사진=로이터연합뉴스
사진=로이터연합뉴스
정보기관들이 민간 기업이 수집한 데이터를 구매해 감시 활동에 활용하는 사례가 늘고 있는 것으로 나타났다. 감청 등 전통적 정보 수집 방식에는 엄격한 규제가 적용되는 반면 상업용 데이터 거래는 법적 통제에서 벗어나 있어 개인정보 보호 사각지대가 커지고 있다는 지적이 나온다.

16일(현지시간) 파이낸셜타임스(FT)에 따르면 독일 보안 연구자들이 유럽 11개 정보기관 감독기구를 대상으로 조사한 결과 상업적으로 수집·유통되는 광고 기반 정보인 ‘애드인트(advertising intelligence)’가 정부 감시 활동의 주요 정보원으로 자리 잡은 것으로 조사됐다.

현재 데이터 수집업체와 중개업체는 소비자에 대한 방대한 정보를 확보하고 있다. 연구진은 이들 데이터를 분석하는 것만으로도 전통적인 국가 주도 감시 체계보다 특정 개인에 대한 더 상세한 정보를 파악할 수 있다고 지적했다.

연구 공동 저자인 토르스텐 베츨링은 “국가안보 기관들은 상업적 데이터 공급업체로부터 지속적으로 갱신되는 대규모 데이터에 대한 접근권을 구매한다”며 “이 데이터에는 모바일 기기의 고유 식별번호, 시간대별 위치 정보, 해당 기기와 연동된 앱 이용자들의 세부 프로필 정보가 포함된다”고 말했다. 이어 “연령과 성별, 거주 지역 같은 기본 정보는 물론 정치 성향, 성적 지향, 종교적 신념과 관련된 민감한 추론 정보까지 포함될 수 있다”고 덧붙였다.

애드인트 활용 방식은 국가별로 차이를 보였다. 상대적으로 규모가 작은 국가는 시중에서 판매되는 정보 분석 도구를 활용하는 반면 정보 역량이 큰 국가는 상업용 데이터 세트를 정기적으로 구매하는 것으로 알려졌다. 일부 기관은 정체와 관심 분야를 숨기기 위해 위장회사를 활용하기도 했다.

그동안 각국 정부는 감청이나 대규모 데이터 수집을 통한 시민 정보 확보에 엄격한 규제를 적용해왔다. 그러나 상업적 데이터 구매와 활용에 대해서는 관련 규정이 모호하거나 아예 마련되지 않은 점이 문제로 꼽힌다.

베츨링은 “이 같은 관행은 미국뿐 아니라 유럽 전역으로 확산하고 있다”며 “상업적으로 이용 가능한 데이터의 범위와 규모가 급격히 확대된 것이 배경”이라고 설명했다. 그러면서 “다수의 법률은 현재의 데이터 환경을 반영하지 못해 시대에 뒤떨어진 상태”라고 짚었다.

특히 소비자들이 SNS나 전자기기, 인터넷 서비스 이용약관에 동의하는 과정에서 자신도 모르는 사이 법이 보장하는 범위를 넘어서는 정보 활용에 동의하는 경우가 많은 것으로 알려졌다.

감독 기관도 이 같은 법적 공백 문제를 제기하고 있다. 프랑스 대외안보총국(DGSE)은 2021년 상업적 데이터 구매를 규제하는 법률 제정을 요청했지만, 현재까지 관련 입법은 이뤄지지 않았다.

한명현 기자 wise@hankyung.com