가끔 온라인 광고를 보다가 깜짝 놀란 적이 있을 것이다. 마치 누군가 내 검색 기록을 찾아보기라도 한 듯이 내 관심사에 딱 맞춘 광고를 보여주기 때문이다. (적어도 이론적으로는) 광고 플랫폼과 전혀 별도의 웹사이트에서 했던 상품 구매, 항공편 및 숙박 예약까지 어떻게 알고 관련 광고를 보여준다. 심지어는 온라인도 아니고, 오프라인에서 구매했던 것까지 뜨기도 한다.
이것이 가능한 이유는 우리가 디지털 공간에서 하는 모든 행위들은 물론이고 우리의 위치 정보, 신용카드 사용 내역 등의 정보가 소위 데이터 거래소에서 거래 및 대여 가능한 상품이 되었기 때문이다. 만약 ‘감시 자본주의’(surveillance capitalism)라는 것이 있다면 아마도 데이터 거래소는 감시 자본주의의 정보 기관쯤 될 것이다.
이러한 ‘감시 자본주의’의 진짜 얼굴을 들여다 보기 전에, 우선 우리의 웹 사용이 어떻게 정보화 되고 기록되는지를 알아보자. 보통 우리가 방문하는 웹 사이트들은 우리의 IP 주소를 알고 있다. 그렇지만 IP 주소 만으로는 ISP, 네트워크, 또는 한 동네 정도의 넓은 범위로 밖에 사용자의 위치를 특정하지 못한다. 즉, IP를 통해서는 사용자들을 큰 덩어리의 인구 집단으로밖에 묶어내지 못한다.
물론, 기기 설정을 어떻게 해두냐에 따라 반경 3미터 정도까지 사용자의 물리적 위치를 특정할 수도 있다. 이 정도의 정밀도를 지닌 데이터는 사용자(의 기기)가 어느 건물에 있는지, 그리고 과거에 어디에 있었는지를 알려 준다. 당연히 그 사용자가 소비한 정보나 제품에 대한 자세한 정보도 알 수 있다.
솔직히, 앱을 설치할 때 서비스 약관을 일일이, 꼼꼼히 읽고 동의하는 사람이 얼마나 될까? 그런데, 이런 서비스 약관에는 알게 모르게 앱 개발자가 기기의 마이크를 통해 사용자의 대화 내용이나 기기 주변에서 나는 소리를 들어도 좋다는 동의 내용이 들어 있을 수 있다.
일례로, 아이들이 자주 가지고 노는 개임 앱 중에는 알폰소(Alphonso)같은 기업에서 개발에 참여한 앱들도 있다. 뉴욕 타임즈에 따르면, 알폰소는 휴대기기의 마이크를 통해 (앱을 사용하지 않을 때조차도) 아이들이 어떤 TV를 보는지 등의 정보를 수집한다고 한다.
혹시 검색도 아니고, 그냥 대화만 나눴는데도 그 대화의 주제와 관련된 광고가 뜨는 경험을 해 본 적이 있지 않은가? 아직까지 권위 있는 학술지에 실린 내용은 아니지만, 몇몇 연구 결과에 따르면 실제로 음성 자료만 가지고도 관련 광고가 인터넷에 기재된 사례가 없지 않다. 피해망상이 아니냐고? 계속 읽어보면 지금 무슨 얘기를 하는지 알게 될 것이다.
광활한 ‘웹의 바다’ 속에서 바늘을 찾아내는 방법
과거 웹사이트들은 자체적인 쿠키만 볼 수 있었지만, 요즘은 광고 제공 스크립트들이 서드파티 쿠키를 사용하기도 한다. 이렇게 하면 광고 플랫폼이 여러 웹사이트상에서 이루어진 활동을 모두 볼 수 있게 된다. 픽셀 트래킹 시에도 역시 새로운 사이트를 방문할 때 렌더링을 하면서 그 사이트의 URL을 기록하도록 되어 있다. 그나마 이런 방법들은 그래도 하나의 기기에 국한되어 있고, 브라우저에서 검색을 할 때에만 적용된다.
