5일 전

“지켜보고 있다” 유럽 규제기관, 마이크로소프트의 프라이버시 관행 조사 임박

Preston Gralla | Computerworld
마이크로소프트는 세계에서 가장 가치 있는 기업으로 성장하면서 최소한 지난 수년 동안 미 법무부나 연방규제기관, 의회의 주목을 피하는 데 성공했다. 반면에 페이스북이나 아마존, 구글, 애플은 시간도 노력도 끝없이 들어가는 규제기관의 조사에 휘말렸다.

하지만 이런 마이크로소프트의 자유시간도 끝나가고 있다. 윈도우 10과 오피스가 유럽연합의 GDPR 감시망에 걸려 들었고, 조사 결과는 미국에서의 조사로 이어질 수도 있다.
 
ⓒ GettyImagesBank

가장 큰 위험은 윈도우가 데이터를 수집하고 사용하는 방식이다. 사실 2018년 5월 GDPR 규제가 발효되기 이전에도 일부 유럽 국가는 윈도우의 프라이버시 문제를 미심쩍어했다.

2017년 네덜란드 정보보호국(DPA)은 윈도우 10이 측정 데이터를 사용자로부터 수집하는 방식이 자국의 데이터 보호 법률을 위반했다고 결론 내렸다. 하지만 DPA는 벌금을 부과하는 대신 마이크로소프트에 데이터를 수집하고 사용하는 방법을 바꿀 것으로 요구했다. 변경 사항은 윈도우 10 2018년 4월 업데이트에 반영됐는데, 이때 마이크로소프트가 내놓은 툴이 ‘진단 데이터 뷰어(Diagnostic Data Viewer)이다. 마이크로소프트는 블로그 포스트를 통해 이 툴이 “사용자의 윈도우 디바이스에서 수집한 진단 데이터에 대한 완전히 투명성”을 지키겠다는 약속의 일환이라고 설명했다. 

하지만 그렇게 투명하지는 않다. 진단 데이터 뷰어는 너무 복잡하고 이해하기 어려워서 프로그래머도 쉽게 사용하지 못한다. 윈도우가 사용자에 대해 어떤 정보를 수집하는지 쉽게 가르쳐 주기 보다는 “TelClientSynthetic.PdcNetworkActivation_4”이나 “Microsoft.Windows.App.Browser.IEFrameProcessAttached” 같은 이해할 수 없는 헤드를 설명도 없이 찾아봐야 한다. 헤드를 클릭하면 꼬이고 꼬인 코드가 잔뜩 나오는데, 당연히 이해할 수 없다. 

DPA는 많은 시간을 들여 진단 데이터 뷰어와 다른 마이크로소프트의 변경사항을 검사해 정보보호국의 규제와 새로운 GDPR을 준수하는지를 평가했다. 결론은 마이크로소프트가 DPA가 원래 요구했던 사항에 부합하도록 수정했다는 것. 하지만 이 검사를 통해 마이크로소프트가 사용자로부터 원격으로 다른 데이터를 수집한다는 것도 밝혀졌다. 이 때문에 마이크로소프트는 여전히 프라이버시 규정을 위반할 가능성이 있다. 네덜란드 DPA는 이 건을 아일랜드 정보보호 위원회(DPC)에 넘겼다. 마이크로소프트의 유럽 본부가 아일랜드에 있기 때문인데, 이제 DPC가 GDPR 위반 여주를 조사할 것이다.

신호는 좋지 않다. DPA의 조사 결과는 “마이크로소프트가 진단 데이터와 비진단 데이터를 수집한다는 것을 발견했다. 비진단 데이터를 수집하는 것이 필요한 일인지, 사용자는 이에 대해 제대로 고지를 받았는지 알고자 한다”고 밝혔다.

그렇다면 윈도우 사용자는 비진단 데이터 수집에 대해 충분한 설명을 들었을까? 필자가 아는 한 그렇지 않다. 진단 데이터 뷰어는 분명 아무런 도움이 되지 않을 것이다. 테크크런치가 지적했듯이 윈도우는 운영체제 설치 과정에서 프라이버시에 대한 사용자 동의를 강제적으로 받고 있다. 윈도우 설치 과정에서 사용자에 대한 데이터의 수집 및 사용에 대해 몇 차례 동의를 요청하는데, 사실 동의하지 않으면 윈도우를 사용할 수 없다.

