법원 문건은 미국 연방수사국(FBI)이 그동안 논란이 되는 지오펜스 수색 영장을 공개적으로 알려지지 않은 규모로 사용하면서 1월 6일, 우익 폭도 세력이 치명적인 침입 행위를 범한 미국 국회의사당 내 기기 수백 대의 계정 정보와 위치 데이터를 수집한 사실이 알려졌다.
구글이 1년간 위치 데이터 수집 요청하는 지오펜스 영장을 총 1만 건 이상 받는 가운데, FBI가 지오펜스로 국회의사당 폭동 당시 기기 정보를 수집한 사실은 폭도 세력을 추적하는 데 매우 생산적이면서도 대규모 수색 데이터베이스를 구축하도록 한 것이 분명하게 드러났다.
지오펜스 영장은 주어진 영역에서 기기를 사용하는 모든 이의 위치 정보를 수집한다. 구글이 개발한 GPS와 와이파이, 블루투스 신호를 최대한 활용해 일정 거리 안에 있는 특정 기기를 지목하는 위치 기술이 강력하면서도 널리 사용되는 덕분에 셀 수 없을 정도로 지오펜스 영장 발급 요청을 받았다.
수사 기관은 휴대전화 기업을 대상으로 영장을 발급할 수 있다. 그러나 기지국은 단 0.75마일(약 1.2km) 이내의 거리에서 확인할 수 있는 기기 위치 정보만 파악할 수 있다. 이번에 공개된 법원 문건은 FBI는 폭동 당시 국회의사당 내 기기 수천 대의 기지국 기록을 수집했으나 구글의 데이터가 훨씬 더 정확하다는 사실을 시사했다.
지오펜스 수색 영장 발급 사실은 워싱턴포스트의 보도를 통해 처음 알려졌다. 또, 포브스 등 다른 여러 매체도 과거에 구글 위치 데이터를 이용한 법률 집행기관의 수사가 진행된 특정 순간에 주목했다. 그러나 와이어드는 1월 6일 폭동 사태 당시 국회의사당 내 용의자의 위치를 파악하기 위해 구글의 위치 데이터를 언급한 연방 형사 사건 총 45건을 발견했다. 지금까지 와이어드가 발견한 사건 45건 중 6건은 FBI가 지오펜스 영장 발급 전까지 용의자의 신원을 파악하지 못한 것으로 확인됐다. 그 중 한 건은 현재 시카고 경찰국이 담당하고 있다.
노스이스턴대학교 법학 및 컴퓨터 과학 교수인 아리 왈드만(Ari Waldman)은 “위지 데이터 기술 악용 위험성을 심각하게 우려한다. 민주주의 정부에 반기를 든 쿠데타를 일으킨 사실 자체가 혐오스럽기는 하지만, 지오펜스가 헌법으로 보장된 프라이버시 보호를 고려하지 않았기 때문이다”라고 말했다.
사실, 법원 문건에는 정부가 제기한 소송 한 건을 포함한 국회의사당 폭동 관련 지오펜스 영장 두 건은 폭동 사태가 걷잡을 수 없을 정도로 확산되던 도중 발행된 사실이 언급됐다. 두 건 모두 재빨리 비공개 처리돼, 향후 몇 년간 대중에 공개되지 않을 듯하다. 하지만, 법원 문서 수백 건을 상세히 읽어보았을 때, 비밀리에 발행된 지오펜스 영장과 구글에 초점을 맞춘 위치 데이터 영장 추가 발행이 용의자 수십 명과 관련된 다양한 정보를 파악하는 데 도움이 된 사실을 확인할 수 있다.
기본적으로 지오펜스 영장은 중대한 사실을 발견하기 위한 희망을 통해 이루어지는 수사 과정이다. 수사 기관은 범죄 발생 장소와 시기를 대략적으로만 알고 있으며, 범죄 발생 당시 현장 인근에 있던 이들을 확인하고자 한다. 일반적으로 무고한 시민과 범죄 현장 근처를 지나던 행인 정보까지 파악할 수 있어, 구글은 법률 집행기관에 3단계 절차를 거쳐 위치 정보에 접근할 것을 요구한다.