즉, 지금까지 소개한 감시 수법은 아직까지 ‘결정적인 선’을 넘지는 않은 상태다. 이들은 사용자가 전자 기기 상에서, 혹은 전자 기기를 몸에 지닌 상태에서 한 행동은 알 수 있을지 몰라도, 이는 어디까지나 ‘전자기기’라는 한계에 국한되어 있었기에 해당 기기를 사용하지 않으면 그만이었다.
그러나 소위 ‘데이터 산업’ 에서는 소비자 행동을 연속적으로, 기기에 상관없이 추적하기 위하여 이러한 선을 기어코 넘어서고 있다. 사용자 정보는 디바이스 ID 라는 것을 통해 수집되는데, 이 디바이스 ID에는 크게 두 형태가 있다.
개연성 ID(probabilistic ID)와 결정성 ID(Deterministic ID)가 그것이다. 개연성 ID는 다양한 추론 메타데이터를 기반으로 하며, 사용자와 기기간의 연관성을 찾아 연결해 준다. 그 정확도는 70-90% 가량이라고 알려져 있다.
결정성 ID는 이보다 훨씬 ‘가상 신분증’에 가깝다. 여기에는 사용자의 이름, 이메일 및 전화 번호 등 보다 직접적인 정보들이 포함된다. 신용카드 정보만 추가되면 빼도 박도 못하게 당신임이 증명된다. 즉, 광고 플랫폼에서는 당신이 어떤 기기를 사용하던 그것이 ‘당신’임을 즉각적으로 알 수 있다.
데이터 거래소란?
데이터 거래소들은 기업들에 사용자 데이터를 판매 또는 대여해주고, 그 대가로 커미션을 챙긴다. 실제로 많은 기업들이 사용자 데이터를 판매하고, 또 원하는 고객 경험을 창출해 내기 위해 데이터를 구매한다. 심지어 신용카드 회사들, 오프라인 스토어들도 거래소에서 데이터를 사고 파는데 일조한다.
즉, 데이터 거래소 플랫폼에 들어가 “이러이러한 IP를 가진 사람들, 혹은 이러이러한 디바이스 ID를 가진 사람에 대해 이러이러한 정보가 있다. 혹시 이들에 대해 더 자세한 정보를 가진 사람은 없는지?” 라고 물어보는 것이다.
이런 정보는 무척이나 개인적이고 사적인 것들까지 포함하며, 또한 특정인의 신원과 긴밀하게 연계되어 있다. 그리고 무엇보다 귀중한 상품으로써 ‘철저히 보호’ 받는다. 물론, 광고사들이 돈을 내고 정보를 사 가기 전까지만 말이다.
이런 데이터 거래소가 장사가 잘 된다는 사실이 알려지면서 많은 이들이 너도 나도 데이터 거래소 사업에 뛰어들고 있다. 미안한 얘기지만, 이 거래소들 중 적어도 한두 곳 정도에서는 당신의 정보도 거래되고 있을 것이다.
팩츄얼(Factual), 데이터마켓(DataMarket), 마이크로소프트 애져 데이터 마켓플레이스(Microsoft Azure Data Marketplace) 같은 주요 거래소들의 경우 이미 상당히 성숙되고 큰 규모의 플랫폼을 지니고 있다. 구글 블로그에 따르면, 구글 어트리뷰션(Google Attribution)의 목적은 “디지털 및 물리적 환경에서 여러 장치와 채널에 걸쳐 있는 소비자 여정을 측정하는 것” 이라고 소개되어 있다. 구글 어트리뷰션은 2014~2017년 사이 50억 건의 오프라인 스토어 방문 내역을 추적하였으며 2017년에는 “전 세계 신용카드 및 체크카드 거래 내역의 70% 가량을” 확보하고 있다고 밝혔다.
