테크레시피

美 지방 경찰, 사용자 위치 추적 감시 도구 사용중

전자프런티어재단 EFF 조사에 따르면 미국 지방 경찰이 시민 스마트폰에 설치된 앱에서 수집된 데이터에 따라 영장없이 개별 장치를 추적할 수 있는 포그 리빌(Fog Reveal) 툴을 구입, 사용하고 있는 게 밝혀졌다. 이런 포그 리빌 사용자 매뉴얼이 공개되어 어느 정도 자세하게 특정 인물을 추적할 수 있는지 판명됐다.

EFF 측은 공공 기록 공개 요청을 통해 미국 지방경찰이 사용하는 프로그 리빌이라는 툴 사용자 매뉴얼을 확보했다. 포그 리빌은 최근까지 상대적으로 알려지지 않은 기술을 이용해 스마트폰에서 데이터를 수집하고 장치 위치 정보를 추적할 수 있는 모니터링 도구다. 경찰은 살인 사건이나 그 외 조사에서 포그 리빌을 이용하고 있다고 하지만 보도에 따르면 재판 중 제출 서류에선 포그 리빌 사용을 언급하는 건 드문 일이라고 한다.

포그 리빌 사용자 매뉴얼을 공개한 건 경찰이 시민 데이터에 액세스하고 사용하는 방법을 아는 중요한 창구이기 때문이라는 설명이다. 사용자 매뉴얼은 포그 리빌을 사용해 모든 사람을 추적하는 게 얼마나 쉬운지 보여주며 일반인이 감시 회사와 법 집행 기관에 책임질 수 있도록 사용자 매뉴얼은 공개해야 할 기록이라는 설명이다.

포그 리빌을 판매하는 건 미국 버지니아주에 본거지를 둔 포그데이터사이언스(Fog Data Science)라는 기업이다. 포그 리빌은 벤텔(Venntel)이라는 기업을 데이터 파트너로 하고 있다고 한다. 자세한 관계는 밝혀지지 않았지만 벤텔은 모회사인 그래비애널리틱스(Gravy Analytics)에서 글로벌 광고 데이터를 조달하고 있으며 포그리빌에 활용될 가능성을 지적한다. 또 앱 개발자는 사용자 위치 정보를 제3자에게 판매하는 계약을 맺을 수 있으며 벤텔은 독자 감시 제품으로 세관궁격경비국 등 정부 기관에 사용자 위치 정보를 판매하고 있다. EFF 조사에 따르면 포그데이터사이언스는 지방과 주 법 집행기관에 포그리빌을 판매하는데 중점을 둔 것으로 보인다. 보도에선 포그데이터사이언스 고객에는 남캘리포니아주 교외에서 노스캐롤라이나주 시골에 이르기까지 광범위한 지방 법 집행 기관이 포함되어 있다고 한다.

입수한 사용자 매뉴얼에는 이전에는 목격자 인터뷰, 감시 카메라 영상 확인, 여행 기록 체크 등에 의해 특정 인물 추적을 해왔지만 추적에 많은 시간을 보냈다며 이런 정보가 포그리빌이라면 데스크톱이나 노트북을 통해 몇 분이면 충분하다고 어필하고 있다. 포그리빌에 로그인하면 사용자가 액세스하려는 데이터는 민감한 정보이며 적절하게 보호해야 한다고 알린다. 이후 위도와 경도로 이뤄진 좌표나 주소를 입력할 수 있는 검색 박스가 표시되므로 여기에서 특정 지역에 어떤 기기가 존재했는지에 관한 과거 데이터에 액세스 가능하게 된다. 포그리빌 사용자 매뉴얼에 따르면 포그리빌에선 단말이 존재하는 장소가 지오펜스로 그려지는 것으로 보인다. 또 포그리빌 사용자 매뉴얼에는 도시 지역에서 대규모 범위를 지정해 검색을 수행할 때 주의가 필요하다. 검색하면 검색 결과에 수많은 기기가 표시되며 한 번에 여러 대량 인원을 모니터링하는 것도 가능하다고 한다.

더구나 포그리빌에선 검색 결과로 표시된 단말에 태그를 붙여 관심이 있는 단말로 마크하는 것도 가능하다. 여기에선 특정 기기를 쿼리하면 시스템은 해당 기기에 대한 지난 90일간 활동 패턴을 표시할 수도 있다.

보도에 따르면 일부 지방 경찰은 포그리빌을 사용하면 단말 위치 정보에 빠르게 액세스할 수 있는 것에 만족한다고 한다. 보통 구글 같은 주요 기술 기업에게 특정 식산 안에 특정 지역에 어떤 기기가 존재했는지에 대한 정보를 제공받으려면 역탐지 영장(reverse location warrant)을 준비해야 한다. 하지만 이 영장을 준비하려면 많은 시간이 걸린다. 이에 비해 포그리빌이라면 서비스에 로그인하면 비슷한 정보를 얻을 수 있다. 또 아칸소주 워싱턴카운티 검찰관은 긴급 상황에서 과거 영장 없이 포그리빌이 사용된 경력이 있다고 한다.

포그리빌 사용자 매뉴얼에는 아칸소, 애틀랜타PD, 번즈테이블 MA경찰, 댈러웨어주 경찰 등 경찰 기관명도 포함되어 있다고 한다. 눈길을 끄는 건 민간 기업(iWorksCorp)에 대한 언급으로 생각되는 것도 포함되어 있다는 것. 이곳은 미 연방정부 계약자(iWork Corporation)를 가리킬 가능성이 있다. EFF에서 얻은 문서에 대해 포그데이터사이언스는 법 집행 기관 뿐 아니라 기업 보안 부문도 지원할 수 있다고 밝히고 있다. 또 사용자 매뉴얼에 따라 포그리빌에선 1일분 데이터를 처리, 보존하는데 24시간이 걸린다는 등 제한 사항이 존재하는 것도 밝혀지고 있다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독