[보안뉴스 문정후 기자] 미국의 소비자금융보호국이 일명 ‘데이터 브로커’로 분류되는 사업자들과 단체들에 철퇴를 가하려 하고 있다. 어쩌면 바이든 행정부의 마지막 개인정보 보호 시도가 될 수도 있을 것으로 보인다. 트럼프 차기 대통령이 개인정보와 프라이버시 보호에 대해 이렇다 저렇다 할 성향을 보이지 않고 있는 상황이라 관련 분야 전문가들은 이번 소비자금융보호국의 시도가 빠르게 절차들을 통과하기를 바라고 있다.
[이미지 = gettyimagesbank]
데이터 브로커?
먼저 데이터 브로커란, 소비자의 정보를 수집, 집계, 판매, 재판매하는 사업자들을 말한다. 그 외에 소비자의 데이터 사용 권한을 판매하거나(라이선싱) 그 외 다른 방식으로 데이터를 사업적 목적을 위해 공유하기도 한다. 이들은 수많은 사람들의 신용, 범죄, 고용, 임대 이력과 같은 민감한 정보를 수집한다. 물론 불법적인 수집 행위가 연루되지는 않는다. 합법적인 사업자들이기 때문이다.
그렇다면 이들의 정보는 어디서 온 것일까? “도소매 업체, 웹사이트나 앱, 신문 및 잡지 출판사, 금융 서비스 제공자, 쿠키와 같은 기술을 포함한 다양한 채널에서 정보들을 모읍니다. 또한 정부가 유지하는 범죄 및 민사 기록 같은 공공 정보, 소비자가 소셜미디어에 게시한 정보들도 가져갑니다. 이런 다양한 경로를 통해 재정 상태, 소득 수준, 건강 상태, 성적 지향, 종교적 성향, 정치적 선호도, 웹사이트 방문 기록, 위치 정보 등을 가져가는데, 대단히 민감한 것들이 다수 포함되어 있습니다.” 소비자금융보호국의 설명이다.
그리고 그렇게 처리된 정보를 여러 주체들이 구매해 간다. “데이터 브로커는 소비자의 정보를 분석하고 보고서를 제작하여 이를 대출기관, 보험사, 임대인, 고용주 등이 소비자에 대한 결정을 내리는 데 사용하도록 제공합니다. 또한, 특정 정보를 활용하여 소비자에 대한 정교한 프로파일을 작성하고 이를 마케팅 활동에 활용합니다.”
데이터 브로커 산업의 문제와 소비자들의 불만
데이터 브로커는 소비자들의 개인 생활과 금융 상태에 대한 세부 정보를 수집하고, 비용만 지불한다면 누구나에게 판매한다. 그게 그들의 업이다. “정보를 효과적으로 유통한다는 면에서는 각종 산업을 발전시키고, 경제를 촉진시킨다는 장점을 가지고 있습니다. 현대 경제 체제에서 데이터란 윤활유, 더 나아가 혈액과 같은 역할을 하기 때문에 누군가는 이렇게 데이터를 순환시킬 필요가 있습니다.”
[이미지 = gettyimagesbank]
그 말 그대로 오늘날 경제에서 소비자의 개인정보는 제품을 온라인으로 주문하거나 앱을 다운로드하거나, 매장에서 신용카드를 사용할 때처럼 일상적인 활동을 통해 자주 노출되고 또 수집된다. 그러면서 ‘데이터 브로커’ 산업이 점차 확대되고 있고, 소비자의 동의 없이 민감한 정보를 다루는 일이 늘어나고 있기도 하다. “하지만 지금의 데이터 브로커들에게, 지금까지 해온 그대로 이 역할을 맡기기에는 몇 가지 문제들이 존재합니다.”
소비자금융보호국이 지적한 문제의 핵심은 “데이터 브로커들이 인공지능 기반 도구를 활용해 소비자 프로필을 개발하며, 이를 소비자 동의 없이 다른 기업에 판매한다는 것”이다. “취업 면접 시 합격 여부, 저렴하게 대출을 받을 수 있는 자격, 아파트 임대 여부까지 데이터 브로커가 결정한다고 해도 과언이 아닐 정도로 이들의 역할이 중요합니다. 그런데 그 결정은 사실 결정권자들이 해야 하지, 데이터 브로커가 돈을 받고 해서는 안 되는 것이죠. 하더라도 그러한 데이터 기반 결정이 공정할 수 있도록 이들을 관리하거나 감시하는 장치가 있어야 합니다.”