심지어 미국 정부조차도 은행, 통신사 및 우체국 등에서 개인 데이터 거래소를 운영할 것을 제안하고 있다. 머지 않아 시민들의 데이터베이스에 대한 액세스를 판매하게 될 수도 있다. 현재 사용중인 통신사라고 예외는 아닐 것이다. 단적인 예로 버라이즌만 해도 프리시전 마켓 인사이트(Precision Market Insights)라는 프로그램을 운영하고 있다.
개인에 대한 정보가 상품이 되는 세상
정작 정보의 주인인 대중들은 돈을 내지 않는 한 자신에 대한 어떤 정보를, 어떤 기업들이 거래하고 있는지조차 알 수 없다. 구글로서는 어쨌든 사용자 정보를 자신들의 ‘소유물’로 취급하고 배타적으로 관리하는 것이 가장 이득이다. 구글의 광고 플랫폼이 인기 있는 이유는 판매자들에게는 없는 사용자 데이터를 잔뜩 가지고 있기 때문이니 말이다.
데이터 거래소도 시장인 만큼, 여기에도 수요와 공급에 따라 거래가 이루어진다. 당신의 개인정보의 가치는 당신이 얼마나 ‘광고의 타깃’으로써 바람직한가에 따라 달라진다. 당신의 온라인 및 오프라인 활동, 개인적인 대화 내용, 상품 구매 내역 등 생활의 전반은 모두 상품으로써 적나라하게 타인 앞에 진열된다.
윤리적 문제
최근 브뤼셀에서 열린 사생활 보호 심포지엄에서, 애플의 CEO 팀 쿡은 지금의 상황을 아래와 같이 잘 정리해 이야기했다. “악의를 가진 기업들, 그리고 심지어 정부기관까지도 합세하여 사용자의 신뢰를 배반하고, 사람들 사이의 분열과 폭력을 초래하며, 진실과 거짓에 대한 상식마저도 파괴하고 있다. 이는 우리가 직면한 현실이다. 상상도, 소설도, 피해 망상도 아니다.”
사생활 보호 옹호론자로서, 나는 자신의 데이터가 이처럼 무분별하게 수집되고, 거래됨에도 불구하고 눈 하나 깜짝 안 하는 사람들이 많다는 현실이 놀랍기만 하다. 대중들의 무관심과 묵인, 그리고 공짜 기술이라는 뇌물이 만나 탄생한 결과물을 보라. 우리는 이런 문제들을 공공연하게 이야기 하고, 자신의 개인 정보를 순순히 내어 주었을 때 어떤 결과가 발생할 수 있는지를 적극적으로 알려야만 한다.
이대로 간다면, 우리는 앞으로 금권 정치 국가에 살아가게 될 것이다. 당신은 생산성이 있는 노동자이거나, 소비력이 있는 소비자이거나, 투표권이 있는 유권자로써만 가치를 평가 받게 될 것이다. 중국의 사회 신용 등급은 그 무서운 사례 중 하나이다. “교통 법규 위반, 흡연금지 구역에서의 흡연, 비디오 게임 과소비, 온라인에 가짜 뉴스 기재”와 같은 변변찮은 이유들로 시민들에게 ‘상점’과 ‘벌점’을 주고 등급을 평가하는 등급 제도 말이다.
물론 미국인들은 중국인들 만큼 정부의 이런 규제를 순순히 받아들이지는 않겠지만, 솔직히 온라인 사생활 때문에 취업을 못 하게 되거나, 기타 기본권을 침해 당하는 일이 절대 없을 것이라고 그 누가 단언할 수 있겠는가?
데이터 거래소, 사이버 보안에는 어떤 영향 미칠까
일반적인 기업들이라면 데이터 거래소에서 데이터를 사고 파는 것 이상의 활동을 하기는 어렵겠지만, 자금이 충분한 해커 집단이라면 얘기가 다르다. 또한, 외국 정부기관의 지원을 받는 조직이 데이터 거래소에서 외국 시민들의 정보를 구매하려 하지 않으리라는 보장도 없다. 이러한 데이터를 소셜 엔지니어링이나, 더 나아가 국가간 정보전에 활용하게 된다면 그 결과는 상상하기 싫을 정도이다.
