NSA, 마침내 미국인의 민감한 데이터 구매를 인정

미국 국가안보국(NSA) 이 미국인의 민감한 인터넷 데이터를 구매했다는 최근 폭로는 정부 감시 관행에 대한 대중의 신뢰를 흔들 수 있음에도 불구하고 폭탄처럼 느껴지지 않았습니다.

분노로 가득한 첫 페이지 헤드라인은 없습니다. 어떤 정치인도 책임을 요구하지 않았습니다. 유비쿼터스 감시의 수용이 우리의 집단적 충격 감각을 둔화시킨 것처럼 보였습니다. 이 충격적인 사실과 이것이 데이터 보안에 미치는 심오한 영향에 대해 이야기해 보겠습니다.

NSA의 브라우저 데이터 구매: 법적 프로토콜 위반

모든 클릭과 키 입력을 추적할 수 있는 디지털 시대에 개인 정보 보호는 종종 먼 기억처럼 느껴집니다. 하지만 우리 자유의 수호자들이 필요한 견제와 균형도 없이 은밀하게 우리 온라인 생활을 들여다보고 있다면 어떻게 될까요?

최근 정부 감시에 대한 신뢰의 기반이 흔들린 폭로가 있었습니다. 하지만 놀라운 점은 폭탄선언이나 속보 알림이 없었다는 점입니다. 오히려 그것은 NSA의 은밀한 활동을 적나라하게 보여주는 문서의 조용한 공개였습니다.

Ron Wyden 상원의원은 국가안보국(National Security Agency)이 영장 없이 상업용 데이터 중개인으로부터 미국인의 웹 검색 데이터를 구매해 왔다고 밝혔습니다.

이는 정부 기관이 개인의 개인 정보 보호 권리를 보호하기 위한 법원 명령을 무시하고 기밀 정보를 획득하여 정기적으로 미국인을 감시한다는 것을 의미합니다.

이 폭로를 특히 저주스럽게 만드는 것은 그것이 폭로하는 위선입니다. 미국은 항상 자유와 민주주의의 상징이었으며 감시 관행에 대해 다른 국가를 비판해 왔습니다. 그러나 비공개적으로는 미국 정부가 합법성을 겉으로 드러내면서도 유사한 활동에 참여하고 있었던 것으로 보입니다.

그러나 아마도 가장 문제가 되는 것은 이 계시가 받아들여졌을 때의 태연함일 것입니다. 이는 감시를 새로운 표준으로 암묵적으로 받아들이는 위험한 안일함을 강조합니다.

상원의원의 행동 촉구

Wyden은 NSA가 미국인의 인터넷 기록을 구매하고 있다는 사실을 공개하기 위해 거의 3년 동안 싸웠습니다. 그는 티모시 허(Timothy Haugh) 중장을 NSA 국장으로 지명하는 것을 보류한 뒤 이 사실을 공개적으로 확인하는 데까지 성공했다.

FBI가 민감한 데이터 구매를 인정하도록 강요했던 Wyden 상원의원의 이전 노력에 이어, 이제 그는 모든 정보 기관에 데이터 브로커가 불법적으로 취득한 개인 데이터 구매를 중단할 것을 촉구하고 있습니다.

우려를 표명하면서 Wyden은 정부가 미국인의 사생활을 노골적으로 침해하고 그러한 행위를 비윤리적이고 불법적인 것으로 낙인찍는 산업을 지원해서는 안 된다고 강조했습니다. 그는 국가정보국장인 에이브릴 헤인스(Avril Haines)에게 편지를 보내 FTC가 데이터 판매에 대해 정한 법적 기준에 부합하는 정책 채택을 촉구했습니다.

데이터 수집의 합법성에 대한 의문

NSA 관계자는 Wyden 상원의원에게 브리핑을 하면서 해당 기관이 미국 내 미국인에 대한 데이터를 구매할 뿐만 아니라 그들의 인터넷 메타데이터도 수집한다고 밝혔습니다.

