 첨단 카메라와 센서를 장착하여 홍채를 스캔할 뿐 아니라 ‘이용자’의 신체, 얼굴, 두 눈을 촬영한 고화질 사진을 수집했다. 최근까지만 해도 그들의 데이터 제공 동의서에는 이 회사가 ‘비접촉 도플러 레이더 탐지를 이용해 이용자의 심박동, 호흡, 기타 생체 신호’를 수집한다고 기재되어 있었다. MIT 테크놀로지 리뷰가 보낸 질문에 대한 답변에서, 월드코인은 단 한 번도 생체 신호 탐지를 실행한 적이 없으며 이후 이 문구를 동의서에서 삭제했다고 밝혔다.

생체인증 정보는 ‘아이리스해시(IrisHash)’라는 것을 생성하기 위해 사용되었다. 아이리스해시란 오브 내에서 저장되는 코드를 말한다. 월드코인은 이 코드가 절대 공유되지 않는다고 했지만, 이 코드에 해당하는 이용자가 월드코인의 데이터베이스에 이미 존재하는지 확인하는 데에는 사용한다고 언급했다. 이를 위해서 이 회사는 일명 ‘영지식 증명(zero-knowledge proof)’이라고 알려진 새로운 프라이버시 보호 암호화 기법을 사용한다고 했다. 만약 알고리즘이 부합되는 정보를 찾으면, 이는 해당 참여자가 이미 가입을 시도했던 적이 있다는 사실을 가리킨다. 그렇지 않을 경우, 이 참여자는 유일성(uniqueness) 검사를 통과하게 되고, 이메일 주소, 전화번호, 월드코인 지갑에 접근할 수 있는 QR 코드를 통해 등록을 계속 이어 나갈 수 있다. 이 모든 과정은 수 초 만에 일어난다.

월드코인은 생체인증 정보가 오브에 저장되어 있다가 업로드 된 이후 삭제된다고 말했다. 그 경우가 아니라면 홍채를 인식하거나 사기를 감지하기 위한 월드코인 AI의 신경망 훈련을 마치고 나서 삭제될 것이란 설명이다. 월드코인의 블로그 게시물에는 “우리는 완료 시점보다 현장 테스트 단계 중에 더 많은 데이터를 수집하고 안전하게 저장하고 있다”면서 “우리는 현장 테스트 단계 중에 수집하여 보유하고 있는 모든 생체인증 데이터를 자사 알고리즘이 완전히 학습한 후에 삭제할 것”이라고 나와 있었다.

본 기사가 발행되기 직전 월드코인 측은 우리의 질문에 대해 추후 자사 시스템의 공개 버전에서는 신규 이용자들이 회사와 생체인증 정보를 공유할 필요가 없어질 것이라고 말했다.

불필요한 차용증

그러나 우리는 신규 모집 과정이 보통 어떻게 진행되는지 알고 있다. 신규 이용자의 스마트폰에 월드코인을 넣기 위해 이 회사는 지역 ‘오브 모집인(orb operators)’과 계약을 맺고 그들 국가나 지역 단위에서 가입 실태를 관리한다.

모집인 자리에 지원한 사람은 월드코인 팀과 인터뷰를 거쳐 승인된다. 이 회사의 대변인 골로비나는 이메일에서 모집인은 “계약자와 독립적인 관계이며 월드코인 소속 직원이 아니다”라고 강조했지만 말이다. 그렇게 그들은 임금 지불에 대한 계약이나 보장 없이 일하며, 그 대신 그들이 수집하는 개개인의 생체인증 정보에 대한 수수료를 받는다. 하지만 골로비나는 그들이 반드시 “해당 지역의 노동법을 포함해 법과 규제를 따라야 한다”고 덧붙였다.

이러한 지역 단위의 모집인은 수수료를 스테이블코인(stablecoin)인 테더코인(Tether)으로 지급받는다. 스테이블코인은 일종의 암호화폐로 주로 미국 달러와 같은 법정 화폐와 1대 1로 가치가 고정되어 가격 변동성이 최소화된 화폐를 뜻한다. 수완 좋은 모집인의 경우 하청인을 고용해 신규 이용자의 홍채를 스캔하고 등록하는 과정에서 조력을 받는다. 이를 통해 가입자 수를 폭발적으로 늘릴 수 있으며, 그만큼 수수료도 많이 받을 수 있다.

