본문 바로가기

개별 기업/페이스북

[NYT] Facebook Gave Device Makers Deep Access to Data on Users and Friends

 

 

 

https://www.nytimes.com/interactive/2018/06/03/technology/facebook-device-partners-users-friends-data.html

 

 

 


[NYT] 페이스북을 통해 디바이스 제조사들은 유저와 그 친구에 대한 데이터에 아주 가까이 접근할 수 있었다. 



페이스북은 애플, 삼성 그리고 수십개의 다른 제조사들과 함께 데이터 공유 헙력 관계를 구축하여 사생활 보호에 대한 새로운 우려를 제기했다, 


By GABRIEL J.X. DANCE, NICHOLAS CONFESSORE and MICHAEL LaFORGIA JUNE 3, 2018 


 

 

 

 

 

 

 

 

 

페이스북 CEO인 마크 주크버그는 지난 4월 상원 청문회에서 다음과 같이 발언했다. 페이스북은 최소 60여개의 스마트폰 제조사들에게 대량의 유저 데이터에 대한 접근 권한을 부여했다. 
 

Leah Millis/Reuters 





페이스북이 세계에서 가장 지배력 있는 SNS가 되기 위하고자, 스마트폰 제조사들이 방대한 양의 유저 개인정보에 접근할 수 있도록 하는 계약을 체결했다. 


페이스북은 지난 10년동안 애플, 아마존, 블랙베리, MSFT, 삼성을 포함한 최소 60여개의 제조사와 함께 데이터 공유 협력 관계를 맺었다고 회사 관계자는 말했다. 그것은 페이스북의 지배력을 공고히 하는 한편, 영향력을 넓힐 수 있었고, 제조사들은 고객들에게 좋아요 단추나, 주소록과 같은 SNS의 인기 있는 기능을 제공하게 했다. 


그러나 이 파트너십이 개인정보 보호와 2011년 연방 거래 위원회의 동의 법령 준수를 위반했는지에 대한 우려가 발생하고 있다. 페이스북은 더 이상 외부와 정보를 공유하지 않겠다고 선언한 후에도 제조사들이 유저 친구들의 데이터에 명시적인 동의 없이 접근 할 수 있도록 하였다. 일부 제조사들은 어떠한 공유도 허락하지 않은 유저의 친구들에게서도 개인정보를 검색할 수 있다는 사실을 발견했다. 


비록 지난 4월에 페이스북이 이러한 것들을 정리하기 시작했으나, 대부분의 파트너십은 여전히 유요하다. 페이스북은 지난 3월 정치 컨설팅 회사인 CA가 수천만명의 페이스북 유저의 개인정보를 남용했다는 보도가 이어진 이후 상하원과 규제당국의 조사를 받은 바 있다. 


이후 경영진들은 2014년 CA가 이용한 접속이 페이스북이 개발자들이 유저의 친구 정보를 수집하는 것을 금지하면서 차단되었다고 말했다. 그러나 회사 관계자들은 페이스북이 휴대폰, 태블릿 등의 하드웨어 제조사들은 이러한 사항에서 면제되었음을 밝히지 않았다.  


"여러분은 페이스북이나 제조사가 신뢰할 수 있다고 생각할 수 있습니다. 하지만 문제는 디바이스에서 점점 더 많은 정보가 수집되고(기기 내 앱이 데이터에 접근 할 수 있는 케이스), 심각한 개인정보 보호 및 보안 위험이 발생하는 것입니다." 라고 모바일 앱의 보안을 연구하는 캘리포니아 대학의 개인 정보 연구원인 Serge Egelman이 말했다. 


인터뷰에서 페이스북은 개인 정보 보호 정책, FT협정, 유저에 대한 약속과 일치하는 데이터 공유를 옹호했다. 파트너 서버에 저장된 데이터를 포함하여 데이터 사용을 업격히 제한하는 계약이 파트너의 파트너십을 지배한다고 말했다. 관계자들은 그 정보가 어디에서 악용되는지는 전혀 알지 못했다고 덧붙였다. 


