테크레시피

FBI가 만든 통신사업자 데이터 입수 가이드라인은?

법집행기관은 범죄 수사 과정과 증거 수집에서 당국 여장이나 법원 명령서 등을 사용해 통신사업자로부터 스마트폰 위치 정보 등 데이터를 입수하고 있다. 보도에 따르면 FBI가 만든 통신사업자로부터 데이터를 입수하기 위한 가이드라인을 입수했다고 한다.

이에 따르면 정부 문서를 입수해 투명서 향상을 목표로 하는 비영리단체(Property of the People)가 공개 청구를 통해 입수한 2019년 FBI CAST(Cellular Analysis Survey Team)팀이 작성한 프레젠테이션이다. CAST는 통화 데이터나 기지국 분석을 실시해 FBI 뿐 아니라 주나 지방 법집행기관을 지원하는 곳으로 활동에는 특정 시간에 스마트폰이 있던 장소 데이터를 통신사업자로부터 수집하는 것, 전문가 증언 제공, 기지국이 실제로 커버하는 범위 조사 등이 포함되어 있다.

CAST가 작성한 문서에선 통신사업자로부터 데이터를 입수하기 위한 법원 명령이나 수색 영장이라고 하는 법적 절차나 CAST 자체 휴대전화 데이터 시각화 툴(CASTViz) 조작 순서를 설명하고 있다. 이 툴은 사건을 조사하기 위해 통화 상세 기록이나 기지국 데이터를 빠르게 플롯하는 툴로 CAST가 전국 법집행기관에 무료 제공하고 있다고 한다.

미국자유인권협회 관계자는 이 툴에 어떤 과정이 내장되어 있는지 어떤 에러가 발생할 가능성이 있는지에 대한 의문이 있다고 지적한다. 또 CAST가 만든 문서에선 이 툴로 생성된 맵이나 분석은 정확성이 검증되지 않는 한 법정에 반입되선 안 되고 증언은 자격이 있는 전문가를 통해 실시해야 한다고 덧붙이고 있다고 한다.

또 문서 중에선 자사 회선을 갖고 있지 않은 MVNO로부터 데이터를 요구하는 방법이나 계약이 불필요하고 1회용인 선불식 휴대 위치 정보를 취득하는 방법, 제너럴모터스 자동차 시스템인 온스타(OnStar)에서 정보를 얻는 방법에 대해서도 기록되어 있다고 한다.

CAST 문서에선 AT&T나 T모바일, 스프린트, 버라이즌, US셀룰러 등 모바일 통신 사업자로부터 취득할 수 있는 데이터 종류나 각각 데이터를 보관 유지하는 기간에 대해서도 기재되어 있다고 한다.

AT&T는 통화 상세 기록과 기지국, 기지국 범위 내 휴대 전화에 관한 데이터 등을 7년간 유지하며 T모바일은 비슷한 데이터를 2년, 스프린트는 18개월, 버라이즌과 US셀룰러는 1년간 유지하고 있다고 한다. 이에 따라 AT&T 보존 기간이 특히 긴 점을 지적하며 이렇게 오랫동안 유지하는 건 사업상 이유로는 생각할 수 없다는 지적이다.

또 AT&T는 인터넷과 웹브라우징 데이터를 1년간 유지한다고도 기록되어 있다. 인터넷, 웹브라우징이 정확히 뭘 의미하는지 AT&T에 문의하자 자사 대응은 법률에 준거하고 있다며 자세한 내용은 언급하지 않았다고 한다.

문서 다른 섹션에선 AT&T는 데이터 정확성을 확인하지 않으므로 법집행기관은 데이터를 신중하게 사용해야 하며 버라이즌은 법집행기관이 사용할 수 있는 새로운 위치 도구가 있다는 것도 설명한다. 버라이즌 측은 새로운 위치 정보 도구는 자사 봔팀이 합법적 영장이나 긴급 요청에 따라 사용하는 것이며 사건을 해결하는데 사용되며 업계에서 흔히 볼 수 있는 이 도구는 네트워크 기반 기지국 위치 정보를 사용하며 다른 주요 공급업체도 비슷한 접근 방식을 사용한다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독

Most popular