2018.03.21

페이스북 5,000만 명 사용자 데이터 유출 사건을 둘러싼 공방과 데이터 획득 방법

Ms. Smith | CSO
페이스북은 트럼프와 관련된 데이터 기업인 캠브리지 애널리티카(Cambridge Analytica)를 일시 중단시켰다. 캠브리지 애널리티카는 5,000만 명 페이스북 사용자 데이터를 수집한 것은 데이터 유출의 결과가 아니라고 주장하고 있다.


Credit: Rob Schultz/IDG

페이스북은 3월 21일(현지 시간) 도널드 트럼프 미국 대통령의 2016년 선거에서 함께 일했던 SCL(Strategic Communication Laboratories)과 정치 데이터 분석 기업인 캠브리지 애널리티카(Cambridge Analytica)를 일시 정지했다고 발표했다.

이런 조치는 가디언(The Guardian)과 뉴욕타임스(The New York Times)가 SCL과 캠브리지 애널리티카가 약 5,000만 개 페이스북 계정에서 데이터를 비밀리에 수집했다는 보도가 나오기 수 시간 전에 행해졌다.

페이스북은 캠프리지 애널리티카가 자사의 규칙을 위반했지만 수집된 개인 데이터의 모든 것이 해킹을 통해 나온 것이 아니라고 주장했다.

캠브리지 애널리티카가 페이스북 데이터를 얻은 방법
2014년 중반까지 페이스북은 앱이 사용자의 전체 친구 네트워크에서 개인정보를 수집할 수 있는 허점을 갖고 있었다.

영국 학자 알렉산드르 코건이 만든 '디스이즈유어디지털라이프(thisisyourdigitallife)'라는 성격퀴즈 앱은 이 앱을 사용한 사람의 데이터를 수집할 뿐만 아니라 해당 사용자의 친구 네트워크를 조사하고 페이스북 프로필 데이터를 모두 수집했다.

페이스북은 단지 27만 명이 이 앱을 다운로드했다고 주장했지만, 코건은 사용자 동의없이 5,000만 개의 계정에서 데이터를 얻을 수 있었다고 반박했다. 그 가운데에는 케임브리지 애널리티카가 심리학적 프로파일을 만드는데 충분한 3,000만 개의 데이터도 포함되어 있었다.

페이스북은 2015년 코건의 연구 앱을 삭제하고 이를 통해 수집된 사용자 데이터를 모두 삭제하도록 요구했다. 그러나 여러 곳에서 이 데이터가 삭제되지 않았음이 드러났다.

와이어드(Wired)는 캠브리지 애널리티카와 가까운 소식통의 말을 빌어, 2015년에 삭제된 것으로 알려진 데이터가 2017년에도 여전히 접속할 수 있었다고 보도했다. "Kogan-import"라는 캠브리지 애널리티카 내부 데이터베이스에는 페이스북 ID와 2015년 코건이 실행한 성격 조사에 대한 응답이 포함되어 있었다.

이 데이터베이스는 데이터 과학, 엔지니어링, IT 팀에서도 일부 직원만 볼 수 있었다. 소식통에 따르면, 이 데이터베이스는 편집하거나 삭제할 수 있는 권한에 대해 엄격하게 통제되고 있었다.

3월 17일 미국 상원의원 에이미 클로부처는 마크 주커버그에게 페이스북 위반 사항에 대해 상원 출석을 요구했다.

에이미 클로부처는 트위터에서 다음과 같이 밝혔다.

페이스북 위반 : 이는 조사해야 하는 중대한 위반이다. 분명히 이 플랫폼은 스스로를 단속할 수 없다. 나는 온라인 정치 광고에 대한 투명성과 책임성을 요구해왔다. 그들은 "우리를 믿어달라"고 말해왔다. 마크 주커버그는 상원 사법위원회에 앞서 증언해야 한다.
— 에이미 클로부처(@amyklobuchar) 3월 17일 2018

페이스북이 발표한 캠브리지 애널리티카 일시 중지에 대한 내용은 다음과 같다.

이것이 데이터 유출이라는 주장은 완전히 거짓이다. 알렉산드로 코건은 자신의 앱에 가입하기로 선택한 사용자 정보에 대한 접속 권한을 요청했으며, 이와 관련된 모든 사람이 동의했다. 사람들은 자신의 정보를 제공하는 것을 인지하고 있었으며, 어떤 시스템도 침투한 것이 아니며 비밀번호나 민감한 정보는 도난당하거나 해킹당하지 않았다.