페이스북은 자사 기기파트너를 페이스북의 확장자로 간주하고 있으며, 20억명의 유저에게 서비스를 제공하고 있다고 회사 관계자는 말했다. 


"이러한 파트너십은 앱 개발자들이 우리의 플랫폼을 사용하는 방식과 매우 다르게 작용합니다." 페이스북 부사장인 Ime Archibong가 말했다. 페이스북 유저들에게 게임, 서비스를 제공하는 개발자들과 달리 기기 제조사들은 페이스북 데이터를 이용하여 "페이스북 체험 버전"을 제공할 수 있다고 덧붙였다. 


일부 제조사들은 페이스북 유저의 관계, 종교, 정치성향, 앞으로 있는 유저의 일정들을 수많은 데이터 중에서 검색할 수 있다. 타임지가 실시한 서베이에 따르면, 협력사들은 타사와 동일한 방식으로 데이터를 요청하고 받은 것으로 드러났다. 


이 디바이스 제조사들이 외부인이 아니라는 페이스북의 견해는 파트너로 하여금 더 나아가게 한다는 것을 알 수 있다. 


몇몇 전 페이스북 엔지니어들과 보안 전문가들은 인터뷰에서 공유 제한을 무시하고 있는데 놀랐다고 말했다. 


"이는 마치 자물쇠를 다는 것과 같습니다. 다만, 그 자물쇠 주인이 이전에 그의 모든 친구들에게 열쇠를 주어서 허락없이 당신의 집 물건들을 뒤질 수 있는 것이죠." 


 

 

 

하나의 전화기로 수십만의 페이스북 계정에 접근하는 방법 


뉴욕 타임즈 기자인 미카엘은 페이스북에 로그인 하기 위헤 블랙베리의 허브앱을 사용했다.

 

 


페이스북에 접속한 이후, 허브앱은 미카엘의 친구 관계, 상태, 종교, 정치 성향, 일정을 포함하여 556명에 대한 자세한 데이터를 검색한다. 페이스북은 2015년 제 3자가 이러한 종류의 정보에 접근하는 것을 차단했다고 발표한 바 있으나, 이 경우에는 블랙베리가 그 제 3자가 아니라는 소리다. 

 

 

 

 

 

 

 

 

 

 

 

 

 

허브앱은 또한 미카엘의 친구들 중 29만 여명의 유저를 포함한 정보에 접근 할 수 있었다. 




By Rich Harris and Gabriel J.X. Dance

 

 

 

 



페이스북 제휴에 대한 세부 사항은 실리콘 벨리에서 인터넷에서 수집되고 테크 산업에 의해 동기화된 개인정보의 양에 대한 판단에 대한 고찰이 내려지는 가운데 등장했다. 미국에서는 규제가 심하지 않지만, 광범위한 데이터 수집이 국내외에서 정치인들에게 비난을 받고 있으며 유저들 사이에서 정보가 얼마나 자유롭게 공유가 되고 있는지에 대한 우려가 커지고 있다. 


3월 의회에 참석한 마크는 페이스북 유저들에게 회사 우선 순위라는 말을 강조한 바 있다. "누가 보고, 어떻게 공유하는지를 완벽히 통제할 수 있습니다." 


그러나 기기 파트너십은 2012년 초에 페이스북 내에서도 논의를 불러 일으켰다. 


"이는 사내에서도 개인정보 보호문제 이슈로 시끌시끌했었지." Parakilas은 페이스북을 퇴사한 이후 극렬한 안티로 떠오른 인물이다. "이러한 관행이 6년 넘게, 그 이후에도 지속되는 것은 충격적인 일입니다. 모든 친구의 허락을 받을 수 없었다는 페이스북 의회 증언에 반박하는 것이죠." 