이에 소비자연맹은 소비자금융보호국에 데이터 브로커 사업자들을 공정신용보고법 대상에 포함시킬 것을 요청했고, 그 근거로 데이터 오류 때문에 불필요한 피해가 야기된 사례를 수집해 제출했다. 소비자들은 브로커의 데이터 저장소에서 정보를 제거하기 위해 복잡한 절차를 거쳐야만 했고, 그랬음에도 실패했던 사례가 굉장히 많다고 불만을 토로하고 있다. 또한 자신들의 데이터가 알 수 없는 경로로 유출되는 바람에 각종 스팸, 사기 메시지, 신원 도용에 시달렸다고도 주장했다.
여기서 공정신용보고법이란, Fair Credit Reporting Act라고 하며, 줄여서 FCRA라고 부른다. 1970년에 제정된 프라이버시 보호법이라고 할 수 있다. 데이터 감시 산업의 개인정보 남용을 제한하고자 마련된 것으로 세계 최초의 데이터 프라이버시 법이라고 불리기도 한다. 이 법에 의해 관리를 받으면 데이터 프라이버시를 보다 엄격히 지킬 수밖에 없게 되는데, 현행 법상 데이터 브로커들은 제외 대상이었다. “데이터 브로커들은 스스로 FCRA의 적용 대상이 아니라고 주장하고 있으면서 동시에 민감한 개인정보와 금융정보를 판매하고 있는 걸 발견할 수 있었습니다. 그래서 이번에 이 지점을 분명히 해 데이터 브로커들도 FCRA의 적용 대상이라고 공표하고자 합니다.” 소비자금융보호국의 설명이다.
데이터 프라이버시가 제대로 지켜지지 않는다는 것만이 데이터 브로커들이 가지는 문제가 아니다. 계속해서 소비자금융보호국에서는 크게 세 가지 위협 요소도 존재한다고 설명을 이어간다. “국가 안보와 적국의 감시 위협이 증폭될 수 있습니다. 또 사이버 범죄가 촉발될 수도 있습니다. 그 외에 사이버 폭력 등으로부터 개인이 위험해질 수도 있습니다.” 이를 세부적으로 정리하자면 다음과 같다.
데이터 브로커 때문에 야기되는 사회적 위협 세 가지
1) 국가 안보 약화와 적국으로부터의 감시 : 적대적인 외국 정부(중국, 러시아, 북한 등)가 군인, 퇴역 군인, 정부 직원 등의 세부 정보를 데이터 브로커로부터 구매하여 감시 활동을 할 수 있게 되고, 이를 통해 회유와 협박 전술을 펼칠 수도 있다. 그리고 그런 중요한 요원들을 통해 국가 기밀 등을 파악하는 것도 가능하다. 2020년 중국인민해방군이 에퀴팩스(Equifax)를 해킹해 1억 4500만 명 미국인의 개인정보를 확보한 사건이 가장 널리 알려져 있다.
[이미지 = gettyimagesbank]
2) 범죄자들의 데이터 악용 : 데이터 브로커로부터 산 정보를 통해 범죄자들은 노년층이나 재정적으로 어려운 사람들을 대상으로 정교한 사기 행위를 저지르는 게 가능하다. 일정 소득 수준을 기준으로 사람들의 목록을 사이버 공격자들이 구매할 경우, 이를 기반으로 금융 사기를 실행한 실제 사건이 존재하는 것이 이 가능성을 더욱 현실적으로 만든다.
3) 폭력, 스토킹 등 개인 안전 위협 : 판사, 경찰관, 검사와 같은 법 집행관이나 정부 요원 등 개인 신원이 노출되면 쉬이 표적이 될 만한 사람들이 있는데, 데이터 브로커가 이들이라고 딱히 보호하지는 않는다. 실제로 2020년 연방 판사의 집 주소가 데이터 브로커에 의해 판매된 이후 판사의 아들이 살해당하기도 했었다.
어떤 변화가 제시됐나?
소비자금융보호국에서는 제일 먼저 “데이터 브로커가 사람들로부터 수집한 개인 식별 정보를 사기꾼이나 신원 도용범, 적국 스파이에게 판매하거나, 소비자의 동의 또는 인지 없이 사용하는 것을 제한하는 게 필요하다”는 입장이다. “그렇게 하기 위해 앞에서 언급된 공정신용보고법을 데이터 브로커들에게도 분명하게 적용시켜야 할 것입니다. 데이터 브로커들이 대출 승인과 같은 합법적이고 분명한 목적 아래에서만 데이터를 거래할 수 있도록 해야 합니다.”
그런 큰 개념 아래 소비자금융보호국은 상세 내용을 다음과 같이 제안하고 있다. “데이터 브로커는 공정신용보고법의 적용을 받는 소비자 보고 기관으로 분류되어야 합니다. 그렇게 되면 이름, 생년월일, 사회 보장 번호와 같은 정보의 경우 특별히 보호 받아야 할 데이터로 간주하고, 데이터 브로커가 임의로 이를 공개하지 못하도록 할 수 있습니다. 더 나아가 데이터 브로커가 소비자의 명시적 동의 없이 신용 정보를 수집하거나 공유하지도 못하게 해야 합니다.”
