국가정보_미국

  •  유럽
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아
  •  프랑스
  • 태국
  • 대만
  • 필리핀
  •  말레이시아

Cases

1스토커웨어 SpyFone의 불법 이용 및 개인정보 유출 사례

가. 개요

SpyFone은 페어렌탈 컨트롤(청소년 보호 기능)로 가장해 마케팅 활동을 하며, 가족 구성원의 활동 추적이나 자녀 및 직원 감시 등에 사용되어 이른바 스토커웨어 앱으로 불린다. 이러한 스파이웨어는 누군가의 스마트폰에 몰래 설치되어 기능하며, 대부분 허가 없이 메시지, 사진, 웹 검색 이력, 실시간 위치정보를 얻기 위해 사용된다. 2021년 9월 불법적인 앱을 통해 기기 이용자의 움직임과 온라인 활동을 추적한 SpyFone에 대해 FTC는 사업 금지 명령 등을 내렸다.

나. FTC의 주장

FTC 조사에서 SpyFone은 피해자들의 기기에 앱을 몰래 설치하여 비밀 감시를 통한 실시간 접근 권한 등을 판매해 온 것으로 밝혀졌다. SpyFone은 앱이 기기에 설치되도록 Android 기기를 사용하는 구매자들에게 우회 경로를 이용한 설치를 요구했으며, 구매자로 하여금 기기 사용자가 해당 기기의 모니터링 사실을 알 수 없도록 앱을 숨기는 방법에 대한 지침을 제공하기도 했다. 또한 해당 앱의 이메일 모니터링 기능을 사용하기 위해 스마트폰 루팅이 필요했는데, 이로 인해 스마트폰에 내장된 인증 및 보안 기능이 해제되고 해당 기기가 보안 위험에 노출되도록 했다.

아울러 해당 앱은 2,000개 이상의 피해자 전화에서 데이터를 수집한 후 보안 기능이 제대로 갖춰져 있지 않은 아마존 클라우드 스토리지 서버를 이용하는 등 기본적인 보안 표준을 갖추지 못하여 피해자의 개인정보가 대규모 유출되는 원인을 제공하기도 했다. FTC는 SpyFone의 기본적인 보안성 결여가 피해자의 개인정보를 유출시킨 것으로 판단했다.

FTC는 SpyFone에 대해 감시 앱 운영 및 감시 서비스의 제안, 홍보, 판매, 광고 등 일체의 관련 사업 행위를 금지하면서, 불법적으로 수집한 모든 개인정보의 삭제를 명하고 피해자에게 앱이 기기에 비밀리에 설치되었음을 알릴 것을 명령했다.

다. SpyFone의 주장

SpyFone은 조사를 위해 사이버 보안 업체 및 법 집행당국과 협업했다고 주장했으나, FTC는 그런 사실이 없다고 밝혔다.

라. 시사점

이번 조사 결과 FTC는 만장일치로 SpyFone을 금지하고 동사의 CEO인 Scott Zuckerman을 감시 산업(surveillance industry)에서 축출하기로 결정했다. 이런 종류의 명령은 처음으로, 동사가 많은 사람의 모바일 데이터를 수집해 인터넷상에 방치한 것에 따른 조치로 판단된다.

스토커웨어 업체에 대한 FTC의 금지 조치는 이번이 두 번째로, FTC는 2019년 Retina-X에 대한 업무 정지 명령을 내린 바 있다. 과거 mSpy, Mobistealth, Flexispy 등 몇몇 스토커웨어 업체가 해킹당하거나 무심코 자사의 시스템을 노출한 사건도 있었다. 또 다른 스토커웨어 업체인 ClevGuard는 해킹 당한 수 천 명의 스마트폰 데이터를 클라우드 서버에 보관하고 있었다. 이번 사례는 감시 기반 사업이 개인의 안전과 보안에 큰 위협이 될 것이라는 점을 일깨워주고 있다.

2Zoom Video Communications, Inc(Zoom)의 보안 수준 과장 사례

가. 개요

화상회의 서비스 사업자 Zoom Video Communications, Inc(Zoom)은 2016년부터 실제 자사 서비스에 적용된 보안 레벨보다 높은 수준의 보안 기능을 갖추고 있다고 거짓으로 홍보하였으며, 화상회의의 보안성을 침해하는 여러 가지 위반행위를 저질렀다. 보안 수준을 과장하여 소비자를 오인케 한 것과 관련해 Zoom에 대해 2021년 1월 FTC의 시정 조치 명령이 내려졌다.