한편 신규 이용자들은 생체인증 정보를 스캔하여 제공하는 대가로 현재 15달러 상당의 월드코인(WLD)을 얻는다. 그리고 월드코인 지갑에 로그인하면 추가로 5달러를 더 받는다. 어떤 사람들은 이 모든 보상을 한 번에 받지만, 또 다른 이들은 주당 2.5달러씩 지급받는다. 블래니아는 가장 효과적인 인센티브가 어떤 형태인지 시험해 보기 위해 차이를 둔 것이라고 설명했다. 둘 중 어떤 방식이든, 그들이 받는 월드코인은 스테이블코인이 아니다. 그리고 화폐가 아직 런칭하지 않았기 때문에 월드코인 측도 미국 달러로 20달러에 해당하는 WLD 토큰이 앞으로 얼마가 될지는 아직 모르는 것이 사실이다.

월드코인 측에서 이용자 인센티브 효과를 조사하기 위해, 어떤 가입자들에게는 20달러 상당의 월드코인 대신 비트코인을 대신 받을 수 있는 선택지가 주어졌다. 이 경우 이용자들은 이를 쉽게 현금화할 수 있었다. 월드코인은 “가장 참여도 높은 이용자층은 WLD를 고수했다”고 말했지만, 우리가 인터뷰한 이들은 많은 사람이 비트코인을 선택했다고 말했다.

하지만 이 선택지는 2021년 가을 이후로는 더 이상 유효하지 않다. 현재로서 20달러 상당의 월드코인을 받는 것은 이 회사로부터의 차용증(IOU)에 불과하며, 사람들이 디지털 지갑에 보유하고 있는 어떠한 WLD 토큰도 전혀 가치가 없다.

기회를 노리기

월드코인의 이용자들은 다양한 이유에서 가입을 수락했다. ‘호기심’ 때문이란 이유가 가장 흔했다. 오브 모집인의 인상이 좋았기 때문이라는 답변도 많이 나왔다. 혹은 형제자매, 사촌, 동급생이 모집인이어서 참여했다는 답변도 있었다. 일부는 월드코인이 차세대 비트코인이 되었으면 하는 바람을 품고 이를 초창기에 얻기 위해 참여했다. 또 다른 이들은 팬데믹 기간 동안 실직하거나 수입을 잃었기 때문이라고 답했다. 몇몇은 근처에서 내전이 다시 일어날 위기에 처하자, 아예 자포자기에 빠졌다. 대부분은 그저 공짜 돈을 원했다. 많은 사람들이 월드코인을 사기라고 의심했지만, 그럼에도 사기가 아닐 일말의 가능성을 포기하려는 사람은 거의 없었다.

루스완디는 이러한 범주에 해당하는 경우였다. 그는 팬데믹 기간 동안 가구 제작자로서의 일거리를 많이 잃었다. 그는 여유 시간을 주식과 암호화폐를 거래하거나 암호화폐 관련 인터넷 게시판을 드나드는 데 썼다.

그는 “나는 호기심이 들었고, 이를 시도하는 것만으로 해가 되지는 않을 거라고 생각했다”면서 “그리고 그의 소득이 줄었기 때문에 이런 돈이 매력적이었다”고 회상했다.

하지만 그는 곧 의문을 품었다. 그 자리에 있던 월드코인 담당자나 지역 공무원 중 누구도 월드코인에 대한 기초적인 질문에 대해 답하지 못했기 때문이다. 인터넷으로 검색을 해보았지만, 그는 별다른 소득을 얻지 못했다. 루스완디는 이를 사기라고 결론지었다. 그는 이 이상한 증정 행사가 비밀스러운 ‘오프라인 에어드롭(offline airdrop)’으로 위장한 대규모 데이터 수집 활동이라고 생각하게 되었다. 오프라인 에어드롭이란 암호화폐 프로젝트들이 이용자를 끌어모으기 위해 무료 토큰을 출시하는 전략을 말한다.