“테크 업계 대기업에 의존해 정부로부터 사용자의 프라이버시를 보호한다면, 매우 불안정한 법안이라고 말할 수 있다.”
매튜 톡슨, 유타대학교
초기 지오펜스 영장은 특정 영역과 시간대에 추적할 수 있는 익명 처리된 기기 목록을 찾고자 한다. 이후 수사 기관은 기기 목록을 이용해 용의자를 추적하는 데 집중하고, 용의자로 추정되는 이의 기기만 대상으로 지정하고 구글에 더 상세한 시간대의 위치 정보나 지오펜스 경계 범위 상세 추적을 요구한다. 마지막 단계에서는 구글에 최종 용의자의 실명과 이메일 주소, 연락처, 기타 계정 주인 관련 몇 가지 상세 정보 제공을 요청한다. 지금까지 실제 거부 사례는 매우 드물지만, 법원은 지나치게 광범위한 지오펜스 영장 발급 요청을 거부할 수 있다.
그러나 일반적인 지오펜스 기반 상세 정보 파악 희망 조사를 통해 1~2명만 찾게 되지만, 국회의사당 폭동 수사 과정에서는 용의자 정보를 다량으로 확보했다.
법원 문건을 통해 미국 국회의사당 건물과 국회의사당 광장으로 이어진 계단을 포함한 구글 지오펜스 영장을 볼 수 있다. 또, 지오펜스 영장은 FBI가 며칠 혹은 몇 주간 용의자 소유로 추정된 기기의 계정 이름과 이메일 주소, 연락처를 비롯한 여러 개인 정보에 접근한 사실도 드러났다.
[사진=Pixabay]
와이어드가 취재 과정에서 대화한 법률 전문가 중, 과거의 다른 사건 수사 과정에서 지오펜스 영장으로 수집한 기기의 개인 데이터가 FBI의 국회의사당 폭동 사건과 같이 대거 드러난 사례를 접한 적이 없다고 말했다.
유타대학교 법학 교수이자 수정헌법 제4조 전문가인 매튜 톡슨(Matthew Tokson) 교수는 “FBI가 익명 데이터를 확보하고는 직접 구글에 연락해, 지오펜스 영장으로 추적한 기기 모두 국회의사당 사태 용의자일 확률이 매우 높다고 주장하고는 모든 기기의 개인 데이터를 요청했을 확률이 높다고 본다. 혹은 FBI가 국회의사당 인근에서 추적한 다량의 기기 데이터 모두 용의자로 의심돼, 기기 연락처와 함께 계정 명칭도 건넬 것을 요구하는 이례적인 영장을 발급했을 수도 있다”라고 설명했다.
FBI가 폭동 용의자 정부를 확보한 방법이 무엇이든 법원 문건에는 2021년 1월, FBI가 구글을 통해 용의자 신원을 손쉽게 파악하거나 짧은 시간에 국회의사당 안에 있었던 사실을 확인할 수 있는 개인 데이터를 다량으로 보관했다는 사실이 드러났다. 처음 FBI는 국회의원과 직원, 법률 집행기관 관계자, 응급 의료의원, 정부 부처 직원 등 국회의사당 출입 인증이 된 이들을 용의자 후보에서 배제했다. 이 때문에 FBI는 구글 계정과 관련 데이터 등 수사 과정에서 수색할 수 있는 여러 정보를 얻게 되었다.
예를 들어, 법원 문건에는 제프리 레지스터(Jefferey Register)가 국회의사당 내부에서 촬영한 자신의 사진을 삭제하고는 불분명한 추적 행위를 한 기기 보안 침해가 발생하고 며칠 뒤 휴대전화를 공장 초기화했다고 주장하기도 했다. 그러나 너무 늦었다. FBI는 1월, 구글 지오펜스 데이터로 레지스터의 신원을 확인하고, 레지스터의 운전 면허증 사진을 이용해 폭동 사태 당시 국회의사당 건물 내부의 모습을 담은 영상 속 레지스터로 추정되는 인물과 같은 인물임을 확인했다. 레지스터는 국회의사당 난입과 무질서한 범죄 행위 등 총 4가지 혐의와 관련, 무죄를 주장했다.