지난 토요일에 트위터에서 진행된 일련의 사태와 삭제된 트위터에서 페이스북 CSO 알렉스 스테모스는 위반(breach)이라는 용어에 예외를 뒀다. 이 후, 스테모스는 이를 삭제한 이유는 부정확하기 때문이 아니라 일을 해야 하기 때문이라고 변명했다.

캠브리지 애널리티카의 응답
페이스북 발표 이후, 캠브리지 애널리티카는 자체 성명을 통해 2014년 계약을 맺은 GSR(Global Science Research)가 획득한 모든 데이터를 삭제했다고 발표했다. 캠브리지 애널리티카는 도널드 트럼프 2016년 대선 캠페인에 제공된 서비스에는 GSR의 데이터는 사용되지 않았다고 덧붙였다.

크리스토퍼 와일리의 내부 고발 
캠브리지 애널리티카의 내부고발자 크리스토퍼 와일리는 이 기업에서 발생한 일의 범위와 이 기업이 페이스북을 악용한 방법에 대해 완전히 이해할 수 있도록 설명했다.

와일리는 먼저 '풀 서비스 프로파간다'에서 자신이 했던 역할에 대해 용서를 구했다. 와일리는 "대상자가 미국 전역에서 걸쳐 있었기 때문에 이는 비윤리적인 실험이었다. 동의나 인지가 없는 미 전역을 대상으로 한 심리학이었다"고 말했다.

페이스북의 진실, 사람들은 얼마나 받아들일까
페이스북은 "사람들의 정보를 보호하는 것은 우리가 하는 일의 핵심이며, 우리는 페이스북에서 애플리케이션을 운영하는 사람들에게도 같은 것을 요구한다"고 밝혔다.

지난 수년동안 페이스북은 사생활 침해 사건 이후 신중하게 성명을 발표했음에도 불구하고 사용자 개인정보가 이 회사의 핵심이 아니라는 사실을 입증해왔다. 페이스북은 광고를 판매할 사용자에 대한 데이터를 수집함으로써 돈을 벌어들인다.

미국 상원의원 마크 워너는 "러시아가 정치 광고를 구매할 수 있도록 허용하거나 또는 불만을 가진 사용자 데이터를 기반으로 한 광범위한 마이크로 타게팅을 허용하는 등의 일들을 규제하지 않으면 이 시장은 속임수에 잘 걸리고 투명성이 부족하게 될 것이 분명하다"고 지적했다. editor@itworld.co.kr  


2018.03.21

페이스북 5,000만 명 사용자 데이터 유출 사건을 둘러싼 공방과 데이터 획득 방법

Ms. Smith | CSO
페이스북은 트럼프와 관련된 데이터 기업인 캠브리지 애널리티카(Cambridge Analytica)를 일시 중단시켰다. 캠브리지 애널리티카는 5,000만 명 페이스북 사용자 데이터를 수집한 것은 데이터 유출의 결과가 아니라고 주장하고 있다.


Credit: Rob Schultz/IDG

페이스북은 3월 21일(현지 시간) 도널드 트럼프 미국 대통령의 2016년 선거에서 함께 일했던 SCL(Strategic Communication Laboratories)과 정치 데이터 분석 기업인 캠브리지 애널리티카(Cambridge Analytica)를 일시 정지했다고 발표했다.

이런 조치는 가디언(The Guardian)과 뉴욕타임스(The New York Times)가 SCL과 캠브리지 애널리티카가 약 5,000만 개 페이스북 계정에서 데이터를 비밀리에 수집했다는 보도가 나오기 수 시간 전에 행해졌다.

페이스북은 캠프리지 애널리티카가 자사의 규칙을 위반했지만 수집된 개인 데이터의 모든 것이 해킹을 통해 나온 것이 아니라고 주장했다.

캠브리지 애널리티카가 페이스북 데이터를 얻은 방법
2014년 중반까지 페이스북은 앱이 사용자의 전체 친구 네트워크에서 개인정보를 수집할 수 있는 허점을 갖고 있었다.

영국 학자 알렉산드르 코건이 만든 '디스이즈유어디지털라이프(thisisyourdigitallife)'라는 성격퀴즈 앱은 이 앱을 사용한 사람의 데이터를 수집할 뿐만 아니라 해당 사용자의 친구 네트워크를 조사하고 페이스북 프로필 데이터를 모두 수집했다.

페이스북은 단지 27만 명이 이 앱을 다운로드했다고 주장했지만, 코건은 사용자 동의없이 5,000만 개의 계정에서 데이터를 얻을 수 있었다고 반박했다. 그 가운데에는 케임브리지 애널리티카가 심리학적 프로파일을 만드는데 충분한 3,000만 개의 데이터도 포함되어 있었다.