결국 마을 이웃 대부분의 인터넷에 대한 이해 폭이 스마트폰에 설치되어 있던 페이스북 앱 정도로 협소했기 때문에, 월드코인 담당자들은 예비 이용자들이 새로운 화폐를 받기 전에 “먼저 수많은 주민이 이메일 주소를 개설하고 인터넷에 로그인 하는 것부터 도와야 했다”고 루스완디는 기억했다. 그는 월드코인이 새로운 암호화폐로 이용자들을 끌어들이려는 게 목적이었다면, 애초에 암호화폐 애호가나 커뮤니티 대신 저소득층을 타깃으로 삼은 이유가 무엇인지 의아해했다.

생채인식을 둘러싼 의혹

2021년 10월, 월드코인이 “우리가 왔다!”고 선언했을 때 그들은 그 즉시 논란에 직면했다.

미국 국가안보국(NSA) 내부 고발자 에드워드 스노든(Edward Snowden)은 “안구를 카탈로그화 하지 말아라. 사기를 방지한답시고 생체인증을 쓰면 안 된다. 애초에 생체인증 정보를 어떤 용도로도 사용하지 말아야 한다. 인간의 몸은 검표 기계가 아니다. (Don’t catalogue eyeballs. Don’t use biometrics for anti-fraud. In fact, don’t use biometrics for anything. The human body is not a ticket-punch.)”라는 트윗을 올렸다.

portrait of Iyus Ruswandi
인도네시아 웨스트자바주의 구눙구루에 위치한 월드코인 행사 장소 앞에 선 아이유스 루스완디의 모습. 그는 이 회사가 왜 홍채 스캔을 필요로 하는지 몹시 궁금해했지만 어떠한 답변도 듣지 못했다.
MUHAMMAD FADLI; PREVIOUS: ISTOCK, COURTESY OF WORLDCOIN

많은 사람이 월드코인의 프라이버시 규약을 의심했다. 특히 이 회사가 아직 외부 평가를 위해 백서를 내거나 코드를 공개한 적이 없기 때문에 더욱 그랬다. 스노든은 또한 트위터로 “이는 마치 (‘공정성’을 위해) 사람들의 홍채 스캔에 대한 세계적인 (해시) 데이터베이스를 만드는 것처럼 보이며, ‘우리는 스캔본을 삭제했다!’라고 말하면서 이 행위의 함의를 일축해버린다. 그렇다, 하지만 스캔을 통해 생성된 *해시*는 남는다. *미래* 스캔과 일치하는 해시 말이다. (This looks like it produces a global (hash) database of people’s iris scans (for ‘fairness’), and waves away the implications by saying ‘we deleted the scans!’ Yeah, but you save the *hashes* produced by the scans. Hashes that match *future* scans,)”라고 말했다.

어떤 사람들은 코인의 20%가 이미 ‘월드코인 정직원들에게 10%, 안드레센 호로위츠와 같은 투자자들에게 10%를 지급’하는 형태로 할당되었다는 사실로부터, ‘공정성에 초점을 맞춘다’는 그들의 주장이 사실과 다르다며 이의를 제기했다.

블록체인 분야의 많은 관계자들은 심지어 월드코인이 구축하려고 했던 것의 근본적인 전제에 동의하지 않았다. ‘웹 3.0을 통해 단일한 정체성을 만드는 것은, 익명 거래를 위해 블록체인, 탈중앙화된 금융, DAO(탈중앙화 자율조직)로 전환해 나가는 운동에 대한 배척이나 다름없었다.

블래니아와 그의 팀은 이러한 비판에 동의하지 않는다. 그는 MIT 테크놀로지 리뷰와의 대화에서 “우리 팀의 많은 인력이 암호와 관련된 배경을 가지고 있다”면서 “따라서 우리는 이 문제[프라이버시]에 큰 관심을 두고 있다”고 말했다. 그는 “걱정을 충분히 이해한다”고 하면서도 “이러한 의견이 객관적인 비판보다는 감정적이고 본능적인 반응이라고 생각한다”고 말했다. 그는 월드코인의 개인정보 보호 규약이 아직 완성되지 않았으며, 완성될 경우 얼마나 효과적일지에 대해서는 비판론자들이 다루고 있지 않다고 덧붙였다.