세부 제안 내용을 정리하면 다음과 같다.
1) 데이터 브로커를 신용 조회 회사와 동일하게 취급한다. 소득, 신용 기록, 신용 점수, 부채 정보 등을 판매하는 기업은 FCRA의 적용을 받는 소비자 보고 기관으로 간주되는데, 여기에 데이터 브로커도 포함시킨다.
2) 개인 식별자의 남용 및 오용을 방지한다. 소비자 보고 기관이 이름, 주소, 나이 등의 정보를 신용 보고 목적으로 수집하는 경우, 이 정보를 판매하는 행위 역시 FCRA의 감독 하에 들어가게 된다.
3) 명확한 소비자 동의를 먼저 구한다. 신용 보고서를 얻거나 공유하려는 기업은 소비자의 명확한 동의를 반드시 받아내야 한다. 읽기 힘든 약관 내 세부 사항에 관련 내용을 유리하게 작성해 숨겨 놓는 행위는 금지된다.
4) 마케팅 목적의 데이터 사용을 금지한다. FCRA에 따르면 마케팅은 합법적인 사업 필요로 간주되지 않는다. 따라서 표적 광고를 위해 특정 계층의 소비자를 선정하거나, 광고를 전송하기 위한 목적으로 소비자 보고서를 사용하는 건 금지된다.
“이렇게만 하더라도 데이터 브로커가 민감한 연락처 정보를 판매함으로써 개인을 대상으로 한 스토킹, 괴롭힘, 폭로와 같은 공격을 촉진시키기가 어려워질 겁니다. 불가능하지는 않겠지만 구매자가 더 애쓰고 노력하고 돈을 들여야 이전과 같은 정보를 얻게 될 겁니다. 그렇게 됐을 때 개개인들과 취약 계층이 더 안전해질 것이라고 봅니다.” 다만 정부 기관이나 사법 기관이 테러 방지나 범죄 위험 억제를 위해 얻고자 하는 데이터는 충분히 쉽게 확보할 수 있도록 해야 한다고 소비자금융보호국은 덧붙였다.
소비자금융보호국 국장의 발표문
소비자금융보호국은 이번 새 규정을 강력히 밀어붙이고 있으며, 바이든 임기 이전에 모든 작업을 완료하려는 강력한 의지를 보이고 있다. 데이터 브로커는 미국에서는 합법적인 산업이지만, 불법으로 간주하는 나라도 많기 때문에 확실히 미국 내에서는 정비가 필요해 보인다. 그래서 위의 변화를 제시하면서 국장이 직접 이 제도의 변화가 왜 필요한지를 작성해 발표하기도 했었다. 다음은 그 전문이다.
[이미지 = gettyimagesbank]
“중국 정부와 연계된 해커들이 미국의 통신 인프라를 공격했습니다. 하지만 이것은 개인정보를 표적으로 삼은 해외 해커들의 공격 중 일부에 불과합니다. 빙산의 일각이라고 할 수 있습니다. 미국은 지금 각종 해킹 공격의 표적이 되고 있기 때문입니다. 그런데 공격자들이 미국을 공격하기 위해 필요한 건 해킹 실력과 기술이 아닙니다. 돈입니다. 왜냐면 미국인의 데이터를 모아서 판매하는 사업자들이 있기 때문입니다. 바로 데이터 브로커들이죠. 이들은 돈만 내면 자신들이 가진 정보를 알아서 내줍니다. 그렇기 때문에 데이터 브로커들은 각종 사기꾼들과 스토커, 스파이들을 돕게 됩니다. 이를 중단시켜야 하며, 그래서 오늘 소비자금융보호국은 몇 가지 변화를 제안합니다.
방금 전의 예시가 아니더라도 최근 몇 달 간 데이터 브로커의 무분별한 데이터 거래가 얼마나 위험한지가 명백히 드러나기도 했습니다. 지난 주 한 조사에서 데이터 브로커들이 독일에 주둔 중인 미군 병력의 움직임까지 추적할 수 있다는 사실이 밝혀지기도 했을 정도입니다. 핵 무기 저장소나 정보 센터와 같은 민감한 시설 주변의 활동도 포착될 수 있었습니다. 9월에는 연방 법 집행 기관이 비밀 수사를 수행하는 동안 발생하는 위치 데이터 역시 데이터 브로커의 손에 있다는 것이 밝혀졌습니다. 올 여름 해커들이 단일 데이터 브로커로부터 약 30억 건의 민감 데이터를 해킹하기도 했고, 여기에는 사회 보장 번호도 섞여 있었습니다.