이번 파트너십은 SNS의 거대 기업인 페이스북의 사생활을 조사하는 독일 의원들에게 제출된 문서에서 간략히 언급되었고, 5월 중순에 페이스북에 의해 공개되었다. 하지만 페이스북은 의원들에게 한때 독점적이었던 모바일 기기를 만든 블랙베리라는 단 하나의 파트너 이름만을 제공했고, 이 파트너십이 어떻게 진행되었는지에 대한 정보는 거의 제공하지 않았다. 


이 탄원서는 지난 4월 비공개 독일 청문회에서 조엘 카플란 페이스북 글로벌 정책 담당 부사장의 증언이 있은후 제출되었다. 카플란에게 질문을 한 의원중 한명이 엘리자베스 의원은 한 인터뷰에서 페이스북이 공개한 데이터 협력이 유저의 사생활을 침해한다고 생각한다고 말했다. 


엘리자베스 의원은 "우리가 페이스북이 명확한 동의를 구하지 않고, 고의로 유저 데이터를 다른 곳으로 넘겼는지를 밝히고자 노력했다." 라고 말했다. "우리는 제조사와 페이스북과의 파트너십을 통해 비밀리에 이런일이 이러날 수도 있다는 것을 상상도 못했다." 


타임즈와의 인터뷰에서 페이스북은 세계 최대의 제조사인 애플과 삼성, 최대의 전자기기 판매처인 아마존등 다른 파트너들이 있음을 확인 할 수 있었다. 


애플에서는 유저들이 페이스북 앱을 켜지 않고도 SNS 상에서 사진을 올릴 수 있는 기능을 제공하기 위해 페이스북 데이터를 개인적으로 이용하고 있다고 말했다. 애플은 지난 9월 이후 자사의 스마트폰에서 더 이상 페이스북에 접속할 수 없다고 말했다. 삼성은 페이스북과의 파트너십에 대해 답변하지 않았다. 아마존 또한 답변을 거부했다. 


블랙베리의 어셔는 "페이스북 데이터를 이용해서 자신의 페이스북 네트워크와 메시지에 접속할 수 있게 했다."라고 말했다. 어셔는 고객의 페이스북 데이터를 수집하지 않았다고 말했다. 또한 "블랙베리는 고객 데이터를 수집하지 않았고, 보호하는 업무를 수행해왔다." 라고 덧붙였다. 


MSFT는 2008년 페이스북과 파트너십을 맺고, MSFT 기기로 연락처와 친구를 추가하고 알림을 받을 수 있게 되었다고 말했다. MSFT는 데이터가 전화기에 로컬로 저장되었으며 마이크로 소프트 서버와 동기화되지 않았다고 덧붙였다. 


페이스북은 일부 파트너가 사용자의 데이터(친구의 데이터 포함)를 자신의 서버에 저장했음을 인정했다. 페이스북의 한 관계자는 데이터가 어디에 보관되어 있든지 간에, 회사들 간의 엄격한 합의에 의해 관리되고 있다고 말했다. 


콜롬비아 대학의 컴퓨터 공학 교수인 Henning Schulzrinne은 "페이스북 사무실에 있는 누구라도 제3자가 데이터에 접근하는 것을 허용하는 것이 좋다고 생각하는 태도를 보고 어이가 없었다." 라고 말했다. 


CA 스캔들은 페이스북이 얼마나 느슨하게 플랫폼을 감시했는지를 여실히 드러냈다. 여기에는 SNS게임 제작사인 징가부터 시작해서 30만명의 유저와 그 친구들의 데이터에 접근하기 위해 퀴즈를 만들어낸 CA까지 다양했다. 


개발자들은 앱 프로그래밍, 인터페이스, API 데이터 체널에 의존했다. 2007년부터는 기기 제조사를 위한 개인 데이터 체널고 구축했다. 당시에는 기기 성능이 너무 후졌고, 스마트폰에서 흔히 볼 수 있는 것과 같은 독립적인 페이스북 앱을 실행할 수 있는 기기 자체가 드물었다. 페이스북은 2014년까지 기기 제조업체를 위한 새로운 개인 API를 지속적으로 구축하여 페이스북의 직접 통제 범위 밖에 있는 수천만개의 디바이스, 콘솔, TV, 기타 시스템을 통해 유저 데이터를 분산시켰다. 


