8월 3일(현지 시각), 페이스북이 뉴욕대학교 연구팀의 계정 정지 사실을 밝혔을 당시 페이스북에서 자유로운 활동을 할 수 없다는 인상을 주었다. 연구팀은 브라우저 확장 프로그램을 통해 수많은 실험 참가자에게서 정치 광고 타깃 선정 데이터를 확보했다. 페이스북은 연구팀에 허용할 수 없는 활동이라고 경고한 것으로 알려졌다.
페이스북 제품 관리 총괄인 마이크 클락(Mike Clark)은 블로그 게시글을 통해 “페이스북은 수 개월간 뉴욕대학교 연구팀과 협력해 연구팀이 요청한 대로 연구원 세 명에게 프라이버시를 보호한 방식으로 완전한 데이터 접근 권한을 제공했다. 페이스북은 공식 승인되지 않은 데이터 수집 중단과 연방거래위원회(FTC) 명령의 페이스북 프라이버시 프로그램에 따른 사용자 프라이버시 보호를 위해 연구팀의 계정 정지 조치를 시행했다”라고 밝혔다.
클락 총괄은 FTC가 2019년에 시행한 합의 명령과 프라이버시 위반 때문에 5억 달러의 과징금을 선고받은 사실을 언급했다. 페이스북이 마주한 당혹스러운 상황을 이해할 수 있을 것이다. 만약, 연구팀이 데이터 접근을 원하는 상황에서 강력한 규제 기관이 연구팀의 요구와 상반되는 명령을 내린 상황이라면, 규제 기관의 명령이 우선이다.
연구팀의 요구와 FTC의 명령이 충돌하는 당혹스러운 상황에 처한 것을 배제해도 합의 명령은 연구팀의 활동을 금지하지 않는다. 페이스북이 정부의 명령을 중요하게 생각하기 때문이 아니라 페이스북이 기업 차원에서 가장 철저하게 보호하는 비밀인 “누가 어떤 광고를 보게 되는가? 그리고, 그 이유는 무엇인가?”와 같은 사실을 대중이 알게 되는 것을 원하지 않기 때문에 뉴욕대학교 연구팀을 차단한 것이다.
FTC의 처벌은 케임브리지 애널리티카(Cambridge Analytica) 사태 이후 규모가 매우 커졌다. 케임브리지 애널리티카 사태 당시 많은 연구원이 학술적 명목으로 페이스북에서 직접 사용자 데이터와 해당 사용자의 친구의 데이터에 접근했다.데이터는 결국 2016년 미국 대통령 선거 당시 도널드 트럼프 전 대통령의 유세운동단을 대신해 선거 운동 노출 대상을 정밀하게 지정한 케임브리지 애널리티카의 손에 넘어간 것으로 악명높다.
[사진=Pixabay]
뉴욕대학교 연구팀의 프로젝트인 애드 옵저버(Ad Observer)는 케임브리지 애널리티카 사태와 매우 다르다. 페이스북은 연구팀에 데이터 접근 권한을 주지 않는다. 대신, 브라우저 확장 프로그램을 사용한다. 사용자가 확장 프로그램을 다운로드하면, 자신이 보는 광고를 연구팀에 전달하는 데 동의한다. 이때 공유하는 정보는 “이 광고가 표시되는 이유” 위젯의 정보도 포함됐다. 이후, 연구팀은 특정 정치 광고를 어느 사용자 집단에 등장하도록 대상을 지정했는지 추론한다. 바로 페이스북이 공개하지 않은 정보이다.
연구팀의 행동이 합의 명령 위반 사항인가? 명령의 두 조항을 상상해볼 수 있다. 합의 명령 제2조는 페이스북에 사용자 데이터를 타 기관과 공유하기 전, 사용자의 동의를 받아야 한다고 명시한다. 애드 옵저버는 페이스북 자체가 아닌 사용자의 데이터 공유 동의에 의존하므로 제2조 위반 사항에 해당하지 않는다.
프린스턴대학교 컴퓨터 과학 및 공공 문제 교수인 조나단 메이어(Jonathan Mayer)는 “페이스북이 외부에 데이터를 공유할 때, 데이터 공유 관계를 질서를 유지해야 한다. 그러나 사용자가 페이스북을 통해 공유하지 않고 직접 외부 기관에 페이스북에서 보는 것을 공유한다면, 페이스북의 관리 의무가 적용되지 않는다”라고 말했다.
