미군의 개인정보가 푼돈에 팔려 나가고 있다
미국의 데이터 브로커들이 현역 및 퇴역 군인의 이름, 집 주소, 사는 지역, 순자산, 종교, 자녀, 건강 상태 등에 대한 민감한 개인정보 데이터를 개당 불과 12센트(약 160원)에 팔고 있는 것으로 밝혀졌다.
최근 발표된 한 연구에서 듀크 대학교의 연구원들은 미국의 데이터 브로커 회사 12곳과 접촉해 이러한 정보를 어떻게 구매할 수 있는지 문의했다. 결과적으로 그들은 수천 건에 달하는 미군 병사들의 개인정보 데이터를 얻을 수 있었다. 대부분의 브로커가 최소한의 심사만으로 데이터를 판매하겠다고 제안했고, 아시아 도메인의 이메일을 사용할 때도 상관없이 거래를 진행하려는 의지를 보였다.
웨스트포인트의 미국 육군 사관학교에서 일부 자금을 지원받아 1년간 진행된 이 연구는 데이터 브로커가 야기하는 극단적인 사생활 침해와 국가안보 위협을 강조하고 있다. 데이터 브로커는 데이터의 수집과 집계, 구매와 판매를 진행하는 일종의 그림자 산업으로 현재 미국에서 합법적인 관행이며 그 규모는 수십억 달러에 이른다. 많은 브로커가 그들의 데이터베이스에 각 개인별로 수백 개의 개별 데이터를 보유하고 있다고 광고하고 있으며, 데이터 브로커 산업은 개인 및 소비자의 사생활 침해를 악화시키고 있다는 비판을 받고 있다.
연구원들은 미군의 매우 사적인 데이터를 쉽게 얻을 수 있다는 사실에 큰 충격을 받았다. 이 연구의 공동 저자이자 대학원생 연구원인 헤일리 바튼(Hayley Barton)은 “누구든 이메일 주소, 은행 계좌, 수백 달러만 있으면 우리가 입수한 것과 같은 데이터를 얻을 수 있다”고 말했다.
그들은 이 연구를 통해 미국의 의원들이 사태의 심각성을 인지하고 데이터 브로커 산업을 규제하는 포괄적인 개인정보 보호법이 의회에서 통과되길 바라고 있다.
주 저자인 저스틴 셔먼(Justin Sherman)은 “데이터 브로커 산업에 대한 규제가 절실하다”며, “결국은 의회가 나서야 해결될 문제다. 이러한 위협에 대응할 법적 권한과 규제 기관을 위한 자원이 필요하기 때문”이라고 주장했다.
이 연구를 검토한 미국 상원 군사위원회의 엘리자베스 워런(Elizabeth Warren) 상원의원도 셔먼의 주장에 동의했다. 매사추세츠주 민주당 소속의 워런은 MIT 테크놀로지 리뷰에 보낸 성명에서 “데이터 브로커들이 심각한 국가안보 위협을 고려하지 않고 군인과 그 가족들에 대한 민감한 정보를 푼돈에 팔아넘기고 있다”며 “이 연구는 현역 및 퇴역 군인, 그리고 그 가족의 개인정보 데이터를 보호하기 위한 실질적인 방어 수단이 필요함을 분명히 보여준다”라고 말했다.
민감한 정보의 판매
현역 군인의 데이터를 상업적으로 이용하면서 문제가 된 것은 이번이 처음이 아니다. 지난 2018년 피트니스 앱 스트라바(Strava)에 기록된 달리기 경로 데이터를 통해 해외의 미군 기지 위치와 순찰 경로가 드러난 적이 있다.
셔먼은 듀크 대학교의 연구원들이 군인들의 개인정보를 판매한다는 데이터 브로커들의 광고를 우연히 접하게 되었고 이 산업이 국가안보에 미치는 위험성을 평가하기 위해 연구를 시작했다고 말했다.
또한 셔먼은 이 데이터 브로커들이 강력한 심사 절차를 통해 데이터가 범죄자나 위험한 집단에 판매되지 않도록 하고 책임감 있게 사용될 수 있도록 보장하고 있었다고 말했다. 그러나 이번 연구를 통해 이들의 주장은 일부 예외에 해당하며 일반적인 규칙이 아님이 드러났다.
연구원들은 수천 곳에 이르는 미국의 데이터 브로커 회사 중 군인들의 개인정보를 얻을 수 있다고 광고하는 곳이 몇 곳인지 확인하기 위해 인터넷을 검색하기 시작했다. 그 결과 522개의 데이터 브로커 웹사이트에서 ‘군인’라는 단어를 7,728건, ‘퇴역 군인’이라는 단어를 6,776건 사용하고 있었다. 오라클(Oracle), 이퀴팩스(Equifax), 익스피리언(Experian), 코어로직(CoreLogic), 렉시스넥시스(LexisNexis), 베리스크(Verisk) 등 주요 데이터 브로커 회사들이 모두 군인과 관련된 데이터를 판매한다고 광고하고 있었다.
