이석원 기자
클리어뷰AI(Clearview AI)는 SNS 등에 올린 얼굴 사진 30억 장과 개인 정보를 무단으로 사용해 얼굴 인식 AI를 구축해 판매해왔지만 서버 설정 오류로 소스 코드 등 정보를 유출하고 있었다고 한다.
문제가 된 얼굴인식 소프트웨어 소스 코드와 비밀키, 인증서 정보 등 데이터 클라우드 스토리지 계정 정보가 담긴 서버가 잘못된 설정ㅇ으로 누구나 사용할 수 있게 되어 있었다는 것이다. 또 클라우드 스토리지는 테스트용으로 만든 응용 프로그램과 출시되지 않은 응용 프로그램 복사본이 보관되어 있고 기업 내 통신에 사용할 수 있는 슬랙 액세스 정보도 공개되어 있었다고 한다.
SNS 플랫폼 기업의 개인 정보 보호 정책을 무시하고 수집한 30억장 이미지 데이터를 사용한 클리어뷰AI 얼굴인식 소프트웨어는 지금까지 법 집행기관에만 판매되며 일부 이용되고 있었다. 하지만 올해 들어선 월마트와 베스트바이 등 민간 기업, NBA 같은 단체 등에도 판매됐다는 보도가 나온 바 있다.
클리어뷰AI 측은 자사 시스템 결함을 발견한 사람에게 포상금을 제공하는 버그 포상금 프로그램을 시작했다며 보상 프로그램에 등록되지 않은 스파이더실크(SpiderSilk)가 보고한 이번 결함 내용은 개인 식별 정보, 검색 기록, 생체 인식 정보를 노출한 건 없었다고 강조했다. 물론 스파이더실크 측은 보안 측면 문제를 공개적으로 할 수 없기 때문에 보상금 수령을 거부했다고 주장하고 있다.
코로나19 감염이 확산되기 전 클리어뷰AI를 둘러싸고 일리노이 생체 정보 보호법 BIPA에 이 기술이 상충된다는 판결로 판사가 주민 데이터 파기를 명령한 바 있다. 2월에는 이용약관과 정책을 무시한 화상 취득에 페이스북이나 구글 같은 주요 웹서비스가 이미지 무단 수집을 멈추라고 요청하기도 했다. 또 캘리포니아에선 클리어뷰의 정보 수집이 캘리포니아 소비자 보호법 CCPA에 반한다며 집단 소송을 제기했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