그런데 이러한 일련의 것들이 2011년의 FTC 법령을 준수하고 있는지에 대한 의문이 제기되기 시작했다. 


해당 법령은 페이스북이 먼저 명확한 동의를 구하지 않은채 유저의 개인정보보호 설정을 무시하는 것을 금지하는 것이다. 이는 페이스북이 페이스북 개발자와 제3자가 유저 친구들의 개인정보를 수집하는 것에 대한 조사에서 비롯되었다. 


CA 사건 이후, 2011년 이후 페이스북의 지속적인 데이터 공유가 법령을 위반했는지에 대한 조사가 시작되었고, 아마도 페이스북은 벌금을 맞을 가능성이 있다. 


페이스북은 사적인 데이터 체널이 하드웨어 파트너를 페이스북의 데이터를 저장하기 위해 지불한 클라우드 컴퓨팅 서비스나 신용카드 거래를 처리하기로 계약한 회사와 같은 "서비스 제공 업체" 로 보았기 때문에 법령 위반이 아니라고 말했다. 동의 법령에 따른 페이스북은 친구 데이터를 서비스 제공업체와 공유할 수 있는 추가적인 허가를 요구할 필요가 없다. 페이스북은 FTC 법령을 준수한다고 말한다. 


그러나 이러한 페이스북 조사를 주도하는데 결정적인 역할을 한 FTC 간부인 제시카는 그에 동의하지 않았다. 


"페이스북의 법리 해석에 따르면, 예외 규칙은 무시하고 있습니다. 그들은 제3자와 데이터를 공유하는 것은 페이스북의 경험중 일부라고 주장할 것입니다. 그리고 이것은 일반인들이 제3자 앱의 친구 데이터 접근을 제한하겠다는 발표를 반영하고 있지 않고 있죠. 라고 제시카가 말했다. 


페이스북의 개인 데이터 체널에 대한 파트너社의 접근을 테스트하기 위해 타임지는 약 550명의 친구가 있는 기자의 페이스북 계정과 2013년에 제조된 블랙베리 단말기를 사용하여 장치가 요청하고 수신하는 데이터를 모니터링 했다. 2013년 기기를 사용하는 이유는, 현재의 블랙베리 기기는 구글의 안드로이드 운영체제를 사용하고 있으며, 최신형 기기들은 동일한 개인 체널을 사용하고 있지 않다고 블랙베리 관계자가 말한 바 있기 때문이다. 


기자는 페이스북 계정에 기기를 연결하고, 유저 ID, 이름, 사진, 정보, 위치, 이메일, 휴대전화번호 등 자신의 프로필을 요청했다. 그리고 기기는 유저의 개인적인 메세지와 그가 연락하고 있는 친구들의 이름, ID를 검색했다. 


이 데이터는 블랙베리 유저가 모든 메시지와 SNS 계정을 한곳에서 볼 수 있도록 하는 허브라는 앱으로 전송되었다. 


허브는 또한 페이스북의 정책이 금지하는 것으로 보이는 데이터를 요청했고, 데이터를 전송 받았다. 2015년부터 페이스북은 같은 앱을 이용하는 친구들의 이름만을 요청할 수 있다고 말했었다. 하지만, 블랙베리의 허브앱은 기자의 페이스북 친구들 모두에게 접근이 가능했고, 대부분의 사람들에게 유저 ID, 생일, 직장, 학벌, 상태여부 등의 정보를 알려주었다. 


이 블랙베리 단말기는 또한 약 29만명의 페이스북 유저들을 위해 식별 정보를 검색할 수 있었다. 이들의 대부분은 페이스북의 친구들 혹은 친구의 친구들이었다. 


모두 합쳐서 페이스북은 블랙베리 단말기가 유저와 친구에 대해 50가지 이상의 정보에 접근할 수 있도록 해주었다. 




Katrin Bennhold contributed reporting.