의문스런 유인책

MIT 테크놀로지 리뷰가 인터뷰한 많은 사람의 증언에 따르면 월드코인의 모집인들은 신규 이용자를 모집하기 위해 의문스러운 전략과 유인책을 썼다.

예를 들어, 2022년 3월 아프리카 수단에서 모집이 시작되었을 때, 가입자 수에 따라 임금을 받기로 했던 한 모집인 모함마드 아메드 압달바기(Mohammad Ahmed Abdalbagee)는 “이메일조차 없는 사람들에게 디지털 화폐의 개념을 설명하는 것에 어려움을 느꼈다”고 말했다. 그는 수단에서 오브 모집인으로 일했던 네 명 중 한 명이었다. 그래서 그들은 사람들의 가입을 장려하기 위해 에어팟을 경품으로 내걸었다. 그 결과 2만 명이 가입했다.

그러나 월드코인 측은 이것이 표준적인 활동이 아닌 “해당 지역 오브 모집인에 의한 독립적이고 본사와 무관한 활동”이라고 말했다. 그리고 “우리는 모집인들이 월드코인 사용에 호응하는 이용자들을 가입시키도록 인센티브를 지급하는 데 전적으로 집중하고 있다”고 덧붙였다.

더 최근에 웨스트자바의 약 20여 마을에서 열렸던 모집 행사에서도 아이유스 루스완디와 같은 많은 신규 이용자들이 무료 증정을 받는 것에 이끌렸다. 이 행사는 팬데믹 도중에 열렸는데, 이 시기에는 정부 주관의 사회부조 행사가 많았다고 월드코인 행사 장소로 사용되었던 초등학교의 교장 에체 물랴나(Ece Mulyana)가 말했다. 그는 이 행사가 있다는 사실을 행사 전날 밤에서야 통보받았다. 이 지역에서 월드코인 주민 등록 행사가 열릴 수 있게 협조한 아데 이르마(Ade Irma)는 지역 정부의 고위 관료였기 때문에, 물랴나는 이 요청을 거부할 수 없었다고 말했다.


“월드코인이 새로운 암호화폐로 이용자들을 끌어들이려는 게 목적이었다면 애초에 암호화폐 애호가나 커뮤니티 대신 저소득층을 타깃으로 삼은 이유가 무어일까?

물랴나에 의하면 이르마는 등록한 사람 한 명당 2,000 인도네시아 루피아(IDR)를 그에게 지불했다고 한다. 물랴나는 약 170명이 등록했으며, 총 34만 IDR을 받았다고 했다.

이 지역의 지역단체장이자 이르마의 상관인 헤니 물랴니(Heni Mulyani)는 이 행사를 승인한 인물이다. 그녀는 커피나 담배 정도에 해당하는 약간의 금전적 지원이 제공되었다고 했다. 이는 사회적인 캠페인을 진행할 때 정부 관료에게 제공되는 사례금에 대한 일반적인 비유법이다. 그녀에 따르면 이 행사의 장소 제공을 위해 지불된 돈은 없었다. 단, 그녀는 이렇게 덧붙였다. “이 모든 행사에 대한 비용은 지역사회 기금이나 예산으로 지불되지 않았다고 확실히 말할 수 있다.”

A view of Gunungguruh, one of roughly 20 villages that Worldcoin visited for recruitment.

구눙구루 전경. 구눙구루는 월드코인이 이용자 모집을 위해 방문한 약 20개 마을 중 하나다.

