“특정 국가 정부가 온라인 데이터를 이용해 국민을 사찰한다”는 주장을 앞으로는 괴담으로 치부하기 어려울 전망이다. SNS 가입 과정에서 제공에 동의한 개인정보가 각국 정보기관으로까지 흘러들고 있는 것으로 나타났기 때문이다. 감청, 미행 등 전통적인 정보 수집 방식을 대신해 상업용 데이터를 활용하는 정보기관이 늘고 있다는 분석이 나온다.
16일(현지시간) 파이낸셜타임스(FT)에 따르면 상업적으로 수집·유통되는 광고 기반 정보인 ‘애드인트’(advertising intelligence·광고 첩보)가 정부 감시 활동의 주요 정보원으로 자리 잡고 있다. 각국 정보기관 활동을 감시하고 점검할 법적 책임을 지닌 유럽 11개 감독기구를 대상으로 독일 보안 연구자들이 조사한 결과다. SNS와 포털에 회원 가입을 하는 과정에서 제공한 정보가 이 같은 감시 활동의 근거가 된다. 빅테크와 데이터 업체들은 맞춤형 광고를 제공하기 위해 가입자의 방대한 정보를 수집하고 있기 때문이다.
연구 공동 저자인 토르스텐 베츨링은 “국가 안보 기관은 상업적 데이터 공급 업체로부터 대규모 데이터 접근권을 구매한다”며 “이 데이터에는 모바일 기기의 고유 식별번호, 시간대별 위치 정보, 해당 기기와 연동된 앱 이용자의 세부 정보가 포함된다”고 말했다. 이어 “연령, 성별, 거주지 같은 기본 정보는 물론이고 정치 성향, 성적 지향, 종교적 신념 등 민감한 추론 정보도 해당될 수 있다”고 덧붙였다.
그동안 각국 정부는 일반인 감청 등의 정보 활동을 엄격히 제한해 왔다. 하지만 상업적 데이터와 관련해서는 규정이 모호하거나 아예 마련되지 않은 점을 이용해 정보 수집 수단으로 활용하고 있다. 베츨링은 “이 같은 관행이 미국뿐 아니라 유럽 전역으로 확산하고 있다”며 “상업적으로 이용 가능한 데이터 범위와 규모가 급격히 확대된 것이 배경”이라고 설명했다.
이용자들이 SNS와 인터넷 서비스 이용약관에 동의하는 과정에서 자신도 모르는 사이 법적 보호 범위를 벗어난 정보까지 업체에 제공되는 점도 문제로 지적됐다. 법 체계와 이용자들의 인식이 데이터 환경 변화에 적응하지 못하고 있고, 정보기관이 이 같은 맹점을 파고들고 있다는 설명이다.
감독기관도 법적 공백 문제를 제기하고 있다. 프랑스 대외안보총국(DGSE)은 2021년 상업적 데이터 구매를 규제하는 법률을 제정할 것을 정부와 정치권에 요청했지만 현재까지 관련 입법은 이뤄지지 않았다.
한명현 기자 wise@hankyung.com