Offcanvas

분쟁|갈등 / 빅데이터 | 애널리틱스

기고ㅣ위치 데이터가 개인이나 기업에 위험을 초래한다

2022.06.21 Christopher Burgess  |  CSO
위치 데이터 시장은 이미 거대하며, 계속 커지고 있다. 이러한 데이터는 네트워크 업체, 스마트 기기에 깔린 앱, 사용자가 접속한 웹사이트 등에서 수집된다. 이는 마케팅엔 성배이지만 정보보안(InfoSec)에는 악몽이다. 

위치 추적 알고리즘과 (관련) 기술을 개발하는 기업들이 ‘초개인화 마케팅’이라는 로켓을 타고 계속해서 놀라운 속도로 성장하고 있다. 작년 가을 그랜드뷰 리서치(Grandview Research)는 미국의 위치 데이터 시장만 미화 약 140억 달러 규모라고 추산했으며, 2022년에서 2030년까지 CAGR 15.6%로 성장하리라 전망했다. 

이를 감안하면 이곳은 의심할 여지없이 뛰어들어야 할 달콤한 시장으로 보인다. 동시에 IT 및 보안 부서가 정기적으로 새로운 과제를 직면하는 곳이기도 하다.  
 
ⓒGetty Images Bank

위치 데이터 공유의 위험 
직원들이 남긴 데이터 흔적을 통해 경쟁사는 기업의 R&D를 추론하고, 영업 비밀을 식별하며, 직원 및 기업 자산의 위치를 카탈로그화할 수 있다. 

엔지니어 그리고 이러한 앱 및 알고리즘을 지원하는 사람이 직면하는 또 다른 문제는 ‘정보’가 어떻게 개인의 이익과는 반대로 사용될 수 있는지다. 예를 들면 美 연방대법원의 ‘로 대 웨이드(Roe v. Wade)’ 판결이나 미국 일부 주(州)에서 통과된 낙태 금지법 사례에서 이를 살펴볼 수 있다.  

바이스(Vice) 매거진은 ‘데이터 브로커가 낙태 클리닉을 방문하는 사람들의 위치 데이터를 팔고 있다(Data Broker Is Selling Location Data of People Who Visit Abortion Clinics)’라는 제목의 기사에서 “가족계획연맹(Planned Parenthood)을 방문한 사람들이 어디서 왔고, 이후 어디로 갔는지 일주일 치 데이터를 얻는 데 160달러가 조금 넘는 비용이 든다”라고 밝혔다. 

이어 기사는 “해당 데이터를 판매하는 곳인 세이프그래프(SafeGraph)는 사람들의 휴대폰에 설치된 앱에서 위치 데이터를 얻는다. 흔히 앱 개발자는 사용자의 위치 데이터를 기업에 보내는 코드, 즉 소프트웨어 개발 키트(SDK)를 앱에 설치한다”라고 전했다(세이프가드는 이와 관련해 입장 표명을 하지 않았다). 

이에 따라 STOP(Surveillance Technology Oversight Project)의 리서치 책임자 엘레니 마니스는 여성을 추적하는 기술에 관한 보고서에서 주, 병원, 기술 회사가 임산부의 프라이버시 보호를 개선하기 위해 취해야 할 조치, 그리고 디지털 보안 감시에서 자신을 보호하기 위해 임산부가 취할 수 있는 조치를 설명하기도 했다. 

한편 지난 2019년 9월 美 탐사 보도 전문 미디어 마크업(The Markup)은 위치 데이터 부문의 회사 47곳을 찾아냈다. 해당 기사에 의하면 무슬림 기도 앱의 데이터는 민간 군사 업체에 판매됐고, 한 가톨릭 뉴스 매체는 데이터를 사용해 게이 바를 자주 드나드는 성소수자 신부를 추적했다. 또 다른 데이터 회사는 이민 모니터링을 지원하기 위해 미국 정부에 데이터를 팔았다. 

이 밖에 소셜 미디어에서도 일부 주의 낙태 반대 단체와 법 집행 기관이 임신 가능성 있는 사람을 식별하기 위해 생리주기 추적 앱 데이터를 수집했다는 사실이 알려져 논란에 휩싸였다. 

앱에 위치 추적을 추가하는 SDK
앞서 언급한 마크업 기사에서 확인할 수 있는 가장 흥미로운 데이터 포인트는 다양한 데이터 수집기가 기업 애플리케이션 통합을 위해 무료 라이선스 SDK를 생성하는 방법을 설명한 것이다. 애플리케이션 개발자는 SDK에서 제공하는 기능을 통합하고, SDK를 개발한 회사는 데이터를 수집하여 사용한다. 

위치 데이터 사용을 규제하라는 압박 증가 
임산부를 식별하기 위한 데이터 수집 및 사용은 의회의 이해관계와 관련해 결정타였다. 16명의 상원의원은 美 연방거래위원회(FTC)에 보낸 서한에서 가볍게 규제되고 있는 이 부문을 조사해달라고 요청했다. 

개인이 온라인에서 자신의 정보를 검토하고 제거할 수 있는 권리를 보장하기 위해 그리고 개인 데이터가 판매되거나 침해 피해자가 될 경우 이를 지원할 수 있는 권리를 보장하기 위해 FTC는 어떤 조치를 취하고 있을까? 서한에서 던진 질문은 다음과 같다. 

• FTC는 위치 데이터 수집 및 판매를 위해 개발된 휴대폰 앱으로 인한 피해를 어떻게 완화할 계획인가? FTC는 위치 데이터를 수집하고 판매하는 앱 식별 방법을 어떻게 교육하는가? 

• FTC는 데이터 중개인 등이 여성의 개인정보와 의료 의사결정 데이터에 접근하는 것을 방지하기 위해 법무부, 주 및 지역, 의료업체, 민간 이해관계자와 협력하여 무엇을 하고 있는가?

• FTC는 데이터 브로커가 개인 위치 데이터를 구매 및 배포하지 못하도록 하는 데 추가 자원이 필요한가? 

이 서한은 FTC에 답변을 요청한 상태다. 그 답변은 진화하는 개인화 관련 제품 및 기술을 만들거나 또 다른 개인의 위치 데이터를 수집하기 위한 SDK를 만드는 모든 회사에도 가이드라인을 줄 수 있는 역할을 해야 할 것이다. 

* Christopher Burgess는 시스코의 前 수석 보안 고문이었으며, 데이터 및 보안 부문의 여러 스타트업에서 CEO 및 COO를 역임한 바 있다. 현재는 보안 문제와 관련된 글을 기고하고 있다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.