나. FTC의 주장

Zoom이 자사 플랫폼이 갖추고 있다고 거짓으로 홍보한 종단 간 256비트 암호화(end-to-end, 256-bit encryption)는 오로지 쌍방 대화자만이 통신 내용을 확인할 수 있으며, 해당 공간을 제공한 플랫폼도 이를 확인할 수 없도록 통신을 보호하는 방법이다. 그러나 FTC 조사에 따르면, Zoom은 고객 간의 통신 내용에 접근할 수 있도록 암호화키를 보유하고 있었으며, 자신들이 주장한 보안 수준보다 낮은 단계의 보안만을 갖춤으로써 Zoom 회의를 보안상 완전하게 보호하지 못했다.

Zoom의 거짓 주장으로 인해 Zoom의 플랫폼을 사용하는 이용자들에게는 Zoom에 대한 잘못된 보안 인식이 확립되었고, 결국 이용자들은 건강 및 금융 정보와 같은 민감한 주제까지 해당 플랫폼에서 논의하게 되었다. 또한 Zoom은 화상회의가 끝난 직후 해당 회의가 즉시 암호화된다고 주장한 바 있으나, 일부 녹화 파일이 보안 클라우드 저장소로 전송되기 전 최대 60일 간 Zoom 서버에 암호화되지 않은 채로 저장되는 등 Zoom의 주장 중 일부 내용이 거짓으로 드러났다.

이외에도, 2018년 7월 Mac용 애플리케이션 수동 업데이트 도중 ’ZoomOpener 웹 서버‘라는 소프트웨어가 비밀리에 설치되도록 함으로써 일부 사용자의 보안을 침해한 사실도 밝혀졌으며, 해당 소프트웨어는 Zoom이 기기에서 삭제된 이후에도 사용자의 기기에 남아 Zoom 앱을 자동으로 설치하기도 했다.

FTC는 Zoom에 대해 강력한 정보 보안 프로그램 시행 등 일련의 개선사항을 시행하도록 명령했다.

Zoom은 FTC의 명령에 따라 ▲내부·외부의 잠재적인 보안상의 위험을 매년 평가 및 문서화하고 이러한 위험으로부터 방어하는 방법 개발 ▲취약점 관리 프로그램 시행 ▲네트워크에 대한 무단 접속을 막기 위해 다중 인증과 같은 보안 장치 도입 ▲개인정보 삭제 관리 실시 ▲노출된 계정 정보의 사용을 방지하기 위한 조치 시행 등 다양한 내용을 포괄하는 강력한 보안 프로그램을 시행해야 한다. 또한, 보안 결함이 있는지 여부 등 소프트웨어 업데이트를 검토해야 하며 업데이트가 타사의 보안 기능을 방해하지 않는지 여부도 확인해야 한다. 더불어, 개인정보와 관련한 보안 행태에 대해 잘못된 내용을 공표하는 행위도 금지된다. 마지막으로, 독립적인 제3자로부터 매 2년마다 자사의 보안 프로그램에 대한 평가를 받아야 하며, 개인정보 침해가 발생한 경우 이를 FTC에 알려야 한다.

다. Zoom의 주장

FTC는 Zoom과의 합의에서 Zoom이 강력한 정보보안 프로그램을 탑재하고 사용자의 보안을 훼손하는 일련의 기만적이고 불공정한 행위를 수행했다는 의혹을 해결할 필요가 있다고 밝혔다. 그러나 Zoom 측은 화해안 수용과 관련한 위원회의 주장에 대해 부정도 긍정도 하지 않았다.

라. 시사점

이번 조치는 FTC가 전자상거래의 보안상 결함에 대한 집행 강화를 위한 대책을 추진하고 있는 중에 나온 것이다. 이번 FTC의 결정은 화상회의 서비스에 대한 적용을 넘어 전자적으로 소비자의 개인정보를 수집하는 모든 기업으로 광범위하게 적용될 수 있다. 업계에서는 화상회의뿐만 아니라 전자상거래 기업들도 Zoom에 대한 고발을 면밀히 검토해 자사의 시스템이나 프로세스가 유사한 문제를 일으키지 않도록 하는 것이 현명할 것으로 보고 있다.