몇 가지 예만 들었을 뿐이지만 대단히 심각한 문제라고 할 수 있습니다. 데이터 브로커들은 주로 국가 안보를 담당하는 정부 조직의 의사 결정권자를 대상으로 한 목록을 공개적으로 광고하기도 합니다. 어떤 경우 구매자들이 군인이나 정보 요원, 빚이나 약물로 고통을 받고 있는 취약 계층을 식별할 수 있도록 정보를 정리해 제공하기도 합니다. 이들에게는 서비스이지만, 사실 많은 개인과 사회 시스템을 위험에 빠트릴 수 있을 만한 행위라고 볼 수 있습니다.
데이터 프라이버시 문제는 추상적이거나 가설적으로 들릴 수 있지만, 그 결과는 현실적이고 파괴적입니다. 2020년 연방 판사의 아들이 데이터 브로커로부터 촉발된 사건으로 인해 살인을 당했습니다. 데이터 브로커가 판사의 집 주소를 판매했고, 이를 구매한 자들이 판사의 집을 공격하는 과정에서 아들이 목숨을 잃은 것입니다. 경찰관들과 같은 법 집행관들도 그들의 개인정보가 거래되는 경우 비슷한 위험에 직면하게 됩니다. 가정폭력과 스토킹 피해자의 정보가 이런 식으로 공격자의 손에 넘어가게 되어도 위험합니다. 피해자들은 데이터 브로커 때문에 도망도 칠 수 없게 되는 겁니다.
사실 우리에게는 이미 좋은 제도가 있습니다. 50여 년 전 미국 의회는 이미 데이터 브로커의 위험성을 인지하고 세계 최초의 프라이버시 법 중 하나인 공정신용보고법을 통과시킨 바 있습니다. 이 법은 미국인의 개인정보를 상업적으로 이용하는 회사에 중요한 규제를 부과하고, 데이터 공유 및 판매를 ‘합법적 목적 하에서만’ 가능하도록 강제하기도 했습니다. 다른 상업적 이용은 제한됐습니다.
그렇다면 데이터 브로커들이 왜 문제가 되는 건가, 궁금할 수 있습니다. 50년이라는 시간이 지나면서 많은 데이터 브로커들은 이러한 보호 장치를 회피하기 위한 방법을 찾아냈기 때문입니다. 그래서 현재 이들 데이터 브로커들은 자신들이 FCRA의 요구 사항을 따를 필요가 없다고 주장하고 있으며, 의회가 보호하려 했던 민감한 개인 및 재정 정보를 여전히 판매하고 있습니다. 우리의 발걸음이 바빠질 수밖에 없는 이유입니다.
그래서 저희 소비자금융보호국은 다음 세 가지를 제안합니다.
하나, 기존에 있는 법률로부터 적용되지 않는다는 주장을 하지 못하게 해야 합니다. 데이터 브로커들은 신용 보고 기관이나 배경 조사 회사와 동일한 감독과 관리 하에 놓여 있어야 합니다. 소득, 금융 등급, 신용 기록, 신용 점수, 부채 상환 정보 등을 판매하는 모든 회사는 소비자 보호 규정을 준수해야 하며, 정확한 요건을 충족시켜야 합니다.
둘, 개인 식별 데이터의 오용을 금지시켜야 합니다. 개인 식별 데이터로 분류되는 정보를 데이터 브로커가 함부로 가져가거나 판매하지 못하게 하는 게 중요합니다. 이를 통해 스토킹, 사이버 괴롭힘, 적국의 감시와 스파잉 등이 가능해지기 때문입니다.
셋, 법 집행 및 공익 목적의 데이터 사용은 보호해야 합니다. 공정신용보고법은 법 집행 및 범죄 수사 목적으로는 데이터를 사용할수 있도록 보장하고 있습니다. 이를 통해 사법 기관들은 용의자를 식별하고 증인을 찾아낼 수 있게 됩니다.
국가 안보 관계자, 재향군인 단체, 법 집행 및 사법 기관, 가정폭력 예방 단체 등 다양한 이해관계자들이 데이터 브로커의 규제에 찬성하고 있습니다. 이는 현재의 프라이버시 보호 제도로서 개개인이 보호받기에 불충분하다는 데에 있어 공감대가 형성되고 있다는 걸 보여줍니다. 오늘의 제안으로서 미국인들의 가장 민감한 정보를 거래하는 기업들이 제대로 된 책임감을 갖게 되기를 바랍니다. 이는 우리로서 매우 중요한 개혁이며 진보입니다.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>