내외부 데이터 유출 위협에는 언제나 협박이 뒤따른다. 사이버 보안이라는 은밀한 세계에서 개인 정보를 활용하면 얼마든지 기업 내부의 IT, InfoSec, 경영진 등 타깃 그룹을 조종할 수 있다. 예컨대, 이들 중 약물에 의존하거나 불륜 관계에 있는 사람이 있다고 해보자. 이들에게 ‘구미가 당길 만한 광고’를 제시하고, 협박에 취약할 만한 이들의 신원을 수집하는 것은 어려운 일도 아니다. 물론 그보다 더 쉬운 방법은 데이터 거래소를 해킹하는 것이고 말이다. 이렇게 하면 모든 사람의 약점을 내 손에 쥘 수 있게 된다.
데이터 거래소들은 이처럼 끔찍한 일들도 했지만, 동시에 경탄할 만한 성과를 이루어 내기도 했다. 개인 보안 벤더들은 고객 설치 기반 및 연구원, 파트너 생태계를 활용하여 위협 지능을 구축하는 데 성공했다. 그러나, 위협 요소 공유를 위한 협력은 데이터 거래소의 수준을 결코 따라잡지 못했다.
OSINT(Open Source Intelligence)가 있긴 하지만, 이들이 제공하는 데이터는 품질이 낮고 정체되었다는 비판을 받곤 한다. 지금까지는 오직 데이터의 공유가 수익과 직결된 곳들만이 성공을 거두었다. 아마도 협력의 가장 좋은 예는 FS-ISAC일 것이다. 보안 업계는 데이터 거래소들로부터 배워야 한다. 데이터 거래소들의 모델은 데이터를 다른 공급업체와 교환하거나 임대하기도 하며, 이를 통해 20-30%의 수수료를 챙긴다.
3가지 예측
1. 이제 어느 날 갑자기 시민들의 의식이 깨어나, 데이터 거래에 반발하는 움직임을 보이리라 기대하기는 요원한 것 같다. 이미 개인 정보 거래 자체가 현대 미국 문화에 너무 깊숙이 자리했고, 그 자체를 뿌리 뽑을 수 있는 단계는 지났다. 동시에 거대 기업들은 정부 규제를 이용하여 해외 정보전과 선거 결과 조작과 같은 위협을 억제하려 할 것이다. 즉 사용자 데이터의 보호는 사용자들 자신을 위해서가 아니라 기업의 이익을 위해 이루어질 것이다.
2. 디지털 포렌식을 보완할 새로운 분야가 등장할 것이다. 웹 여기 저기에 배포되어 있는 증거를 다루는 분야이다. 사이버 범죄 귀속(cyber attribution), 실종 사건, 살인 사건, 데이터 유출, 내부 위협과 같은 문제를 주로 해결할 것이며 아마도 데이터 거래소에서 데이터를 제공 받게 될 것이다.
3. 데이터 거래소들의 데이터 거래 및 임대 모델을 따라 한 위협 지능 분야의 새로운 강자가 등장하게 될 것이다. OSINT 공유 방식에서는 인센티브 요소가 결여되어 있었는데, 위협 데이터의 교환 및 임대를 수익화 하면서 이 문제를 극복하려 할 것이다.
마지막으로 재차 강조하고 싶다. 데이터 거래소들이 사이버 보안에 미칠 수 있는 막대한 영향을 절대 과소평가 해서는 안 될 것이다.
* Paul Shomo는 보안 및 포렌식, 네트워킹, 스토리지 등의 분야에서 15년 이상 소프트웨어 엔지니어로 근무했으며, 인수합병 컨설팅 및 전략 파트너십 분야에서도 활동해왔다. dl-ciokorea@foundryco.com