Wyden 상원의원은 이번 폭로의 의미에 대해 우려를 표명했습니다. 그는 이러한 데이터에 접근하면 정신 건강 지원을 제공하는 웹사이트 방문, 학대 생존자를 위한 리소스, 피임이나 낙태 약물과 같은 생식 건강 서비스 제공업체 방문 등 개인의 온라인 활동과 같은 개인적이고 민감한 정보가 노출될 수 있다고 설명했습니다.

데이터 브로커 위반에서 정보 기관의 역할

Wyden은 데이터가 판매되기 전에 사용자의 명확한 공개와 사전 동의를 요구하는 FTC 규정을 위반하는 데이터 브로커를 정보 기관이 실수로 도울 수 있다는 가능성을 강조했습니다. 데이터 브로커에 대한 7년간의 조사에도 불구하고 Wyden은 데이터 수집 전에 사용자에게 그러한 경고를 제공하는 회사가 없다는 점을 지적했습니다.

Wyden은 최근 FTC가 의심스러운 관행을 조사한 데이터 브로커인 X-Mode의 사례를 언급했습니다. 이번 사건은 동의 철회 이후에도 회사가 사용자 동의 없이 민감한 위치정보를 판매했다고 인정한 뒤 나타났다.

그는 FTC의 명령이 "새로운 규칙"을 확립하는 것이라고 설명했지만, 이는 주로 화해를 통한 관습법의 한 형태로 사용되며 FTC 법에 따라 용납할 수 없는 관행을 나타냅니다.

X-Mode의 FTC법 위반에는 민감한 데이터의 불공정 판매, 소비자의 개인 정보 보호 선택 무시, 동의 확인 없이 위치 데이터를 기만적으로 수집 및 사용하는 등 다양한 위반이 포함됩니다.

그러나 FTC는 이 명령이 정보기관의 데이터 구매까지 확대되는지 여부에 대해서는 명확한 설명을 제공하지 않았습니다. FTC 명령에는 연방 기관이나 단체가 보안이나 국가 안보 목적으로 미국 외부에서 수집한 데이터에 대한 면제가 포함되어 있다는 점을 언급하는 것도 중요합니다.

Wyden, FTC 규정 준수 촉구

와이든 상원의원은 FTC가 최근 발표한 새로운 규정에 따라 불법적으로 획득한 미국인의 개인 데이터 구매를 중단하도록 미국 정보기관에 지시할 것을 국가정보국장(DNI)에 촉구했습니다.

FTC의 최근 판결은 미국인들에게 자신의 데이터가 "국가 안보 목적으로 정부 계약자"에게 판매된다는 사실을 알리고 동의를 제공해야 한다고 규정했습니다.

또한 이 문제를 해결하기 위해 Wyden은 정보 기관에 철저한 목록을 수행하고 적절한 승인 없이 미국인에 대해 불법적으로 획득한 데이터를 즉시 삭제할 것을 요청했습니다. 그는 그렇게 하지 않으면 NSA나 FBI 같은 기관이 수정헌법 제4조와 같은 헌법 보호를 효과적으로 우회할 수 있다고 주장했습니다.

규정 준수를 보장하기 위한 Wyden의 권장 사항

FTC 규정 준수를 촉구하는 것 외에도 Wyden은 최신 판결 준수를 보장하기 위해 정보 기관 요소에 대한 세 가지 조치를 제안했습니다.

• 구매한 개인 데이터 목록 수행

정보 기관은 위치 및 인터넷 메타데이터와 같은 측면을 포함하여 미국인에 대해 구매한 개인 데이터 목록을 작성해야 합니다. 이 권장 사항은 2022년 1월 보고서에서 DNI의 상업적으로 이용 가능한 정보에 대한 수석 자문 그룹 패널이 제시한 제안과 일치합니다.

• FTC 표준에 따라 데이터 소스를 평가합니다.

인벤토리에서 식별된 각 데이터 소스를 평가하여 합법적인 개인 데이터 판매에 대해 FTC가 명시한 표준을 충족하는지 확인해야 합니다. 이는 개인 정보 보호 및 시민 자유에 대한 우려를 제기하는 민감한 상업적으로 이용 가능한 정보를 식별하고 보호하라는 고위 자문 그룹의 권장 사항과 일치합니다.

