데이터 브로커 Gravy Analytics에서 발생한 해킹과 데이터 유출 사건으로 전 세계 수백만 명의 사생활이 위협받고 있습니다. 스마트폰 앱이 수집한 위치 데이터가 무의식적으로 드러나면서 이러한 상황이 초래되었습니다.
데이터 유출의 전체 규모는 아직 밝혀지지 않았지만, 해커는 이미 주요 소비자 앱에서 수집된 방대한 위치 데이터 샘플을 공개했습니다. 여기에는 피트니스, 건강, 데이팅, 대중교통 앱뿐 아니라 인기 게임 앱의 데이터가 포함되어 있으며, 사람들이 어디에 거주하고, 일하며, 이동하는지 보여주는 수천만 개의 위치 데이터가 담겨 있습니다.
유출 사건은 지난 주말, 한 해커가 러시아어 사이버 범죄 포럼에 위치 데이터 스크린샷을 게시하며 알려졌습니다. 해커는 Gravy Analytics에서 소비자 데이터 수 테라바이트를 탈취했다고 주장했으며, 독립 언론 404 Media가 처음으로 이를 보도했습니다. 이 유출은 수백만 스마트폰의 과거 위치 데이터가 포함되어 있다고 주장했습니다.
노르웨이 방송국 NRK는 1월 11일, Gravy Analytics의 모회사인 Unacast가 노르웨이 데이터 보호 당국에 유출 사실을 신고했다고 보도했습니다. 이는 해당 국가 법률에 따른 조치입니다.
2004년 노르웨이에서 설립된 Unacast는 2023년 Gravy Analytics와 합병하며 세계 최대 규모의 소비자 위치 데이터 수집 기업 중 하나라고 자부했습니다. Gravy Analytics는 전 세계적으로 매일 10억 대 이상의 기기를 추적한다고 주장합니다.
Unacast는 노르웨이에 제출한 데이터 유출 공지에서, 1월 4일 해커가 “무단 키”를 사용해 Amazon 클라우드 환경에서 파일에 접근한 사실을 발견했다고 밝혔습니다. 이 회사는 해커와의 커뮤니케이션을 통해 유출 사실을 알게 되었다고 전했지만, 추가적인 세부 사항은 제공하지 않았습니다. 유출 사건 이후, 회사의 운영은 잠시 중단되었습니다.
Unacast는 영국 데이터 보호 당국에도 유출 사실을 통보했으며, Gravy Analytics의 웹사이트는 여전히 비활성화 상태에 있습니다. 지난주 동안 Gravy Analytics와 관련된 여러 도메인도 작동하지 않는 것으로 확인되었습니다.
3천만 개의 위치 데이터 포인트 유출
데이터 프라이버시 옹호자들은 데이터 브로커가 개인의 사생활과 국가 안보에 미치는 위험을 오래전부터 경고해왔습니다. 유출된 Gravy Analytics 위치 데이터를 분석한 연구자들은 이 정보가 사람들의 최근 행적을 광범위하게 추적하는 데 사용될 수 있다고 경고했습니다.
디지털 보안 회사 Predicta Lab의 CEO인 바티스트 로버트는 유출된 데이터가 3천만 개 이상의 위치 데이터 포인트를 포함하고 있다고 밝혔습니다. 데이터에는 백악관, 크렘린궁, 바티칸 시티, 전 세계 군사 기지 등의 위치가 포함되어 있었습니다. 그는 또한 유출된 데이터를 통해 군사 기지 위치와 중첩하여 군 관계자로 보이는 개인을 식별할 수 있음을 보여주었습니다.
Forbes는 특정 앱에서 나온 위치 데이터가 LGBTQ+ 사용자를 식별할 수 있어 동성애가 불법인 국가에서 이들에게 위험이 될 수 있음을 경고했습니다.
광고 네트워크에서 수집된 위치 데이터
Gravy Analytics는 주로 실시간 입찰(Real-Time Bidding)이라는 온라인 광고 업계의 주요 과정을 통해 위치 데이터를 수집합니다. 광고 입찰 과정에서 앱 사용자가 허용한 경우 더 정밀한 위치 데이터를 포함해 기기 정보가 광고주들에게 공개됩니다.
연구자들은 Android 및 iPhone 앱에서 수집된 데이터가 포함되어 있으며, 여기에는 FlightRadar, Grindr, Tinder와 같은 앱도 포함됩니다. 이들 앱은 Gravy Analytics와 직접적인 비즈니스 관계가 없다고 주장했지만, 광고를 표시함으로써 데이터가 수집될 수 있습니다.
404 Media는 Gravy Analytics의 방대한 위치 데이터가 기기의 IP 주소에서 추론된 정보일 가능성이 높으며, GPS 좌표에 의존하지 않았음을 발견했습니다.
광고 감시를 방지하는 방법
전자 프런티어 재단(EFF)은 광고 감시를 방지하기 위해 광고 차단기 또는 모바일 콘텐츠 차단기를 사용할 것을 권장합니다. Android와 iPhone도 기기 수준의 기능을 제공하여 광고주가 데이터를 추적하는 것을 더 어렵게 만듭니다.
iPhone 사용자는 “설정 > 추적”에서 앱의 추적 요청을 비활성화할 수 있으며, Android 사용자는 “설정 > 개인정보 보호 > 광고”에서 광고 ID를 삭제할 수 있습니다. 또한 앱이 정밀한 위치에 접근하는 것을 제한하면 데이터 노출을 줄일 수 있습니다.