연구원들은 다음 단계로 데이터 브로커 회사 12곳과 접촉해 데이터 구매를 문의했다. 그리고 몇몇 데이터 브로커들에게서 군인의 데이터 구매를 문의하거나 실제 구매할 때 그 사용 목적을 확인하기 위한 신원확인, 배경조사, 추적조사와 같은 강력한 통제 절차가 부족함을 발견했다. (연구원들은 접촉한 브로커가 어느 회사인지 밝히지는 않았지만 듀크 대학교의 연구 정책을 모두 준수한 상태로 진행했다고 말했다)
몇몇 브로커들은 적합한 통제 절차를 가지고 있었지만, 연구원들이 검증된 회사를 가지고 있음을 확신할 수 없다는 이유로 판매를 거부한 곳은 12곳 중 단 2곳에 불과했다. 심지어 한 브로커는 데이터 비용을 신용카드가 아닌 현금으로 지불하면 배경조사를 피할 수 있다고 귀띔하기도 했다.
특히 심각한 부분은 한 브로커가 워싱턴 DC, 메릴랜드, 버지니아에 거주하는 현역 군인 자녀의 나이와 성별, 집에 같이 사는지 여부까지 알 수 있는 데이터를 판매했다는 것이다. 연구원들은 군인들의 집 주소도 포함된 이 데이터 세트를 아시아 도메인의 이메일 주소와 미국 도메인의 이메일 주소를 사용할 때 둘 다 동일하게 구매할 수 있었다.
뉴욕 시립대학교의 법학과 교수이며 데이터 브로커 산업의 문제점을 다룬 《데이터 카르텔(Data Cartels)》의 저자인 사라 람단(Sarah Lamdan)은 이러한 업계의 관행이 현재 법적으로 문제가 없으며 아동과 관련된 데이터를 파는 것도 미성년자의 온라인 활동 데이터를 규제하는 ‘어린이 온라인 사생활 보호법(Children’s Online Privacy Protection Act, COPPA)’을 위반하지 않는다고 셔먼과 함께 말했다.
몇몇 브로커들은 연구원들에게 비공개 계약에 서명할 것을 요구하기도 했다. 람단은 “고객들을 NDA(비밀유지계약)에 서명하게 하는 이유는 단순히 데이터 처리 과정을 숨기기 위해서만이 아니다. 그보다 데이터 브로커들의 공공연한 관행과 대상을 불문하고 판매되는 거대한 데이터의 양을 숨기기 위한 이유”라고 말했다.
연구원들은 미국과 아시아 기반 도메인의 이메일 주소를 사용해 3곳의 브로커로부터 8개의 데이터 세트를 구매했다. 각 데이터 세트에는 4,951~1만 5,000건의 세부 정보가 포함되어 있었고 각 군인의 세부 정보 하나당 가격은 12~32 센트(약 160원~420원) 정도였다. 심지어 이 데이터 세트를 구매할 때 어떤 비공개 계약에도 서명할 필요가 없었다.
국가안보의 위협
데이터 브로커 산업이 국가안보에 미치는 위협을 알아보기 위해 연구원들은 브로커들이 미국 외 다른 국가의 구매자들에게도 데이터를 판매하는지 조사했다.
‘.asia’가 붙은 도메인 이름과 이메일 주소, 싱가포르의 IP 주소를 사용해 데이터를 구매한 결과도 크게 다르지 않았다. 연구원들은 여전히 현역 미군에 대한 개인정보와, 결혼 상태, 주택 소유 또는 임대 여부, 인종, 언어, 종교, 신용점수 등에 대한 다양한 데이터를 얻을 수 있었다.
연구에 따르면 브로커들은 아시아 도메인 이메일을 사용할 때 미국 도메인 이메일과 마찬가지로 제대로 된 심사를 진행하지 않았다. 한 브로커는 ‘.asia’ 도메인 이메일로 문의를 받았을 때 일부 데이터 필드를 제한하기도 했지만 대부분의 브로커들은 문의의 출처와 관계없이 비슷한 반응을 보였다.
셔면은 “미군에 대한 데이터를 아시아 도메인을 사용해 해외로 유출하려 하는데도 불구하고 어떤 심사도 없이 데이터를 구매할 수 있었다”며 “매우 우려되는 상황”이라고 지적했다.
MIT 테크놀로지 리뷰는 미국 국방부에도 관련해 질의를 보냈지만 답변을 받지 못했다.
미국 상원 정보위원회의 론 와이든(Ron Wyden) 상원의원은 MIT 테크놀로지 리뷰에 보낸 성명에서 셔면의 주장에 동의한다며 “이 연구 결과는 데이터 브로커 산업이 통제를 벗어나 국가안보에 심각한 위협이 되고 있다는 사실을 의원들에게 경고하고 있다”고 말했다.
오리건주의 민주당 소속 와이든은 “미국은 틱톡 금지처럼 효과적이지 못한 임시방편에 초점을 맞추기보다 비우호적인 국가로부터 미국인의 데이터를 보호하기 위한 포괄적인 해결책을 마련해야 한다”라고 지적했다. 이어서 그는 “거듭해서 말하지만 우리는 민감한 개인정보의 수집, 보관, 판매를 근본적으로 제한하는 포괄적인 소비자 개인정보 보호법이 절실히 필요하다”고 강조했다.
