Oura, 정부의 사용자 데이터 요청을 받고 있다

출처: Hacker News

작년, 헬스 웨어러블 제조업체인 Oura는 국방부와 Palantir와 계약을 체결한 뒤 소셜 미디어 소란에 휘말렸다. 일부 고객은 자신의 데이터가 트럼프 행정부의 손에 넘어갈까 우려했다. 이 스캔들이 너무 크게 번져서, Oura 링을 착용하고 있는 파트너가 내게 이 사안을 알려주었다.

Oura 링은 손가락에 착용하는 건강 모니터링 하드웨어 웨어러블이다. 배터리로 구동되는 이 링은 심박수, 수면 패턴, 월경 주기 등 수십 가지 데이터 포인트와 사용자의 위치까지 추적한다. Oura는 사용자에 관한 많은 민감 정보를 자체 서버에 보관한다.

보안·프라이버시 덕후 기자이자, 링을 사용하는 파트너의 연인인 나는 “그 데이터는 어디로 가고, 어떻게 전달되는가?”가 궁금했다. 데이터가 어디로 가는지는 별로 중요하지 않을 수도 있지만, 기업이 제품과 서버를 설계하는 방식에 따라 정부(또는 해커)가 해당 사용자 데이터를 열람할 수 있는지 여부가 완전히 달라진다.

이번 기회를 통해 Oura 링이 어떻게 작동하고, 데이터를 어떻게 전송·저장하며, 누가 접근할 수 있는지 파헤쳐 보았다. 나는 Oura의 보안 설계 선택이 정부가 방대한 사용자 정보 은행에 접근하도록 허용한다는 점을 상세히 설명한 긴 글을 작성했다.

Oura만 이런 건 아니다. 많은(아마 대부분의) 기업이 직원이 사용자 데이터를 열람할 수 있도록 시스템을 설계한다. 이는 고객 문제 해결을 위해서이거나, 현금이 부족했던 스타트업이 가장 쉽고 저렴하게 구축했기 때문이다. 하지만 Oura는 현재 가장 큰 헬스 테크 웨어러블 제조업체 중 하나이며, 110억 달러 이상으로 평가된 상태에서 상장을 앞두고 있다. 이제는 사용자 데이터가 외부에 노출되지 않도록 할 책임이 그 어느 때보다 크다. 그리고 Oura는 더 이상 재정적 여력이 부족하다는 주장을 할 수 없다.

이전 블로그 글에서 나는 Oura 데이터가 종단 간 암호화(end-to-end encryption)가 되지 않는다는 점을 밝혀냈다. 즉, 사용자의 링 → 스마트폰 앱 → 인터넷 → Oura 서버로 이동하는 과정 중 특정 지점에서 건강 데이터가 복호화될 수 있다. 회사는 일부 직원이 데이터를 열람할 수 있도록 저장한다는 점을 확인했다. 이는 검찰이 영장을 발부했을 때, 해커가 키를 탈취했을 때, 혹은 불만을 품은 내부자가 엉망진창을 남기고 싶을 때도 같은 상황이 될 수 있다.

세 경우 중 하나는 실제로 일어난 적이 있다.

지난 글을 내기 전에 Oura에 의견을 물었을 때, Oura 대변인은 “정부로부터 드물게 요청을 받는다”고 말했다. Oura는 각 요청을 “법적 근거, 범위, 필요성”을 기준으로 검토하고, “요청이 부당하거나 과도하거나 우리의 프라이버시 보호 약속에 어긋날 경우 거부한다”고 덧붙였다.

하지만 Oura는 몇 건의 요청을 받는지, 얼마나 자주 사용자 데이터를 넘겨주는지, 어떤 종류의 데이터가 요청되는지는 밝히지 않았다. Oura는 현재 550만 개 이상의 링을 판매했으며(보도자료), 이는 고객 기반 규모를 가늠하게 해준다.

그때 나는 Oura에 투명성 보고서를 공개할 의향이 있는지 물었다. 여러 기술 기업이 반기마다 정부 요구 건수를 집계해 공개하기 시작했는데, 이는 2013년 NSA 감시 스캔들 이후 “정부에 사용자 데이터를 몰래 넘겨주고 있다”는 비난에 대응하기 위함이었다.

Oura의 초기 답변에는 약간의 희망이 있었다. 대변인은 “투명성 보고서는 아직 발표하지 않지만, 보안을 해치지 않으면서 회원에게 위험을 초래하지 않는 형태로 집계 데이터를 공유하는 방안을 적극 검토하고 있다”고 말했다.

독자 여러분, 이제 8개월이 지났다.

나는 다시 Oura에 투명성 보고서 공개 여부를 물었고, 여러 차례 후속 메일을 보냈다. 한때는 반응을 보였던 Oura는 아직 어떤 답변도 하지 않았으며, 숫자를 공개하겠다는 약속도 하지 않았다. 다른 기술 기업들이 그렇게 했듯이 Oura도 다시 생각해 보고 요구 건수를 공개해 주길 기대한다.

숫자를 보지 못하면 Oura가 정부의 데이터 요구를 얼마나 자주, 혹은 전혀 거부하는지 알 수 없다. 헬스 웨어러블 시장의 선두주자인 Oura는 고객의 신뢰를 얻고 유지하려면 정부가 사용자 정보에 접근을 요구하는 빈도를 공개해야 한다.

~ ~

*읽어 주셔서 감사합니다 this week in security. 이 글이 마음에 드셨다면 공유해 주세요! 기사에 대한 피드백, 질문, 의견이 있으면 언제든지 연락 주세요: this@weekinsecurity.com.