• 비준수 데이터 제거

데이터 구매가 FTC의 법적 기준을 충족하지 못하는 경우 정보기관은 즉시 데이터를 삭제해야 합니다. 그러한 데이터를 보관해야 하는 구체적인 필요성은 의회에 전달되어야 하며, 보관된 데이터의 세부 사항은 가능한 한 최대한 미국 대중에게 알려야 합니다.

정보 기관에 불법적으로 수집된 데이터를 목록화하고 제거하라는 Wyden의 요구는 책임 규명과 시정을 향한 중요한 단계를 의미합니다. 기관이 자신의 행동에 대해 책임을 지도록 함으로써 개인의 권리에 대한 부당한 감시의 부정적인 영향을 완화할 수 있습니다.

Shady 데이터 브로커 거래에 대한 Waden에 대한 응답

Wyden의 서한에 대한 응답으로 국방부 정보보안 차관인 Ronald Moultrie는 국방부가 미국인의 위치 데이터를 수집할 때 개인 정보 보호 및 시민 자유에 대한 엄격한 기준을 엄격히 준수한다고 확신했습니다.

그는 국방부가 외국의 적, 미국 기업 및 개인이 접근할 수 있는 상업적으로 이용 가능한 정보에 대한 법원 명령을 획득해야 하는 기존 법적 의무가 없다고 말했습니다.

NSA의 폴 나카소네 장군은 Wyden에 대한 또 다른 답변에서 NSA가 미국인 개인에 대한 데이터 수집을 제한하는 조치를 취하고 있으며 임무와 관련된 필수 정보만 수집한다고 말했습니다.

여기에는 미국 국방 산업 기지를 보호하고 군사 무기 시스템을 지원하는 데 중요한 국제 통신에 관여하는 미국인에 대한 상업적으로 이용 가능한 일부 데이터가 포함됩니다.

그러나 Wyden은 여전히 확신이 없습니다. 그는 미국인의 정보를 동의 없이 판매하는 데이터 브로커의 광범위한 비윤리적 관행에 대해 여전히 우려하고 있으며 규제가 시급하다고 강조했습니다.

FTC가 확인한 바와 같이 침입 감시에 종사하는 기업에 대한 정보 기관의 지원을 정당화하기에 충분한 이유는 없습니다.

Moultrie는 DNI가 정보 활동에 적합한 정보 소스를 결정한다고 밝혔지만 Wyden은 비밀 데이터 수집에 더 관심을 갖고 있습니다. 미국인들에게 그러한 비밀 데이터 수집을 거부하도록 지시하고 허용해야 합니다. 데이터 구매와 관련된 정보 기관의 투명성 부족으로 인해 많은 위험 신호가 발생하고 있습니다.

최종 단어

NSA가 미국인의 검색 데이터를 구입한 것은 지난 몇 년 동안 인터넷 전체에서 이루어졌습니다. 그러나 아주 최근에는 Wyden 상원 의원이 3년간의 꾸준한 노력 끝에 마침내 NSA의 진실을 밝히는 데 성공하면서 이러한 모든 추측이 현실로 바뀌었습니다.

이제 Wyden은 정보 기관에 영장 없이 누구도 접근해서는 안 되는 모든 민감한 데이터를 제거할 것을 요구하고 있습니다.

또한 Wyden은 FTC의 명령에 따라 미국인들에게 국가 안보 목적을 위해 자신의 데이터가 정부 계약자에게 판매된다는 사실을 알리고 동의해야 한다고 지적했습니다. 이 요구 사항은 데이터 악용에 대한 우려 속에서 개인의 개인 정보 보호 권리를 보호하는 것을 목표로 합니다.

FTC가 소수의 데이터 브로커에 대해 조치를 취했지만 미국인의 동의를 얻지 않고 데이터를 판매하는 의심스러운 관행은 규제가 필요한 광범위한 문제입니다. 정보 기관은 이 의심스러운 시장의 고객이 되는 대신 미국인에 대한 침해적이고 규제되지 않은 감시에 관여한 혐의로 기소된 회사에 자금 지원을 중단해야 합니다.