사실 이 행사의 예산은 ‘PT 산디나 아바디 누슨타라(PT Sandina Abadi Nusntara)’라고 불리는 기업에서 지원한 것으로 추정된다. 이 회사는 무함마드 레자 잇산(Muhammad Reza Ichsan)이라는 사람이 그의 어머니와 함께 설립하였는데, 월트코인의 블로그에 따르면 그는 월드코인 사의 최고 운영자(best-performing operator)이기도 하다. 이 회사는 월드코인 인도네시아지부가 행사를 진행하는 동안 이를 담당하는 법인이었다. 잇산의 어머니는 지역 정부와 협력하여 모집 행사를 주관했다. 

잇산은 MIT 테크놀로지 리뷰에 이렇게 말했다. “우리는 지역사회에 직접 현금을 제공하지는 않았다. 하지만 지원자가 행사가 열리는 곳을 방문할 수 있도록 행사를 개최해준 이들을 위한 운영 자금이 있었다.”

비록 물랴니가 지역사회 기금을 유용하지 않았다고 하더라도, 이와 같은 사례 지급은 인도네시아의 반부패-반뇌물 법에 의하면 불법에 해당한다. 사례를 제공한 사람과 받은 사람 모두 처벌될 가능성이 있다. 

우리가 이러한 법 위반 가능성에 관해 묻자, 월드코인의 대표는 “이러한 사실을 “전혀 알지 못했으며 이에 대한 조사를 시작하였다”고 말했다.

이와 관련하여 마을 주민들은 월드코인과 관련된 행사가 개최될 때 일부 정부 관료들이 금품을 지급받았다는 사실을 알지 못했다. 사실 많은 이들이 이 행사가 정부에 의해 주최되었다고 잘못 알고 있었다. 물랴나는 “우리는 주민들에게 이 행사가 정부의 정책이 아니라고 설명해야 했다”면서 “이 행사는 외국계 회사인 월드코인이 주관하고 있으며, 마을 주민들의 협조를 요청하고 있다고 말이다”라고 밝혔다.

이제 마을 주민들은 그들이 돈을 받지 못할 수도 있다고 생각한다. 애초에 월드코인이 그들에게 보상을 지급하기로 했던 1월 말은 지난 지 한참이기 때문이다. 마을 주민 중 일부는 앱을 다룰 수 있지만, 전자 지갑에서 월드코인을 꺼내 거래할 수 있는 플랫폼도 여전히 갖추어지지 않았다. 

모르고 하는 영업

이러한 혼란스러운 상황이 의도된 것은 아닐 수 있다. 오브 모집인들은 처음부터 월드코인이 그들에게 너무 적은 정보만을 제공했다고 말한다. 심지어 그들은 모집 직전에서야 그들의 보수가 모집한 인원에 비례해서 제공될 것이라는 사실을 듣게 되었다. (월드코인에 따르면 그들은 국가 단위 오브 모집인들에게 행동 강령을 제공했고, 이 강령은 지역 담당자들도 따라야 한다. 그리고 그들은 현재 이러한 모집 인원에 따른 인센티브 전략을 철회하고 있다고 한다.) 

브라이언 음템베이(Bryan Mtembei)도 이러한 운영자 중 한 명이었다. 최근 케냐의 네 번째로 큰 도시인 나쿠루(Nakuru)에서 대학을 졸업한 토목 기술자인 그는, 2021년 9월에 캠퍼스에서 월드코인 모집 광고를 보고 모집인 자리에 지원했다.

그는 “월드코인의 기본적인 내용에 대한 교육을 받고 싶었지만, 월드코인 측은 “많은 사람을 모집할수록 큰 돈을 받게 된다고 알려줄 뿐이었다”면서 “나머지는 내가 얼마나 언변이 좋으냐에 달려있었다”고 말했다.

그래서 그는 신규 이용자들의 질문에 대답하기 위해 그저 최선을 다했다. 가장 많았던 질문은 프라이버시와 관련된 것이었다. 음템베이는 그가 150에서 200명가량을 모집했다고 말한다. 한 명당 받을 수 있던 돈은 약 50 케냐 실링(KS)(약 532원) 정도였다.

portrait of Bryan Mtembei

브라이언 음템베이는 케냐 나쿠루의 대학 캠퍼스에서 월드코인 담당자를 처음 만났다. 그는 홍채 스캔을 거친 뒤 오브 모집인으로 일하게 되었다. BRIAN OTIENO

