Oura, 정부가 사용자 데이터 요청… 몇 건인지 공개할까?

Source: Hacker News

작년, 헬스 웨어러블 제조업체 Oura는 국방부와 Palantir와의 계약을 체결한 뒤 소셜 미디어 소란에 휘말렸다. 일부 고객은 자신의 데이터가 트럼프 행정부의 손에 들어갈까 두려워했다. 논란이 커지자 Oura 링을 착용하고 있던 파트너가 나에게 이 사건을 알려주었다.

Oura 링은 손가락에 착용하는 건강 모니터링 하드웨어 웨어러블이다. 배터리로 구동되는 이 링은 심박수, 수면 패턴, 월경 주기 등 수십 가지 건강 데이터를 비롯해 위치 정보까지 추적한다. Oura는 사용자들의 많은 민감 정보를 자체 서버에 보관한다.

보안·프라이버시 덕후 기자이자, 링을 착용하는 파트너의 연인으로서 나는 “그 모든 데이터는 어디로 가고, 어떻게 전송되는가?”가 궁금했다. 겉으로는 별 의미가 없어 보일 수도 있다. 하지만 기업이 제품과 서버를 설계하는 방식에 따라 정부(또는 해커)가 해당 사용자 데이터에 접근할 수 있는지 여부가 완전히 달라진다.

이번 기회에 Oura 링이 어떻게 작동하고, 데이터를 어떻게 전송·저장하며, 누가 접근할 수 있는지 파헤쳐 보았다. 나는 Oura의 보안 설계 선택이 정부가 방대한 사용자 정보 은행에 접근할 수 있게 만든다는 점을 상세히 설명한 장문 기사를 작성했다.

Oura만 이런 건 아니다. 많은(아마 대부분의) 기업이 고객 문제 해결이나, 한때 현금이 부족했던 스타트업이 가장 쉽고 저렴하게 구축할 수 있었던 방식 때문에 직원이 사용자 데이터에 접근하도록 시스템을 설계한다. 하지만 Oura는 현재 가장 큰 헬스 테크 웨어러블 제조업체 중 하나이며, 110억 달러 이상 규모로 평가받고 상장도 앞두고 있다. 이제는 사용자 데이터가 외부에 노출되지 않도록 할 책임이 그 어느 때보다 크다. 그리고 Oura는 더 이상 재정적 여력이 부족하다고 주장할 수 없다.

이전 블로그에서 나는 Oura 데이터가 종단 간 암호화(end-to-end encryption)를 적용하지 않는다는 점을 밝혀냈다. 즉, 사용자의 링 → 스마트폰 앱 → 인터넷 → Oura 서버로 이동하는 과정 중 여러 지점에서 데이터가 복호화될 수 있다. 회사는 일부 직원이 데이터를 열람할 수 있도록 저장한다는 점을 확인했다. 이는 검찰이 영장을 발부했을 때, 해커가 탈취한 키를 사용했을 때, 혹은 불만을 품은 내부자가 고의로 데이터를 뒤흔들었을 때도 마찬가지다.

세 경우 중 적어도 하나는 실제로 일어났음이 확인됐다.

지난 기사 발표 전에 코멘트를 요청했을 때, Oura 관계자는 “정부로부터 드물게 요청을 받는다”고 말했다. Oura는 각 요청을 “법적 근거, 범위, 필요성”을 기준으로 검토하고, “요청이 부당하거나 과도하거나 우리의 프라이버시 보호 원칙에 어긋날 경우 거부한다”고 덧붙였다.

Oura는 몇 건의 요청을 받는지, 얼마나 자주 사용자 데이터를 넘겨주는지, 어떤 종류의 데이터가 요구되는지에 대해서는 밝히지 않았다. Oura는 현재까지 550만 개 이상의 링을 판매했으며(링 판매 소식), 이는 회사 고객 기반의 규모를 가늠하게 해준다.

나는 당시 Oura에 투명성 보고서 형태로 요청 건수를 공개해줄 수 있는지 물었다. 많은 기술 기업들이 반기마다 정부 요구 건수를 집계해 공개하기 시작했으며, 이는 2013년 NSA 감시 스캔들 이후 “정부에 사용자 데이터를 몰래 넘겨준다”는 비판에 대응하기 위한 움직임이었다.

Oura의 초기 답변에는 약간의 희망이 있었다. 관계자는 투명성 보고서를 아직 발표하지는 않지만, “보안을 유지하고 회원에게 위험을 초래하지 않는 방식으로 집계 데이터를 공유하는 방안을 적극 검토하고 있다”고 말했다.

이제 독자 여러분, 8개월이 흘렀습니다.

나는 최근 다시 Oura에 투명성 보고서 발행 여부를 물었고, 여러 차례 후속 메일을 보냈음에도 불구하고 한때는 반응을 보였던 Oura는 아직 어떠한 답변도 하지 않았다. 다른 기술 기업들이 요구 건수를 공개하고 있는 만큼 Oura도 재고해 주길 기대한다.

구체적인 수치를 보지 못한다면, Oura가 정부의 데이터 요구를 거부하는 경우가 얼마나 되는지 알 수 없다. 헬스 웨어러블 시장의 선두주자로서 Oura는 고객의 신뢰를 얻고 유지하려면 정부가 사용자 정보에 접근을 요구하는 빈도를 공개해야 한다.

~ ~

읽어 주셔서 감사합니다 this week in security. 이 글이 마음에 드셨다면 공유해 주세요! 기사에 대한 피드백, 질문, 의견이 있으면 언제든지 연락 주세요: this@weekinsecurity.com.