페이스북 대변인인 조 오스본(Joe Osborne)도 합의 명령 때문에 연구팀의 계정을 어쩔 수 없이 정지한 것이 아니라는 사실을 인정한다. 대신, 그는 합의 명령 제7조에 페이스북이 사용자 데이터 프라이버시와 신뢰성, 무결성을 보호하는 종합적인 프라이버시 제도를 시행해야 한다고 명시됐다고 말했다. 바로 FTC의 합의 명령이 아닌 페이스북의 프라이버시 프로그램 때문에 애드 옵저버팀의 활동을 금지한 것이다. 특히, 오스본은 연구팀이 “페이스북의 사전 허가 없이 자동화 수단을 이용해 페이스북의 제품 데이터에 접근하거나 수집할 수 없다”라고 명시된 페이스북의 서비스 약관을 반복하여 위반했다고 주장했다. 클락 총괄의 블로그 게시글은 10회에 걸쳐 데이터를 수집한 사실을 언급하며 계정 금지를 공식 발표했다.
뉴욕대학교 박사학 과정을 이수한 애드 옵저버 공동 개발자 중 한 명인 로라 에델슨(Laura Edelson) 박사는 애드 옵저버 툴이 자동화된 데이터 수집 툴이라는 주장을 전면 부인했다.
에델슨 박사는 “데이터 수집은 프로그램이 자동으로 웹사이트에서 필요한 텍스트를 찾아 이동하고는 브라우저 작동 방식과 다운로드 사항을 컴퓨터로 구동하는 프로그램을 작성하는 행위이다. 애드 옵저버 확장 프로그램은 이와 다른 방식으로 작동한다. 사용자와 함께 사용하면서 사용자가 광고를 볼 때만 데이터를 수집한다”라고 말했다.
“페이스북의 프라이버시 문제 주장은 이론적으로 타당하지 않다.”
마셜 어윈, 모질라 최고보안관리자
프런티어전자재단 소속 기술자인 베넷 사이퍼스(Bennett Cyphers)도 에델슨 박사의 주장에 동의한다. 사이퍼스는 “데이터 수집과 관련해 완벽하면서 일치하는 정의가 없다”라고 말했다. 다만, 사용자가 플랫폼에서 개인 경험을 문서화하고 공유하기로 선택했을 때는 기이한 형태로 나타난다. 이와 관련, 사이퍼스는 “연구팀의 활동은 페이스북이 통제할 수 있는 활동이 아니다. 페이스북이 사용자와 페이스북의 상호작용에 주목할 사용자 서비스 약관 위반이라고 밝히지 않는 이상 페이스북이 나설 수 있는 것이 아니다”라고 말했다.
결과적으로 브라우저 확장 프로그램의 자동화 여부는 관련이 없다. 페이스북이 정책을 변경할 수 있기 때문이다. 혹은 기존 정책을 유지한 채로 연구팀에 접근 권한을 허가할 수도 있기 때문이다. 따라서 더 중요한 의문점은 애드 옵저버의 사용자 프라이버시 침해 여부이다. 오스본은 확장 프로그램이 광고를 전달할 때, 데이터 공유에 동의하지 않은 다른 사용자의 정보까지 노출할 수 있다고 주장한다. 어느 한 사용자가 확장 프로그램을 설치했다면, 해당 사용자가 본 광고에 ‘좋아요’를 누르거나 댓글을 남긴 사용자의 친구 정보도 확인할 수 있다.
에델슨 박사도 오스본이 지적한 부분이 프라이버시 문제가 될 수 있다는 점에 동의했다. 다만, 이는 애드 옵저버가 실행되는 방식을 나타내는 것이 아니다. 애드 옵저버는 광고 프레임 내에 포함된 정보만 보며, 광고 아래에 볼 수 있는 댓글이나 반응은 확인하지 않는다.