지오펜스 영장을 통해 더 첨단화된 데이터 마이닝도 가능했다는 사실이 드러났다. 2021년 3월 2일, FBI는 폭동 사태 당시 국회의사당 내부에 있던 인물의 모습을 담은 유튜브 영상을 입수했다. 그 중에는 일리노이즈주 졸리엣 지역 배관공과 파이프 수리공 노동조합 자켓을 착용한 백인 여성도 있었다.
FBI 수사 담당자는 졸리엣의 815 지역 코드를 보유한 모든 휴대전화의 지오펜스 데이터를 수색했다. 815 기록 6개 중 2개가 여성임을 확인했으며, 그 중 한 명이 에이미 슈버트(Amy Schubert)라는 여성임을 확인했다. 슈버트의 공개 페이스북 프로필 사진과 폭동 현장 영상 속 여성의 모습이 일치한다는 결과가 나왔다. 슈버트의 신원을 파악한 덕분에 FBI는 결국 슈버트의 남편이자 폭동 사태의 다른 영상 속의 신원을 알 수 없는 남성 용의자였던 존 슈버트(John Schubert)까지 찾아냈다. 슈버트 부부는 국회의사당 침입 관련 4가지 혐의로 기소됐으며, 무죄를 주장하지는 않았다.
FBI가 지오펜스 데이터를 통해 처음 신원을 파악한 것으로 추정되는 또 다른 용의자는 캐롤 취시우크(Karol Chwiesiuk)이다. 구글은 폭동 당일 오후 2시 37분부터 3시 24분까지 취시우크의 휴대전화가 국회의사당 안에 있었던 사실을 확인했다. 법원 문건에는 FBI가 공개적으로 접근할 수 있는 자원을 이용해 취시우크의 이름을 확인했으며, 시카고 경찰관 중 같은 이름의 경찰관이 있다는 사실을 파악했다고 명시됐다. 시카고 경찰국은 취시우크의 자택 전화번호가 구글이 수집한 정보와 일치한다는 사실을 확인해주었다.
FBI는 기존 수색 영장을 이용해, 취시우크의 구글 계정으로 수집한 전체 위치 데이터와 대화 기록을 전부 확보했다. 구글 계정과 관련된 데이터 덕분에 취시우크가 시카고에서 워싱턴DC로 이동한 사실을 추정할 수 있었으며, 폭동 당시 국회의사당에 있었던 사실을 입증할 문자와 사진 여러 건을 확인했다. 취시우크는 국회의사당 건물 내 폭력적 난입을 포함한 5가지 혐의에 대해 무죄를 주장하지 않았다.
결국 FBI는 여러 명의 용의자와 관련, 연락처와 이메일 주소, 계정 생성일자, 마지막 접속 일자 등 광범위한 구글 데이터를 수집했다. 일부 법원 문건에는 FBI 요원이 ‘사용자의 삭제된 위치’ 기록까지 볼 수 있었던 사실이 작성됐다. 그러나 삭제된 위치 정보까지 접근한 이유는 알려진 바가 없다. 삭제된 위치 데이터는 용의자 신원 파악 후 초기 지오펜스 영장이나 추가 영장, 기존 수색 영장 중 어떤 영장으로 확인한 것인지 확실하지 않다.
다수 법률 전문가는 현재까지 드러난 바와 같이 법무부가 지오펜스 영장 데이터를 이용해 수색 가능한 용의자 데이터를 구축했다면, 법무부가 처음 영장을 발급한 순간을 알게 되었을 것이라고 말한다.