페이스북은 2015년 코건의 연구 앱을 삭제하고 이를 통해 수집된 사용자 데이터를 모두 삭제하도록 요구했다. 그러나 여러 곳에서 이 데이터가 삭제되지 않았음이 드러났다.

와이어드(Wired)는 캠브리지 애널리티카와 가까운 소식통의 말을 빌어, 2015년에 삭제된 것으로 알려진 데이터가 2017년에도 여전히 접속할 수 있었다고 보도했다. "Kogan-import"라는 캠브리지 애널리티카 내부 데이터베이스에는 페이스북 ID와 2015년 코건이 실행한 성격 조사에 대한 응답이 포함되어 있었다.

이 데이터베이스는 데이터 과학, 엔지니어링, IT 팀에서도 일부 직원만 볼 수 있었다. 소식통에 따르면, 이 데이터베이스는 편집하거나 삭제할 수 있는 권한에 대해 엄격하게 통제되고 있었다.

3월 17일 미국 상원의원 에이미 클로부처는 마크 주커버그에게 페이스북 위반 사항에 대해 상원 출석을 요구했다.

에이미 클로부처는 트위터에서 다음과 같이 밝혔다.

페이스북 위반 : 이는 조사해야 하는 중대한 위반이다. 분명히 이 플랫폼은 스스로를 단속할 수 없다. 나는 온라인 정치 광고에 대한 투명성과 책임성을 요구해왔다. 그들은 "우리를 믿어달라"고 말해왔다. 마크 주커버그는 상원 사법위원회에 앞서 증언해야 한다.
— 에이미 클로부처(@amyklobuchar) 3월 17일 2018

페이스북이 발표한 캠브리지 애널리티카 일시 중지에 대한 내용은 다음과 같다.

이것이 데이터 유출이라는 주장은 완전히 거짓이다. 알렉산드로 코건은 자신의 앱에 가입하기로 선택한 사용자 정보에 대한 접속 권한을 요청했으며, 이와 관련된 모든 사람이 동의했다. 사람들은 자신의 정보를 제공하는 것을 인지하고 있었으며, 어떤 시스템도 침투한 것이 아니며 비밀번호나 민감한 정보는 도난당하거나 해킹당하지 않았다.

지난 토요일에 트위터에서 진행된 일련의 사태와 삭제된 트위터에서 페이스북 CSO 알렉스 스테모스는 위반(breach)이라는 용어에 예외를 뒀다. 이 후, 스테모스는 이를 삭제한 이유는 부정확하기 때문이 아니라 일을 해야 하기 때문이라고 변명했다.

캠브리지 애널리티카의 응답
페이스북 발표 이후, 캠브리지 애널리티카는 자체 성명을 통해 2014년 계약을 맺은 GSR(Global Science Research)가 획득한 모든 데이터를 삭제했다고 발표했다. 캠브리지 애널리티카는 도널드 트럼프 2016년 대선 캠페인에 제공된 서비스에는 GSR의 데이터는 사용되지 않았다고 덧붙였다.

크리스토퍼 와일리의 내부 고발 
캠브리지 애널리티카의 내부고발자 크리스토퍼 와일리는 이 기업에서 발생한 일의 범위와 이 기업이 페이스북을 악용한 방법에 대해 완전히 이해할 수 있도록 설명했다.

와일리는 먼저 '풀 서비스 프로파간다'에서 자신이 했던 역할에 대해 용서를 구했다. 와일리는 "대상자가 미국 전역에서 걸쳐 있었기 때문에 이는 비윤리적인 실험이었다. 동의나 인지가 없는 미 전역을 대상으로 한 심리학이었다"고 말했다.

페이스북의 진실, 사람들은 얼마나 받아들일까
페이스북은 "사람들의 정보를 보호하는 것은 우리가 하는 일의 핵심이며, 우리는 페이스북에서 애플리케이션을 운영하는 사람들에게도 같은 것을 요구한다"고 밝혔다.

지난 수년동안 페이스북은 사생활 침해 사건 이후 신중하게 성명을 발표했음에도 불구하고 사용자 개인정보가 이 회사의 핵심이 아니라는 사실을 입증해왔다. 페이스북은 광고를 판매할 사용자에 대한 데이터를 수집함으로써 돈을 벌어들인다.

미국 상원의원 마크 워너는 "러시아가 정치 광고를 구매할 수 있도록 허용하거나 또는 불만을 가진 사용자 데이터를 기반으로 한 광범위한 마이크로 타게팅을 허용하는 등의 일들을 규제하지 않으면 이 시장은 속임수에 잘 걸리고 투명성이 부족하게 될 것이 분명하다"고 지적했다. editor@itworld.co.kr  


X