만약 조사를 통해 마이크로소프트가 GDPR을 위반한 것으로 드러나면, 파급효과는 상당히 심각할 것이다. 벌금은 최대 40억 달러에 이를 것이며, 마이크로소프트는 윈도우가 사용자 데이터를 수집하는 방식을 바꿔야만 한다.

유럽 규제기관이 프라이버시 문제로 주목하는 것은 윈도우만이 아니다. 다양한 버전의 오피스 역시 표적이다. 네덜란드 DPA는 “마이크로소프트가 워드, 엑셀, 파워포인트, 아웃룩의 개인 사용에 대한 막대한 양의 데이터를 체계적으로 수집한다. 사람들에게 알리지 않고 은밀하게 이루어진다. 마이크로소프트는 데이터의 양이나 수집 거절 가능성, 수집되는 데이터의 내용을 볼 수 있는 기능 등 어느 것 하나도 사용자에게 선택권을 주지 않는다”고 지적했다. 독일 정부는 데이터 처리 방식 때문에 오피스 365 사용을 금지했다. 

더 심각한 문제는 GDPR 위반 사실을 기반으로 미국 정부가 취할 조치이다. 미국 규제기관과 의회는 바다 건너에서 벌어지는 사태에 무심하지 않다. 특히 지금의 정치 지형도는 대형 IT 기업이 현 정권의 마지막 위협이 된 상태이다. 만약 유럽연합이 마이크로소프트의 프라이버시 프랙티스에 벌금을 매기면, 미국 규제기관 역시 이를 따를 것이다. 이미 캘리포니아주와 뉴욕주 등 많은 주에서 자체 기술 프라이버시 규정을 만들고 있으며, 마이크로소프트는 주요 타깃 중 하나이다.

그동안 마이크로소프트는 프라이버시 문제의 총탄을 잘 피했지만, 그런 시절이 끝나고 있다. 1990년대에 연방 규제기관과 싸우는 동안 마이크로소프트는 서서히 침체된 경험이 있다. 이런 일이 다시 벌어진다면, “이거 어디서 본 것 같은데…”라는 말을 하게 될지도 모른다.  editor@itworld.co.kr


5일 전

“지켜보고 있다” 유럽 규제기관, 마이크로소프트의 프라이버시 관행 조사 임박

Preston Gralla | Computerworld
마이크로소프트는 세계에서 가장 가치 있는 기업으로 성장하면서 최소한 지난 수년 동안 미 법무부나 연방규제기관, 의회의 주목을 피하는 데 성공했다. 반면에 페이스북이나 아마존, 구글, 애플은 시간도 노력도 끝없이 들어가는 규제기관의 조사에 휘말렸다.

하지만 이런 마이크로소프트의 자유시간도 끝나가고 있다. 윈도우 10과 오피스가 유럽연합의 GDPR 감시망에 걸려 들었고, 조사 결과는 미국에서의 조사로 이어질 수도 있다.
 
ⓒ GettyImagesBank

가장 큰 위험은 윈도우가 데이터를 수집하고 사용하는 방식이다. 사실 2018년 5월 GDPR 규제가 발효되기 이전에도 일부 유럽 국가는 윈도우의 프라이버시 문제를 미심쩍어했다.

2017년 네덜란드 정보보호국(DPA)은 윈도우 10이 측정 데이터를 사용자로부터 수집하는 방식이 자국의 데이터 보호 법률을 위반했다고 결론 내렸다. 하지만 DPA는 벌금을 부과하는 대신 마이크로소프트에 데이터를 수집하고 사용하는 방법을 바꿀 것으로 요구했다. 변경 사항은 윈도우 10 2018년 4월 업데이트에 반영됐는데, 이때 마이크로소프트가 내놓은 툴이 ‘진단 데이터 뷰어(Diagnostic Data Viewer)이다. 마이크로소프트는 블로그 포스트를 통해 이 툴이 “사용자의 윈도우 디바이스에서 수집한 진단 데이터에 대한 완전히 투명성”을 지키겠다는 약속의 일환이라고 설명했다. 