그가 추정하건대 모집 인원 중 약 40% 정도는 그들의 생체인증 데이터를 공유하는 데 대한 우려를 가지고 있었다. 그가 이와 같은 걱정을 담당자에게 문의하였을 때 그는 단지 이와 같은 문제에 대한 답변이 모두 월드코인의 ‘백서’에 명시되어 있다고 들었다. 하지만 그런 문서는 존재하지도 않았다. 월드코인 측은 사람들이 “길고 지루하며 고도로 기술적인 문서를 읽지 않을 것이기 때문에 일부러 백서를 만들지 않았다”고 주장하며, 블로그에 기술된 내용들이 백서라고 생각하면 된다고 말했다. 월드코인의 대변인인 골로비나는 다음과 같이 말했다. “현장 테스트 중 가입한 모든 이용자는 어떠한 정보가 측정되고 어떻게 사용되는지에 대한 모든 정보를 제공받고, 생체 정보를 측정하기 전에 동의서를 제출해야 한다. 그들은 언제라도 동의를 철회할 수 있으며, 이 경우 생체 정보는 삭제될 것이다.”  

하지만 우리가 인터뷰한 사람들은 아무도 그들이 ‘시험 참가자(test users)’라는 사실을 전해 듣지 못했다. 그들 중 누구도 심지어는 오브 모집인들조차도 얼굴의 사진과 비디오, 신체의 3D 구조가 측정되어 오브의 ‘사기 방지 알고리즘(anti-fraud algorithm)’을 개선하기 위해 사용될 것이라는 사실을 알지 못했다. 이들은 그들의 데이터가 나중에 모집될 인원들과는 다르게 처리될 것이라는 사실을 알지 못했으며, 자신들의 자료를 삭제하도록 요청할 수 있는 권리가 있다는 것조차 몰랐다.

정책 함정

월드코인의 현장 테스트 대부분은 개발도상국에서 시행되고 있지만, 이 회사는 유럽에 있는 몇몇 국가를 포함한 선진국에서도 모집이 이루어지고 있다는 사실을 강조한다. “월드코인은 언제나 실제로 전 세계를 반영할 수 있는 국가들에서 현장 테스트를 진행하기 위해 노력해 왔다”고 회사 측은 주장했다.

이는 또 다른 문제를 불러일으킨다. EU에서 정의하는 ‘정보 제공자(data subjects)’, 즉 EU 내에 있는 시민권자, 영주권자, 심지어는 단순 관광객까지 포함하여, 월드코인은 유럽 사람들의 정보를 모으고 처리하는 일련의 과정에서 GDPR 규제 대상에 해당하기 때문이다.

2018년에 제정된 GDPR에 따르면, 정보 제공자는 데이터 수집의 목적, 데이터의 사용 방법, 데이터 처리의 주체, 데이터의 저장 방법 등에 대한 정보를 모두 제공받아야 한다. 이를 위반할 경우 사항의 경중에 따라 전체 수익의 5% 또는 2천만 유로(약 266억 원)에 달하는 벌금이 부과될 수 있다. 또한 EU는 법역 외의 주체에 대한 규정도 두고 있어서, 미국의 델라웨어에 등록되어 샌프란시스코에 본사를 두고 있는 월드코인도 이 법의 적용을 피할 수 없다.

하지만 월드코인이 신규 이용자들에게 수락하도록 요청했던 데이터 제공 동의 정책에서 우리는 다음과 같은 내용을 발견했다.

  • “우리[월드코인]는 자발적으로 GDPR을 준수한다.”
  • “우리는 GDPR의 기준에 맞추어 당신의 데이터를 보호하기 위한 수단과 방법을 기술한 데이터 프라이버시 및 보안 정책을 가지고 있지 않다.”
  • “우리의 정책과 진행 절차가 GDPR의 요구사항을 충족시키지 못할 가능성이 있다.”
  • “당신의 개인정보 보호 권리를 미국의 법정에서 주장하는 것은 어려울 수 있다.” 