현재 마이크로소프트 AI 정책 관리 업무를 담당한 테크 업계 경영진이자 과거, 워싱턴대학교 법학대학원에서 지오펜스 영장을 연구한 적이 있는 팀 오브라이언(Tim O’Brien)은 “FBI의 지오펜스 영장을 이용한 데이터 수집 행위가 정상적이지 않은 듯하지만, 전반적인 상황 자체가 비정상적이라는 점에 주목할 만하다. 내가 법률 집행기관 관료였다면, 국회의사당 폭동 사태 수사에 3단계 절차가 불필요하다고 주장했을 것이다. 폭동 당시 국회의사당에 발을 들인 순간, 누구나 용의자나 목격자가 된다는 사실을 의미하기 때문이다”라고 설명했다.
다른 일부 전문가는 걷잡을 수 없이 상황이 악화될 것을 우려한다. 익명을 요청한 어느 한 디지털 포렌식 변호사는 “법률 집행기관과 검찰이 비정상적인 상황에서 할 수 있는 일을 볼 때, 보통 통제할 수 없는 상황이 되면서 비정상적인 것이 정상적인 사건으로 바뀐다. 살인사건 이외에도 차량 절도 사건에서도 이와 같은 문제를 볼 수 있다. 통제할 방법은 없다”라고 말했다.
구글은 다음과 같은 내용의 공식 성명을 발표했다. “구글은 사용자 프라이버시를 보호하는 동시에 법률 집행기관의 범죄 수사라는 중요한 일을 지원하도록 설계된 지오펜스 영장과 관련된 엄격한 절차를 두고 있다. 지오펜스 영장 범위를 확대하는 데 있어, 지오펜스 영장에 대한 대응으로 모든 데이터를 공개하고, 항상 초기 단계에서 신원 파악이 불가능한 데이터를 생성한다. 그리고, 추가 정보 생성 과정은 영장이나 법원 명령으로 의무화한 사항을 따르는 별도의 절차이다”라고 주장했다.
이어, 구글은 법원 명령이 종종 수신자의 논의를 막기 위해 구두 명령으로 이루어진다는 점에도 주목했다.
법무부는 지오펜스 영장 관련 문의에 답변하지 않았다.
보통 지오펜스 영장은 변호인이 사건에 개입하기 전에 신청하며, 몇 년간 대중이 볼 수 없도록 철저히 비공개 상태로 보호한다. 이 과정에는 합헌 여부나 영장 사용 자체와 관련된 중대한 소송 과정은 없었다. 이를 규정하는 법률인 ‘저장된 커뮤니케이션법(Stored Communications Act)’은 1986년, 스마트폰이나 와이파이, 광범위한 GPS 사용 등이 이루어지기 훨씬 전에 통과됐으며, 지금까지 대대적으로 개정되지 않았다.
대신 법무부의 컴퓨터 범죄 및 지식재산 조항과 구글이 지오펜스 영장 처리를 위한 자체적인 틀을 적용하며, 대다수 법원이 이를 받아들인다.
톡슨 교수는 적어도 구글이 법무부가 데이터 수색 영장을 확보하도록 한 것이 훌륭한 시작점이 된다고 주장한다. 그는 “그러나 테크 업계 대기업에 의존해 정부로부터 사용자의 프라이버시를 보호한다면, 매우 불안정한 법안이라고 말할 수 있다. 기업은 사업을 위해 정부에 크게 의존하며, 이를 영구적으로 규제하지 않는다”라고 말했다.
지금까지 국회의사당 침입과 관련, 600명이 넘게 체포됐으며, 최소 185며잉 기소됐다. 모두 불과 일주일 전, 구글 지오펜스 데이터를 이용해 피소된 형사 사건으로 기소되었다.
한편, 비공개 상태인 국회의사당 난입 지오펜스 영장은 아직 확인되지 않았다. 2021년 4월, 뉴욕타임스는 자체적으로 지오펜스 영장 한 건을 추적하고는 법원에 공개 요청을 했다. 그러나 뉴욕타임스가 추적한 지오펜스 영장은 마약 밀수 사건과 관련된 것으로 확인됐다. 지오펜스 데이터는 엄격하게 일방적으로 처리되는 정보 흐름으로 보인다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202110/3447_4548_3434.jpg)
뉴스레터 신청