라떼군 이야기

하루 12번씩 위치를 찍히는 사람이 실제로 있다

TL;DR 광고 기술 업체를 통해 최대 5억 대 모바일 기기의 정확한 위치(50미터 이내)가 자유롭게 거래되고 있으며, 미국 경찰은 이를 활용해 범죄자를 특정했다. 2013년 연구에서 이미 4개의 위치 기록만으로 95%의 사람을 재식별할 수 있다는 사실이 밝혀졌고, 같은 데이터가 해외 정보기관 손에도 들어갈 수 있다는 국가안보 위험이 커지면서 버지니아주가 올해 판매 금지법을 통과시켰다. - Webloc은 DHS·ICE·미군·투손 경찰의 고객이었다 - 위치 추적 사례 중 아부다비 남성은 하루 최대 12회 위치가 기록됨 - 대안으로 차별적 프라이버시와 온디바이스 처리 방식이 논의되고 있음

2013년, MIT와 브뤼셀 대학 연구팀은 150만 명의 이동 기록을 분석한 결과 단 네 번의 위치 정보만으로 95%의 사람을 특정할 수 있다는 논문을 발표했다. 그로부터 11년이 지난 지금, 우리는 그보다 훨씬 정교하고 방대한 데이터가 상업적으로 거래되는 현실을 마주하고 있다. 최근 시민랩이 입수한 Webloc 기술 제안서에는 최대 5억 대 기기의 위치·기기 식별자·앱 프로필이 포함된 기록이 담겨 있었다. 이 데이터는 단순한 광고 타겟팅을 넘어 경찰 수사와 정보 활동에까지 활용되고 있으며, 미국 정부 기관들이 적극 고객으로 나서고 있다는 점이 문제의 심각성을 더한다.

투손 경찰이 담배 도둑을 잡은 방법

투손 경찰은 Webloc 데이터를 활용해 연쇄 담배 절도범을 특정했다. 사건 현장마다 동일한 기기가 나타났고, 사건 후 그 기기는 항상 같은 주소로 돌아갔다. 결국 용의자는 피해 가게 직원의 파트너로 밝혀졌다. 시민랩 보고서에 따르면 Webloc은 GPS와 와이파이 액세스 포인트를 이용해 하루 12번까지 한 사람의 위치를 기록할 수 있었다. 아부다비에 사는 한 남성과 루마니아·이탈리아 특정 장소에 동시에 나타난 두 기기의 움직임이 구체적으로 사례 연구로 남아 있다. 이 데이터는 Penlink이 Cobweb Technologies를 인수한 2023년 이후 Tangles 플랫폼의 옵션 애드온으로 판매되고 있으며, DHS·ICE·미군 부대·인디언 사무국 경찰까지 고객 명단에 올라 있다. [1]

4개의 점으로 사람을 특정하는 이동성 지문

de Montjoye 연구팀이 밝힌 핵심은 이동 패턴이 강력한 생체 지문과 같다는 점이다. 이후 연구들도 비슷한 재식별률을 지속적으로 확인했다. 광고 입찰 과정에서 실시간으로 수집되는 위치 데이터는 5~50미터 수준의 정확도를 가지며, 앱이 백그라운드에서 돌아갈 때도 계속 생성된다. 이를 완전히 익명화하기는 사실상 불가능에 가깝다. 시민랩이 분석한 Webloc 제안서에는 ‘타겟 발견’과 ‘기기 여정 매핑’ 기능이 명시적으로 포함되어 있었다. 문제는 이 데이터가 미국 법 집행기관에게만 유용한 것이 아니라는 데 있다. 헝가리 국내 정보기관과 엘살바도르 경찰도 이미 고객으로 확인됐으며, 중국을 비롯한 능력 있는 적대국이 동일한 상용 데이터를 확보해 자체 플랫폼을 구축할 가능성은 매우 높다. [2][3]

판매 금지와 수집 통제 사이의 딜레마

버지니아주가 올해 고객의 정확한 위치 데이터 판매를 금지하는 법을 통과시킨 것은 의미 있는 출발이다. 다만 주 단위 규제만으로는 글로벌 데이터 흐름을 막기 어렵다. 대안으로는 차별적 프라이버시(ε=1.0 수준에서 집계 분석 유용성 70~85% 유지)와 온디바이스 처리 방식이 주목받고 있다. 애플과 구글은 이미 ‘중요 위치’ 기능 등을 기기 내에서 처리하도록 전환하고 있다. 법 집행기관 입장에서는 투손 경찰 사례처럼 전통 수사로는 어려운 사건 해결에 큰 도움이 되기 때문에 완전 금지를 반대한다. 결국 핵심은 ‘판매 금지’가 ‘수집 금지’로 이어지지 않도록 첫 번째 당사자 앱 기능은 허용하되, 제3자 브로커로의 유출은 차단하는 기술적·법적 장치가 필요하다는 점이다. [4][5]

정확한 위치 데이터 판매를 막는 것이 정말로 국가안보와 개인 프라이버시를 동시에 지킬 수 있는 최선의 방법일까. 만약 기술이 이미 이동 패턴을 생체 정보처럼 다루고 있다면, 우리는 법과 시스템 설계에서 그 사실을 얼마나 진지하게 받아들이고 있는지 되물어봐야 할 때다.

참고문헌

[1] Citizen Lab, Webloc: Adtech Data Brokerage and Global Location Tracking - https://citizenlab.ca

[2] Yves-Alexandre de Montjoye et al., Unique in the Crowd, Scientific Reports (Nature), 2013

[3] Penlink/Cobweb Technical Proposal (leaked 2023)

[4] Carpenter v. United States, 585 U.S. 296 (2018)

[5] Lawfare, It Is Time to Ban the Sale of Precise Geolocation - https://www.lawfaremedia.org/article/it-is-time-to-ban-the-sale-of-precise-geolocation

April 19, 2026 privacy geolocation surveillance national-security adtech
프리랜서로 제품 기획과 개발을 맡길 파트너가 필요하신가요? 개인, 팀, 기업 누구나 의뢰할 수 있으며 문제 정의부터 출시까지 함께합니다.
함께 일하기 연락하기 →