美 법무부, 자동차 튜닝 앱 사용자 10만 명 신원을 애플·구글에 요구하다

앱스토어에서 받은 앱 하나 때문에 신원이 노출된다면

좀 무서운 뉴스 하나 가져왔어요. 미국 법무부(DOJ)가 애플과 구글에 특정 자동차 튜닝 앱을 다운로드한 사용자 10만 명 이상의 신원 정보를 넘기라고 요구했다는 소식이에요. 이게 왜 큰 이슈냐면, 지금까지는 "누가 무슨 앱을 깔았는지"를 정부가 통째로 요구하는 사례가 흔하지 않았거든요. 대부분은 특정 범죄 용의자 한 명이나 몇 명에 대한 영장이 일반적이었어요.

문제가 된 앱은 자동차의 ECU(엔진 제어 장치)를 튜닝하거나, 배기가스 저감 장치를 우회하는 기능을 가진 앱이에요. 미국에서는 디젤 트럭의 DPF(매연 저감 필터)나 EGR(배기가스 재순환 장치)을 강제로 꺼버리는 "딜리트(delete) 튜닝"이 한때 유행했는데, 이게 청정대기법(Clean Air Act) 위반이거든요. 환경보호청(EPA)이 이걸 단속하기 위해 법무부와 함께 움직인 거예요. 단속 자체는 이해가 가지만, 수단이 너무 광범위해서 논란이에요.

어떤 정보를 넘기라는 걸까

요구된 정보가 꽤 구체적이에요. 단순히 다운로드 기록뿐 아니라, 사용자의 이름, 이메일, 결제에 사용된 카드 정보, IP 주소, 기기 식별자(디바이스 ID), 그리고 앱을 다운받은 위치 정보까지 포함된다고 해요. 이 정도면 사실상 한 사람의 디지털 생활 전체를 프로파일링할 수 있는 수준이에요.

더 큰 문제는 앱을 깔아본 사람 전부가 대상이라는 점이에요. 앱을 깔았다고 해서 다 불법 튜닝을 한 건 아니거든요. 단순 호기심에 깔아본 사람도 있고, 합법 영역인 성능 모니터링 용도로만 쓴 사람도 있어요. 그런데도 "이 앱을 다운받았다"는 사실 하나로 신원이 정부 데이터베이스에 등록되는 셈이죠. 미국 시민자유연합(ACLU) 같은 단체들은 이걸 "역방향 영장(reverse warrant)"이라고 부르며 비판하고 있어요. 보통 영장은 "이 사람이 뭘 했는지 알려달라"인데, 역방향 영장은 "이걸 한 사람이 누군지 다 알려달라"는 식이거든요.

애플과 구글은 어떻게 대응할까

역사적으로 두 회사의 태도는 꽤 달랐어요. 애플은 2016년 샌버나디노 총격 사건 때 FBI가 아이폰 잠금해제를 요구했지만 끝까지 거부한 적이 있어요. 프라이버시를 핵심 브랜드 가치로 내세우는 회사니까요. 반면 구글은 위치 데이터 영장(geofence warrant)에 비교적 협조적이었던 편이에요. 다만 최근 몇 년 사이 구글도 위치 기록을 사용자 기기에만 저장하는 방향으로 정책을 바꾸면서, 정부 요청에 응할 데이터 자체를 줄이는 쪽으로 움직이고 있어요.

이번 건은 두 회사 모두 "법적으로 다투겠다"는 입장을 어느 정도 보일 가능성이 높아요. 10만 명 단위 신원 공개는 헌법상 수정헌법 제4조(부당한 압수수색 금지)와 충돌할 여지가 크거든요. 미국 법원이 최근 몇 년 사이 geofence warrant에 대해 위헌 판결을 내리는 추세이기도 하고요.

한국 개발자에게 주는 시사점

"미국 일이니까 우리랑 상관없겠지" 싶지만, 의외로 한국 개발자에게도 영향이 있어요. 첫째, 앱스토어에 앱을 올린다는 건 곧 사용자 데이터의 책임 소재가 플랫폼에 있다는 의미예요. 우리가 만든 앱을 깐 사용자가 누군지, 우리는 알 수 없지만 애플과 구글은 알아요. 그리고 그 정보는 정부 요청이 오면 넘어갈 수 있는 거예요.

둘째, 글로벌 서비스를 만든다면 미국법의 역외 적용 가능성을 고려해야 해요. 한국 개발자가 만든 앱이 미국 사용자에게 배포되고, 그게 미국 법에 저촉된다면 같은 방식의 데이터 요구가 들어올 수 있어요. 특히 자동차, 의료, 금융, 보안 우회 같은 민감 영역은 더 그래요.

셋째, 사용자 데이터를 최소한만 수집하는 설계(data minimization)가 점점 더 중요해지고 있어요. 우리 서버에 저장하지 않은 데이터는 영장으로도 못 가져가거든요. 단말 안에서 처리하는 온디바이스 처리, 익명 식별자 사용, 짧은 보존 기간 정책 같은 게 단순한 프라이버시 윤리를 넘어 법적 리스크 관리가 되는 시대예요.

마무리

환경 보호라는 명분과 사용자 프라이버시라는 가치가 정면으로 충돌하는 사건이에요. 어느 쪽이 더 중요하다고 단정하기 어렵지만, 적어도 "앱 하나 깔았다고 정부가 내 신원을 안다"는 상황은 누구라도 불편할 수밖에 없어요.

여러분 생각은 어떠세요? 환경 위반 단속을 위해서라면 이 정도 데이터 요구는 정당하다고 보시나요, 아니면 너무 광범위한 어망 수사라고 보시나요? 그리고 만약 본인이 만든 앱에 비슷한 요구가 들어온다면, 어떻게 대응할 것 같으세요?