미국 국방부 정보기관인 NSA 폴 나카소네 국장이 기관 내에서 상업적으로 입수 가능한 방대한 미국인 인터넷 열람 이력 데이터를 영장 없이 구입하고 있다고 밝혔다.
의원에게 보낸 서한에서 NSA는 상업적으로 입수 가능한 미국인 인터넷 열람 이력 데이터를 영장 없이 구입하고 있다는 게 밝혀졌다. 나카소네 국장에 따르면 NSA는 해외 첩보 활동, 사이버 보안, 인가된 임무 등에 이용하기 위해 데이터 브로커로부터 다양한 종류 정보를 구입하고 있다고 한다. 구입한 데이터 일부는 미국 외에서 사용되는 기기에서 수집된 데이터지만 미국 내에서 사용되는 기기에서 수집된 데이터도 포함된 패턴이다.
나카소네 국장은 서한 속에서 NSA는 완전히 국내 인터넷 통신 중 하나가 미국 인터넷 프로토콜 주소이고 다른 하나는 해외에 있는 인터넷 통신과 관련된 시판된 넷플로우(Netflow) 데이터를 구입해 사용한다고 밝혔다. 넷플로우에는 네트워크상 인터넷 트래픽 흐름과 양에 관한 비콘텐츠 정보가 포함되어 있어 여기에서 인터넷 접속이 어디에서 왔는지, 서버가 데이터를 어떤 서버에 건네줬는지 등이 분명해진다. 넷플로우는 VPN을 통해 네트워크 활동 트래픽을 추적하는 데에도 사용할 수 있어 악의적 해커가 사용하는 서버와 네트워크를 식별하는데 도움이 될 것 같다.
미국첩보기관을 감독하는 ODNI에 대한 회신서에서 론 와이든 상원의원은 인터넷상 메타데이터는 미국인 신원을 확인할 수 있을 가능성이 있기 때문에 위치 정보와 마찬가지로 기밀성이 높을 가능성이 있다고 지적했다. 또 인터넷 브라우징 이력 데이터는 정신 건강 관련 웹사이트, 성적 폭행과 가정 폭력 피해자를 위한 웹사이트, 출산을 전문으로 하는 원격 의료 제공자에 관한 웹사이트 등 인터넷상 어디에 액세스했는지에 따라 개인에 대한 기밀 정보를 공개할 수 있다며 NSA 관행을 비난했다.
와이든 의원은 NSA가 인터넷 브라우징 기록 데이터를 수집하고 있다는 걸 2021년 3월 알았지만 이 정보 기밀 지정이 해제될 때까지 정보를 공개할 수 없었다고 한다. 상원정보위원회 일원인 그는 기밀정보를 받고 읽을 수 있지만 공공 공유는 할 수 없다. 그에 따르면 차기 NSA 국장 보류에 따라 NSA는 정보 기밀 지정을 해제했다고 한다.
미국첩보기과닝 민간 데이터 브로커에서 대량 시판 데이터를 구입하고 있다는 사실은 2023년 6월 ODNI에 의해 처음으로 발표됐다. 하지만 이 시점 어떤 미국첩보기관 데이터를 구입했는지와 같은 세부 사항은 밝혀지지 않았다. 또 사실을 공표했을 때 ODNI는 민간 데이터 브로커에서 구입하는 시판 데이터에 대해 분명히 인텔리전스상 가치를 제공하는 것이며 프라이버시와 시민 자유에 관한 중대한 문제를 일으킨다고 지적했다.
덧붙여 보도에선 정보 수집이나 조사를 위해 시판 데이터를 이용하고 있는 건 NSA만이 아니다. 보도에 따르면 국방정보국이 2021년 미국인 위치 정보를 포함한 상용 데이터베이스에 대한 액세스를 영장 없이 하고 있다고 한다. 내국세입청도 용의자를 특정하기 위해 데이터 브로커로부터 구입한 위치 정보를 사용하고 국토안보부도 불법 이민자를 추적하는 데이터를 영장 없이 사용하고 있다. 미국 첩보기관이 시판하는 데이터를 사용하는 건 이 행위 합법성에 대한 의문을 일으키고 있다. 와이든 의원은 ODNI에 대한 서한에서 데이터 브로커에 대한 FTC(Federal Trading Committee) 최신 강제 조치를 인정하고 정부 기관이 미국인 데이터에 대한 액세스 권한을 구매하는 합법성에 대해 심각한 의문을 제기하고 있다.
2024년 1월 FTC는 무슬림 예배 앱 사용자 위치 정보를 군사 계약자와 공유한 데이터 브로커인 엑스모드(X-Mode)에 대한 위치 정보 판매를 금지하고 삭제를 명령했다. 일주일 뒤 FTC는 다른 데이터 브로커인 인마켓(InMarket)에 대해서도 유사 소송을 제기하고 소비자에 대한 정확한 위치 정보를 판매하는 걸 금지하고 있다. 이런 사례가 존재하기 때문에 NSA가 시판되는 데이터를 구입해 사용하는 건 법적으로 회색지대라는 지적이다.
정부기관은 보통 휴대전화나 기술 기업으로부터 미국 개인 정보를 입수할 경우 법원 승인을 받은 영장을 확보해야 한다. 하지만 미국 첩보기관은 정확한 위치 정보와 넷플로우 데이터 등이 판매되고 있기 때문에 이들을 입수하는데 영장은 필요 없다고 주장하고 있다. 하지만 이는 아직 미국 법원에서 심리되지 않았다.
와이든 의원은 서한에서 ODNI에 대해 FTC 합법 데이터 판매 기준을 충족하는 데이터만을 첩보기관이 구입할 수 있도록 하는 정책을 도입하도록 요구하고 있으며 이게 실현되지 않는 경우 정보기관은 데이터를 삭제해야 한다고 주장했다. 그는 또 미국 첩보기관이 이런 데이터를 필요로 하는 경우에는 국민에게 광범위하게 통지할 필요는 없지만 적어도 의회에는 통지해야 한다고 주장하고 있다.
NSA는 시판 인터넷 데이터를 어떤 프로바이더로부터 구입하고 있는지에 대해선 밝히지 않았다. 관련 내용은 이곳에서 확인할 수 있다.