13억 이상 인구를 보유한 인도는 IT 강국으로 최근 눈부신 발전을 이루고 있다. 하지만 반면 온라인 개인 정보 보호 규제는 느슨해 배우자를 감시하는 스파이 앱과 다양한 개인 정보가 매매된다. 이런 인도의 어두운 데이터 경제 실태에 대해 비영리 언론인 단체(Rest of World)가 소개해 눈길을 끈다.
한 인도 여성은 2018년 남편과 이혼을 했다. 계기가 된 건 남편이 자신의 스마트폰을 감시해 사적인 통화, SMS, 왓츠앱 메시지, 사진, 동영상 등 데이터를 기록했다는 것. 남편은 그녀의 친정에 가서 녹음한 메시지를 부모 앞에 틀고 시어머니에 대한 불평이나 남자 친구와 통화한 걸 비난했다고 한다.
그녀는 자신이 언제부터 감시받고 있었는지 몰랐다. 소유한 스마트폰은 남편 선물이었기 때문에 처음부터 스마트폰에 스파이웨어가 포함되어 있었을 가능성이 있다. 인도에선 배우자 스마트폰에 스파이 앱을 심어 감시하는 게 드문 일이 아니라고 한다.
인도사립탐정사원협회 관계자는 부유한 가정이 사립 탐정을 고용해 배우자 적합성을 평가하는 건 도시 지역 엘리트층에선 일반적이라고 말한다. 추정에 따르면 인도 전역 사립 탐정 서비스는 12억 달러 시장 규모로 특정 개인을 추적하기 위해 스마트폰용 스파이웨어를 사용하는 경우가 많다고 한다.
인도 스파이웨어 수요는 2010년대 초반 발생한 것이다. 한 소프트웨어 엔지니어는 바이러스와 사이버 보안 관련 조사에서 아이 행방을 감시하고 싶다는 부모를 만났다. 이 부모는 부자였고 비즈니스 기회가 될 것으로 봤고 아이를 추적하는 응용 프로그램 이지스파이폰(EasySpyPhone)을 개발했다.
이지스파이폰은 위치 데이터 수집 뿐 아니라 통화 녹음이나 문자 메시지 모니터링이 가능했다. 여기에서 파생된 최근 앱은 기능이 추가됐고 페이스북이나 왓츠앱 등 소셜미디어 모니터링을 가능하게 했고 전화 마이크를 몰래 선택해 대화를 녹음할 수 있다고 한다. 비용은 월 20∼40달러이며 부모에게 호평을 얻고 있다고 한다.
하지만 이런 스파이웨어의 주요 수익은 여러 벤더 모니터링 응용 프로그램 라이선스를 공여해 얻고 있는 것이다. 각 벤더는 라이선스를 바탕으로 다른 패키지에서 스파이웨어를 판매하고 있다. 한 사립 탐정은 스파이모바일프로세스(Spy Mobile Process)라는 독자 응용 프로그램을 만들어 조사를 원하는 고객에게 제공하고 있다고 한다.
인도에선 스마트폰을 통한 추적 등을 규제하는 개인 정보 보호법이 애매해 누군가를 감시하는 목적으로 개발한 스파이웨어 판매도 규제되지 않는다. 또 스파이웨어 업체는 스마트폰 소유자가 적절한 서면 동의가 설치에 필요하다고 규정에 기록해 업체는 스파이웨어 사용에 대한 책임이 사용자에게 있다는 면책 조항을 추가한다.
구글은 2020년 8월부터 부정행위를 조장하는 상품이나 서비스에 관한 정책을 업데이트하고 스파이웨어 등 감시 기술에 관한 광고를 금지했다. 반면 민간 조사 서비스나 부모가 미성년 자녀를 추적, 감시하기 위한 서비스에 대해선 규제 대상에서 뺐다. 벤더는 어린이용 제품이라는 걸 강조하고 스파이웨어 판매를 계속하고 있는 것이다. 스파이웨어는 마치 칼과도 같은 셈이다. 과일을 자르는 등 정당한 행위 뿐 아니라 사용법에 따라선 악용될 수도 있다는 얘기다.
인도 내 개인 정보 보호 문제는 스파이웨어 확산 뿐 아니라 다양한 개인 정보를 매매하는 데이터 거래 시장에도 존재한다. 매월 5억 명 이상 인터넷을 사용하는 인도에서 지속적으로 대량 개인 정보를 수집하고 있으며 고객이 다양한 데이터를 구입할 수 있는 온라인 암시장이 있다. 판매된 데이터 세트는 다양성이 풍부하고 자녀를 둔 부모, 케이블TV 고객, 임산부, 습관적으로 피자를 먹는 사람, 투자 신탁 이용자 등 모든 그룹 데이터베이스가 존재한다고 한다.
전형적인 데이터베이스명과 다양한 개인 정보가 늘어선 스프레다시트 형태로 판매되고 있으며 연령이나 거주지 외에 소유한 자동차 종류, 가족 구성이나 자녀 진학까지 알 수 있다. 데이터베이스는 정기적으로 업데이트되기 때문에 이전 데이터가 더 저렴하고 동시에 여러 개 구입하면 할인되는 등 판매 형식도 있다. 잠재 고객은 소셜미디어에 광고를 찾거나 업계 키워드와 데이터, 데이터베이스라는 단어를 조합해 검색하는 것만으로 데이터를 판매하는 업체를 찾을 수 있다.