하지만 그렇게 투명하지는 않다. 진단 데이터 뷰어는 너무 복잡하고 이해하기 어려워서 프로그래머도 쉽게 사용하지 못한다. 윈도우가 사용자에 대해 어떤 정보를 수집하는지 쉽게 가르쳐 주기 보다는 “TelClientSynthetic.PdcNetworkActivation_4”이나 “Microsoft.Windows.App.Browser.IEFrameProcessAttached” 같은 이해할 수 없는 헤드를 설명도 없이 찾아봐야 한다. 헤드를 클릭하면 꼬이고 꼬인 코드가 잔뜩 나오는데, 당연히 이해할 수 없다. 

DPA는 많은 시간을 들여 진단 데이터 뷰어와 다른 마이크로소프트의 변경사항을 검사해 정보보호국의 규제와 새로운 GDPR을 준수하는지를 평가했다. 결론은 마이크로소프트가 DPA가 원래 요구했던 사항에 부합하도록 수정했다는 것. 하지만 이 검사를 통해 마이크로소프트가 사용자로부터 원격으로 다른 데이터를 수집한다는 것도 밝혀졌다. 이 때문에 마이크로소프트는 여전히 프라이버시 규정을 위반할 가능성이 있다. 네덜란드 DPA는 이 건을 아일랜드 정보보호 위원회(DPC)에 넘겼다. 마이크로소프트의 유럽 본부가 아일랜드에 있기 때문인데, 이제 DPC가 GDPR 위반 여주를 조사할 것이다.

신호는 좋지 않다. DPA의 조사 결과는 “마이크로소프트가 진단 데이터와 비진단 데이터를 수집한다는 것을 발견했다. 비진단 데이터를 수집하는 것이 필요한 일인지, 사용자는 이에 대해 제대로 고지를 받았는지 알고자 한다”고 밝혔다.

그렇다면 윈도우 사용자는 비진단 데이터 수집에 대해 충분한 설명을 들었을까? 필자가 아는 한 그렇지 않다. 진단 데이터 뷰어는 분명 아무런 도움이 되지 않을 것이다. 테크크런치가 지적했듯이 윈도우는 운영체제 설치 과정에서 프라이버시에 대한 사용자 동의를 강제적으로 받고 있다. 윈도우 설치 과정에서 사용자에 대한 데이터의 수집 및 사용에 대해 몇 차례 동의를 요청하는데, 사실 동의하지 않으면 윈도우를 사용할 수 없다.

만약 조사를 통해 마이크로소프트가 GDPR을 위반한 것으로 드러나면, 파급효과는 상당히 심각할 것이다. 벌금은 최대 40억 달러에 이를 것이며, 마이크로소프트는 윈도우가 사용자 데이터를 수집하는 방식을 바꿔야만 한다.

유럽 규제기관이 프라이버시 문제로 주목하는 것은 윈도우만이 아니다. 다양한 버전의 오피스 역시 표적이다. 네덜란드 DPA는 “마이크로소프트가 워드, 엑셀, 파워포인트, 아웃룩의 개인 사용에 대한 막대한 양의 데이터를 체계적으로 수집한다. 사람들에게 알리지 않고 은밀하게 이루어진다. 마이크로소프트는 데이터의 양이나 수집 거절 가능성, 수집되는 데이터의 내용을 볼 수 있는 기능 등 어느 것 하나도 사용자에게 선택권을 주지 않는다”고 지적했다. 독일 정부는 데이터 처리 방식 때문에 오피스 365 사용을 금지했다. 

더 심각한 문제는 GDPR 위반 사실을 기반으로 미국 정부가 취할 조치이다. 미국 규제기관과 의회는 바다 건너에서 벌어지는 사태에 무심하지 않다. 특히 지금의 정치 지형도는 대형 IT 기업이 현 정권의 마지막 위협이 된 상태이다. 만약 유럽연합이 마이크로소프트의 프라이버시 프랙티스에 벌금을 매기면, 미국 규제기관 역시 이를 따를 것이다. 이미 캘리포니아주와 뉴욕주 등 많은 주에서 자체 기술 프라이버시 규정을 만들고 있으며, 마이크로소프트는 주요 타깃 중 하나이다.

그동안 마이크로소프트는 프라이버시 문제의 총탄을 잘 피했지만, 그런 시절이 끝나고 있다. 1990년대에 연방 규제기관과 싸우는 동안 마이크로소프트는 서서히 침체된 경험이 있다. 이런 일이 다시 벌어진다면, “이거 어디서 본 것 같은데…”라는 말을 하게 될지도 모른다.  editor@itworld.co.kr


X