이 문건은 일종의 “예외 상황(carve-outs)”을 만들고자 한다고 마리에티예 샤아케(Marietje Schaake)는 말했다. 그는 스탠퍼드 대학 사이버 정책센터의 국제정책책임자이다. 하지만 이러한 예외 규정은 GDPR하에서는 불가능하다.

샤아케는  “EU의 시민권자는 자신의 프라이버시가 침해될 경우 언제든지 이의를 제기할 수 있다”면서 “그리고 그러한 상황이 발생할 경우 EU의 데이터 보호 기관은 이 사건을 조사하고 미국의 법정이 아닌 유럽의 법정에서 재판을 진행하게 될 것이다. 월드코인의 설명과는 다르게 말이다.

월드코인은 자신들이 GDPR의 규칙을 모두 준수하고 있다고 주장한다. 또한 그들은 데이터 보호 전문가를 고용하였으며 ‘데이터 프라이버시 영향 평가’도 지속적으로 진행하고 있다고 말한다. 하지만 그들은 고용한 전문가나 실제 평가 자료에 관한 정보를 제공하는 것은 거부했다. 회사 측은 GDPR과 관련된 위의 기술들이 그들의 최신 동의 서식에는 더 이상 존재하지 않는다고 말했다. 하지만 이 기사가 발표되는 시점까지도 우리는 저 문장들이 동의서에 아직 남아있는 것을 확인할 수 있었다.

이 기사가 작성되는 데에는 수개월이 걸렸지만, 우리는 3월 초 블래니아와 인터뷰할 때까지도 정확하게 이 회사가 무엇을 하고 있는지 이해할 수 없었다. 

그는 작년 가을 개인정보 보호 정책과 관련된 논란에 대답하며 이렇게 말했다. “우리는 대규모 개인정보 수집을 실행하기 전에, 프라이버시 전문가를 통해 우리의 시스템을 낱낱이 분석할 것이다.” 

블래니아는 그의 회사가 45만 명의 개인 정보를 수집했다는 사실을 공개했다. 이는 그들의 기계장치가 45만 명분의 얼굴과 체형, 홍채 데이터를 수집해서 그들의 신경망을 학습했다는 사실을 의미한다. 이 회사는 여기에 개인정보와 관련된 문제가 있음을 인지했고 이제는 이를 중단하였다. 하지만 그는 이러한 초기 테스트 모집 기간에도 앞으로 적용될 개인정보 보호와 같은 수준의 정보 보호 조치가 이루어졌는지에 대해서는 답변을 거부했다. 도대체 이들 사이에는 어떤 차이가 있는 걸까? 

블래니아와의 인터뷰를 통해 우리는 많은 것을 알 수 있었다. 우선 많은 시험 참가자들은 월드코인이 궁극적으로 추구하는 월드코인의 소비자와는 거리가 있었다. 월드코인은 단지 그들의 신경망을 갖추기 위해 이들의 안구, 신체를 비롯한 여러 생체 정보가 필요했을 뿐이다. 오브를 운영하는 말단 모집인들은 그들의 양심의 가책과 싸우면서, 헐값에 알고리즘을 위한 생체 정보들을 모집하러 다녔다. 월드코인의 인공지능에 누가 사람인지 가르쳐 주기 위한 노력은 아이러니하게도 이와 관련된 사람들의 인간성을 짓밟는 방식으로 이루어졌다.

이러한 모든 일들은 월드코인의 사용자 수를 늘려서 이를 웹 3.0의 선호되는 인식 솔루션으로 홍보하기 위해 이루어졌다. 또한 오브나 혹은 Web3 패스포트, 가상화폐, 이 모든 것들이 실제로 수익화가 가능한 시기에 대상 사용자를 위해 출시될 수 있도록 준비하기 위해서이기도 하다.

이 글을 쓴 에일린 구오는 MIT 테크놀로지 리뷰의 기획 및 탐사보도 담당 선임 기자이다. 아디 레날디는 인도네시아 자카르타에 근거지를 둔 저널리스트이다. 추가 보도는 루자인 알세데그(Lujain Alsedeg)와 앙투아네타 루시(Antoaneta Roussi)가 했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.