개인 정보 보호 전문가에 따르며 인도에선 적어도 2006년 경부터 개인 정보가 데이터로 판매되고 있었다고 한다. 데이터 브로커는 인터넷에서 다양한 정보를 수집한다. 한 브로커는 국민 식별 번호 제도 신분증을 이미지 데이터로 판매한 경우도 있었다고 한다. 2019년 조사에선 인도 기업 중 69%가 신뢰할 수 있는 데이터 보안 시스템을 설정하지 않고 44%는 과거 데이터 유출 경험이 있었다고 지적하고 있다.
또 인도 기업이 비즈니스에서 수집한 개인 정보를 판매하기 한다. 쿠폰이나 영화 환불을 위해 입력한 개인 정보는 개인 동의 없이 회사가 판매할 수 있는 경우도 많다고 한다. 인근 휴대전화 가게는 지역 캠페인을 정당 인구 통계를 판매할 수 있고 금융 공학 기업은 점성술 앱을 통해 수집한 개인 정보를 자신의 서버로 전송해 신용카드 신용도를 측정할 수도 있다. 누군가 링크드인에 고용 기록을 만들거나 공용 디렉터리에서 연락처를 공유할 경우 브로커는 소프트웨어를 이용해 데이터를 추출할 수 있다.
실제로 브로커에 연락해 데이터베이스 샘플을 요청하자 이메일 주소와 전화번호를 알려주기만 해도 수천 명 분량 목록이 곧바로 왔다고 한다. 이메일과 전화번호, 주소 외에도 온라인 쇼핑몰 구매 물품과 가격까지 적혀 있었고 전체 데이테세트는 1,400만 명이었지만 구입에 필요한 금액은 달랑 20달러였다고 한다.
데이터베이스를 이용하는 방법은 구매자 나름이지만 이런 데이터를 이용해 수익을 얻는 주된 방법은 사기다. 데이터베이스 가치는 데이터세트가 부자인지 여부, 계절 등에 따라 다를 수 있지만 그 중에서도 가치가 높은 건 학생 데이터베이스라고 한다.
인도에선 최고 대학에 입학하기 위한 수험 전쟁이 치열하다. 고등학교 말까지 학생은 JEE(Joint Entrance Exam)와 NEET(National Eligibility Entrance Test) 등 시험을 위해 공부를 해야 한다. 테스트에 열을 올리는 건 부모도 마찬가지. 자녀를 좋은 대학에 넣기 위해 많은 돈을 지불하는 부모도 많다. 따라서 학생 성적과 수험번호, 부모명, 전화번호 등이 들어간 데이터베이스는 사기꾼에게 중요하다.
학생과 학부모 데이터베이스를 입수한 사기꾼은 보호자에게 의과대학이나 대학 공학부에 편법 입학을 보장한다는 제의를 하며 현혹해 입학 사기를 한다. 물론 엉터리 얘기지만 자녀 교육에 힘을 쏟는 부모 입장에선 속아서 돈을 지불하는 일이 적지 않다. 2018년 입학 사기가 인도에서 크게 보도됐을 때에도 학생 데이터베이스 판매 웹사이트가 폐쇄되기도 했다. 하지만 이듬해가 되면서 다시 이름을 바꿔 유사한 사이트가 다시 등장했다.
인도에선 데이터 개인 정보 보호 문제가 크게 거론되는 일이 적고 경찰도 실제로 사기 그룹에 초점을 맞출 뿐 데이터 브로커는 거의 무시되고 있다. 당국 견해는 사기 그룹이 명확하게 범죄를 저지르지만 브로커는 단순히 엑셀 시트를 거래한 것일 뿐 많은 피해자는 명확한 데이터 유출원을 모르기 때문에 기소하는 건 곤란하다는 입장이다.
최근에는 조금씩 데이터 브로커가 법정에 끌려가는 일도 조금씩 늘어나고 있다. 2017년에는 통신 기업 릴라이언스지오(Reliance Jio) 고객 데이터 도난으로, 2018년에는 교육부에서 유출된 80만 명 분량 학생 데이터 판매로 3개 데이터 판매 업체 소유자가 체포됐다.
또 2019년 인도 의회는 EU 일반 데이터 보호 규칙을 참고로 설계한 개인 정보 보호 법안을 발표했다. 이 법안은 개인이 사용자 개인 정보를 수집하는 이유와 잠재적 위험에 대해 공개하고 사용자가 자신의 개인 정보를 관리할 수 있게 된다는 것이다. 하지만 이 법안에선 정부 기관이 규제 면제되어 있어 개인 정보 보호 활동가가 우려를 표명하기도 한다. 그럼에도 한 변호사는 새로운 법안이 인도 내 데이터 개인 정보 보호 노력을 진전시킬 것이라는 견해를 보이기도 했다. 어쨌든 기술 사용에 주의하는 게 개인 사생활 보호에 가장 쉬운 방법일 수 있다는 사실은 기억해둘 필요가 있다. 서두에 소개한 남편 감시를 받았던 여성도 이후 화면 잠금 설정을 하게 됐다고 한다. 관련 내용은 이곳에서 확인할 수 있다.