페이스북이나 사용자 모두 에델슨 박사의 주장을 받아들일 것으로 보이지 않는다. 이 때문에 뉴욕대학교 연구팀은 모든 코드를 오픈소스로 제작했다. 파이어폭스(Firefox) 브라우저 개발 기업이기도 한 프라이버시에 중점을 둔 기관인 모질라(Mozilla)는 사용자에게 사용 권고를 하기 전 두 차례 코드 검토 과정을 진행한다. 모질라 최고보안관리자인 마셜 어윈(Marshall Erwin)은 “애드 옵저버는 사용자 친구의 개인 게시글이나 정보를 수집하지 않는다. 또, 자체 서버에 사용자 프로필을 압축하지도 않는다”라고 말했다. 어윈은 블로그 게시글을 통해 “페이스북의 프라이버시 문제 주장은 이론적으로 타당하지 않다”라고 설명했다.
만약, 애드 옵저버가 다른 사용자와 정보를 공유하지 않는다면, 누구의 프라이버시가 위험해지는 것일까? 2021년 3월, 이지 라포스키(Issie Lapowsky) 기자가 프로토콜(Protocol)에 보도한 바와 같이 페이스북이 가장 크게 우려하는 문제는 광고 그 자체이다. 페이스북은 페이스북에서 광고로 사용자 타깃을 지정하는 개인이나 기업이 어느 정도 비밀을 지닐 권리가 있다고 굳건히 믿는 듯하다. 결국, 페이스북은 단순히 광고가 대중을 대상으로 타깃을 선정하는 방법을 두고 논란 전체를 잠재울 수도 있다. 이 과정에서 애드 옵저버와 같은 우회 프로그램의 필요성도 모두 제거할 수 있다.
오스본은 페이스북이 에델슨 박사 연구팀을 페이스북 공개 연구 및 투명성(Facebook Open Research and Transparency) 계획에 초청한 사실을 가리켰다. 당시 연구팀은 정치 광고 타깃 선정 관련 일부 데이터를 수집했다. 그러나 에델슨 박사는 프로젝트에는 2020년 11월 대통령 선거 이전 3개월간의 데이터만 포함했다고 밝혔다. 즉, 페이스북이 제공한 데이터는 현재 진행 중인 솔루션이 아니며, 100명 미만인 극소수 사용자층이 본 광고는 생략했다는 의미이다.
아마도 현재 페이스북과 뉴욕대학교 연구팀 간의 가장 심각한 논쟁 사안은 페이스북이 실제로 애드 옵저버 프로젝트를 차단한 적이 없다는 주장이다. 페이스북은 서비스 약관 위반 사유로 에델슨 박사 연구팀의 계정을 정지해, 페이스북이 직접 공유하는 정치 광고 데이터와 관련된 사항을 언론인과 학계가 분석하도록 돕는 또 다른 프로젝트인 애드 옵저버토리(Ad Observatory)를 계속 이어갈 수 없도록 만들었다. (에델슨 박사는 “엔지니어 이름을 밝히지 말아달라”라고 요청했다) 그러나 애드 옵저버 프로젝트 자체로 아무것도 할 수 없었다. 페이스북이 연구팀의 계정을 정지해 연구팀의 브라우저 확장 프로그램으로 정보를 공유한 행위를 중단한 탓이다. 에델슨 박사에게는 일종의 처벌 행위처럼 느껴진다.
에델슨 박사는 “페이스북이 서비스 약관 위반 사항을 지적한 것은 애드 옵저버이다. 그러나 페이스북은 애드 옵저버토리 활동을 차단했다. 이는 페이스북이 애드 옵저버를 중단하거나 심각하게 지연시킬 행동을 했을 가능성이 확실하다. 페이스북은 애드 옵저버와 관련해 아무 것도 하지 않았다. 애드 옵저버와 관련이 없는 연구 활동을 막는다”라고 말했다.
투명성과 프라이버시는 갈등 상황에서 중요한 두 가지 요소이다. 페이스북은 사용자가 지금이 투명성과 프라이버시 문제가 제기된 때 중 한순간임을 믿는 것을 원한다. 그러나 실제 갈등은 페이스북의 투명성 공개 약속과 페이스북이 유지하고자 하는 몇 가지 저평가된 가치를 비밀로 두고자 하는 문제 간의 갈등이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202108/3316_4391_938.jpg)
뉴스레터 신청