미국 뉴저지주에 본사를 둔 데이터 프라이버시 단체인 아틀라스데이터프라이버시코프(Atlas Data Privacy Corp)가 로케이트 엑스(Locate X)라는 위치 추적 서비스를 제공하는 기술 기업 바벨스트리트(Babel Street)를 상대로 소송을 제기했다. 로케이트 엑스는 애플과 구글 스마트폰에 내장된 광고 식별자를 악용해 사람 위치 정보를 추적하는 서비스로 바벨스트리트는 이 서비스를 정부 기관뿐 아니라 개인 고객에게도 판매하고 있는 것으로 알려졌다.
아틀라스데이터프라이버시코프는 개인 정보 삭제 서비스를 제공하는 기업으로 지금까지 151개 데이터 브로커를 상대로 소송을 제기해 왔다. 10월 아틀라스데이터프라이버시코프는 바벨스트리트를 상대로 새로운 소송을 제기했으며 이 소송에서는 바벨스트리트가 제공하는 로케이트 엑스 서비스가 법률을 위반했다고 주장하고 있다. 아틀라스데이터프라이버시코프는 이 소송을 위해 사설 탐정을 고용해 로케이트 엑스에 대한 조사를 진행했다. 사설 탐정이 로케이트 엑스 트라이얼 버전을 사용할 때의 화면 녹화를 검토했다.
사설 탐정이 바벨스트리트와 접촉했을 때 바벨스트리트 영업 담당자는 이 서비스가 정부 또는 정부 계약자에게만 제공된다고 설명했다. 하지만 탐정이 앞으로 정부 계약 업무를 맡을 예정이라고 말하자 영업 담당자는 그 정도면 충분하다며 실제로는 확인하지 않는다고 답하며 원래 민간에는 제공되지 않아야 할 로케이트 엑스 트라이얼 버전을 제공했다.
로케이트 엑스 트라이얼 버전은 전 세계 거의 모든 장소를 디지털 폴리곤으로 지정해 특정 지역에 지난 며칠 동안 출입한 디바이스 기록을 확인할 수 있었다. 이는 모스크, 유대교 회당, 법원, 낙태 클리닉 등 민감한 사적 장소도 예외가 아니었다. 또 애플과 구글 모바일 디바이스에 내장된 광고 식별자를 사용해 개별 모바일 디바이스 사용자를 추적할 수 있었다.
로케이트 엑스 트라이얼 버전을 사용한 사설 탐정은 뉴저지주 법원에서 배심원 전용 주차 공간을 지정하고 그 날 열린 재판 배심원이 소지한 모바일 디바이스를 추적하는 데 성공했다. 이 외에도 광고 식별자를 이용해 배심원으로 추정되는 사람을 자택까지 추적할 수 있었으며 대상이 매일 밤 잠을 자는 위치를 수 미터 오차로 정확하게 특정할 수 있었다.
소장에는 로케이트 엑스로 인한 프라이버시 침해 피해 사례로 뉴저지주 경찰관 스콧 말로니와 그의 아내 유스티나 말로니 사례가 포함되어 있다. 이들은 시민 대응 영상이 화제가 된 이후 주소와 전화번호가 SNS에 유출됐으며 살해 협박 메시지를 받기 시작했다. 실제로 그들의 집 근처에서 복면을 쓴 무장한 인물이 체포되는 사건도 발생했다.
사설 탐정이 로케이트 엑스를 사용해 두 사람 아이폰을 추적하려 했지만 스콧의 아이폰은 찾을 수 없었고 유스티나의 아이폰은 식별에 성공해 그녀의 일상 행동을 추적할 수 있었다고 보고됐다. 유스티나의 아이폰에 설치된 위치 정보를 사용하는 앱 중 하나는 메이시스(Macy’s) 앱뿐이었다.
메이시스는 아틀라스데이터프라이버시코프 문의에 고객 위치 정보를 저장하지 않았다며 제한된 수 파트너와 위치 데이터를 공유해 개선된 앱 경험을 제공한다고 답했다. 이 사례는 다양한 앱이 수집하는 위치 정보가 광범위하게 공유되고 최종적으로는 데이터 브로커 손에 들어가는 과정을 보여준다. 한편 바벨스트리트가 로케이트 엑스에 사용하는 모바일 디바이스 위치 데이터는 민간 전화 추적 회사인 벤텔(Venntel)로부터 제공된 것으로 추정된다.
광고 식별자는 각 모바일 디바이스에 할당되는 고유 식별자로 개별 사용자에게 타깃 광고를 제공하는 데 사용된다. 이 식별자 데이터는 위치 정보를 사용하는 다양한 앱에서 수집되며 디바이스가 광고가 표시된 웹사이트에 접근할 때도 광고 식별자와 위치 데이터가 전송된다. 이를 통해 광고주는 실시간으로 타깃 고객에게 맞춤형 광고를 보낼 수 있지만 일부 마케팅 기업은 이런 데이터를 광고주 외의 다른 곳에도 판매해 위치 추적에 악용하고 있다.
구글은 이에 대한 문의에 대해 바벨스트리트에 실시간 입찰 요청을 전송하지 않으며 정확한 위치 데이터도 공유하지 않았다고 답했다. 입찰 요청은 광고 슬롯을 사고파는 과정에서 송신되는 정보로 사용자 위치 정보 등이 포함될 수 있다. 또 구글은 정책상 실시간 입찰 데이터를 판매하거나 광고 이외의 목적으로 사용하는 걸 금지하고 있다고 덧붙였다.
애플도 성명을 통해 애플 디바이스 위치 정보 서비스는 기본적으로 꺼져 있으며 각 앱이나 웹사이트가 위치 정보를 사용하려면 사용자로부터 허가를 받아야 한다고 설명했다. 애플 측은 자사는 프라이버시를 기본적 인권으로 믿으며 사용자가 자신의 데이터를 제어할 수 있도록 모든 제품과 서비스에 프라이버시 보호 기능을 내장하고 있다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.