3Tapplock의 과장 광고 및 보안 취약점 사례

가. 개요

Tapplock은 스마트 보안 솔루션을 제공하는 IoT 스마트 잠금장치 제조업체로, 자사의 스마트 잠금장치가 해킹되지 않도록 설계되었으며 이용자로부터 수집한 데이터를 보호하기 위해 합리적인 조치를 취했다고 주장했다. 그러나 이는 허위 광고로 밝혀졌으며, 수집된 소비자 데이터를 안전하게 유지하지 못한 것과 관련해 2020년 5월 FTC는 Tapplock에 시정 조치 명령을 내렸다.

나. FTC의 주장

FTC 조사에 따르면, Tapplock의 앱에서 수집한 개인정보에는 사용자 이름, 이메일 주소, 프로필 사진 및 스마트 잠금장치의 정확한 위치가 포함된 것으로 밝혀졌다. 보안 연구자들의 조사 결과 Tapplock의 잠금장치에서 물리적 및 전자적 취약점이 모두 발견되었으며 해커의 접근이 용이한 것으로 나타났다. 사용자는 잠금장치에 대한 접근을 효과적으로 취소할 수 없었으며, 계정 인증 프로세스도 우회가 가능하여 개인정보 유출이 가능한 것으로 드러났다.

FTC는 Tapplock의 과장 표현 금지 및 보안 강화를 요구하는 조치에 합의했다. 이에 따라 Tapplock은 적절한 보안 프로그램을 구현해야 하며, 개인정보보호 및 보안 관행을 허위로 표현할 수 없다. 또한 정보보안 프로그램에 대해 2년마다 제3자의 평가를 받아야 하며, FTC는 2년마다 평가자를 승인할 권한이 있다.

다. Tapplock의 주장

Tapplock은 잠금장치의 보안과 관련한 홍보뿐만 아니라 개인정보보호정책에서 수집한 데이터의 보안을 위해 합리적 예방조치를 취했다고 주장했으나, 조사 결과 보안 취약점이 드러나며 FTC의 조치에 따르기로 했다.

라. 시사점

FTC는 안전한 소비자 개인정보보호 강화를 중시하고 있다. 이번 사건을 보면, 제품의 마케팅 전략을 구상할 때에도 보안 전문가와의 상담이 중요하다는 점을 알 수 있다. 보안을 장담할 수 없는 경우 소비자에게 보안을 약속해서는 안 되며, 마케팅 자료 개발에도 법적 검토가 필요하다는 점을 일깨워주고 있다. 법률적으로도 개인정보를 보호하지 못할 경우 무거운 처벌을 받을 수 있는 규정이 늘어나는 추세이기 때문에 기업은 개인정보 수집 및 보존 정책에 대한 정교한 검토가 필요하며, 기업이 개인정보를 보호할 수 없는 경우 소비자의 개인정보를 수집하지 않는 방안도 검토하지 않으면 위험에 처할 수 있음을 보여준다.

4Retina-X Studios, LLC의 보안 취약점과 불법 사용 방치 사례

가. 개요

Retina-X Studios, LLC社는 자사가 판매하는 모바일 애플리케이션 3종(obileSpy, PhoneSheriff 및 TeenShield)에 대해 합리적인 보안정책 및 절차를 구현하지 않았으며 스토킹 용도로 앱을 사용하는 것이 가능하도록 방치했다. 이와 관련해 FTC는 2020년 3월 수집된 데이터를 보호하지 못하고 앱을 불법적 용도로 사용하도록 방치한 Retina-X Studios에 시정 조치 명령을 내렸다.

나. FTC의 주장

FTC 조사에 따르면, Retina-X Studios는 자사의 앱 3종에 대해 보안 테스트 수행 및 서비스 제공 업체에 대한 적절한 감독을 수행하지 않았다. 또한 해당 앱의 구매자는 기기 사용자의 허가 없이 앱이 설치된 모바일 기기 모니터링이 가능하였음에도 동사는 이러한 용도로 앱을 사용하는 것을 방지하는 조치를 취하지 않았다.

이와 관련해 FTC는 Retina-X Studios와 판매를 위한 요구사항 및 보안 프로그램 구현 의무 부과에 합의했다. 동사는 합법적인 목적으로만 앱이 구동되도록 특정 조치를 수행하지 않는 한 소비자의 모바일 장치를 모니터링하는 앱을 판매 또는 배포 할 수 없다. 또한 해당 앱에서 수집한 데이터를 삭제하여야 하며, 수집된 개인정보보호를 위한 광범위한 보안 프로그램을 구현하여야 한다.

다. Retina-X Studios의 주장

Retina-X Studios는, 일명 스토커웨어로 불리는 이러한 앱은 직원이나 아이를 감시하는 것을 목적으로 하고 있다고 주장했으나, FTC에 따르면 동사는 이러한 목적을 위해서 앱이 사용되고 있는 것을 확인하는 조치를 아무것도 취하고 있지 않았다.

라. 시사점

Retina-X Studios는 2019년 10월 FTC로부터 동사가 판매하는 앱 3종이 정당한 목적으로만 사용됨을 보증하는 특정한 조치를 강구하지 않는 한 소비자의 모바일 디바이스를 감시하는 앱 판매를 금지한다는 명령을 받은 바 있다. 이는 일명 스토커웨어로 불리는 앱에 대한 FTC의 조치가 취해진 첫 사례이다. 타인의 행동을 감시하는 스토커웨어는 매년 증가하는 추세로, 관련 업체의 개인정보보호 침해 관련 논의 및 보안 문제에 대처하기 위한 구체적인 안전 대책에 대한 요구가 더욱 강화될 것으로 보인다.

5Google LLC 및 Youtube, LLC의 개인정보 불법 수집 사례

가. 개요

Google LLC와 자회사인 Youtube, LLC의 대표적인 서비스인 유튜브 동영상 공유 서비스는 부모 동의 없이 13세 미만 아동의 개인정보를 온라인에서 불법으로 수집한 것과 관련해 2019년 9월 FTC로부터 과징금 부과 조치를 받았다.

나. FTC의 주장

FTC 조사에 따르면, 유튜브는 어린이 주도형 채널 시청자들로부터 부모에게 먼저 알리지 않고 동의를 얻는 방식으로 개인정보를 수집해 아동온라인프라이버시보호법을 위반했다. 특히, 유튜브는 흔히 쿠키라고 알려진 식별자를 이용해 채널 시청자들에게 표적 광고를 전달해 수백만 달러를 벌어들인 것으로 조사되었다.

이에 따라 FTC는 Google LLC 및 Youtube, LLC에 1억 7,000만 달러의 과징금을 부과했다. Google LLC 및 Youtube, LLC는 FTC에 1억 3,600만 달러, 뉴욕 주에 3,400만 달러를 지급해야 한다. FTC는 과징금과 별도로 유튜브가 아동온라인프라이버시보호법을 준수하고 있는지 확인할 수 있도록 유튜브 플랫폼에서 채널 소유자가 아동 주도 콘텐츠임을 표시할 수 있는 시스템을 개발, 구현, 유지하도록 요구했다. 또한 유튜브는 채널 소유주들에게 아동 주도 콘텐츠가 아동온라인프라이버시보호법상의 의무를 따를 수 있음을 통지해야 하며, 유튜브 채널 소유주들을 상대하는 직원들을 위해 매년 아동온라인프라이버시보호법 준수 교육을 실시해야 한다.

다. Google 및 Youtube의 주장

유튜브는 해당 동영상 채널 서비스가 일반인을 주 시청 층으로 하는 서비스라고 주장했으나, 장난감 회사에서 운영하는 채널과 같은 유튜브의 일부 개별 채널은 어린이 주도형이기 때문에 결국 유튜브는 아동온라인프라이버시보호법을 준수하지 않을 수 없게 되었다. 유튜브 측은 이후 공식 블로그를 통해 아동용 콘텐츠의 개인정보보호 처리 방법을 변경해 아동용 콘텐츠에 대해서는 실제 시청자가 아동이 아닌 경우도 포함해 타겟팅 광고 전송을 완전 중단하고 댓글이나 알림 등 일부 기능도 사용할 수 없게 하겠다고 밝혔다.

라. 시사점

이번 과징금은 개인정보보호 관련 문제로 Google이 지불하는 금액으로는 최고액이다. 이번 사건은 아동의 개인정보보호 관련 문제가 걸려 있다는 점에서 향후 유튜버 등 아동용 콘텐츠 제작자들에게도 영향을 미칠 수 있으며, 콘텐츠가 아동용으로 분류됨에 따라 받는 수익 및 제한 영향 등을 고려해야 한다. 또한 동영상을 제작하는 크리에이터들도 동영상이 아동용인지를 판단하고 설정할 필요가 있으며, 콘텐츠 설정이 올바르지 않을 경우 유튜브 상에서 어떠한 조치가 취해지거나 관련 법률에 근거해 법적 조치가 취해지는 일이 있을 수 있다.

top