이 구글 사용자 데이터 스캔들은 왜 더 많은 사람들이 GrapheneOS를 사용하고 있는지를 보여준다
Source: Android Authority
TL;DR
- 구글이 사용자를 통보하지 않고 학생의 데이터를 정부에 제공한 뒤 구글을 상대로 법적 고소가 제기되었습니다.
- 구글 자체 정책에 따르면 몇 가지 예외를 제외하고는 데이터를 넘기기 전에 사용자에게 통보한다는 내용이 명시되어 있습니다.
- 이 소식은 GrapheneOS와 같은 구글 없는 안드로이드 포크가 인기를 얻고, 구글 앱의 대안이 늘어나는 시점에 전해졌습니다.
배경
미국 당국은 정기적으로 기술 기업에 사용자 데이터 요청을 보냅니다. 구글도 예외는 아니며, 회사 자체 정책에 따르면 당국이 사용자 데이터를 요청했을 때 일반적으로 사용자에게 통지한다고 명시하고 있습니다. 그러나 새로운 법적 고소가 여러분이 디지털 생활을 deGoogle하게 만들 동기를 제공할 수 있습니다.
Electronic Frontier Foundation (EFF)의 법적 고소는 구글이 자체 규칙을 위반하고 사용자를 먼저 통지하지 않은 채 이민 및 관세 집행국(ICE)에 사용자 데이터를 제공했을 가능성을 주장합니다. 해당 사용자인 Amandla Thomas‑Johnson은 외국인 박사 과정 학생으로, 코넬 대학교에서 친팔레스타인 시위에 참석한 것으로 알려졌습니다.
Thomas‑Johnson은 정부가 학생 시위를 탄압하는 과정에서 숨게 되었으며, 연방 요원들이 그의 집을 수색했다고 주장합니다. 또한 그의 행방과 관련해 탬파 공항에서 친구가 심문을 받았다고도 밝혔습니다.
몇 주 뒤 스위스를 방문하고 있던 Thomas‑Johnson은 구글이 그의 사용자 데이터를 국토안보부에 넘겼다는 통보 이메일을 받았습니다. 그는 해당 요청에 대해 구글로부터 별도의 통지 이메일을 받지 못했습니다.
“그 통지는 요청에 이의를 제기할 기회를 제공하기 위한 것입니다. 제 경우에는 그 보호 장치가 우회되었습니다,” 라고 그는 설명했습니다.
Google의 알림 정책
Google의 policy webpage에서는 일반적으로 정부에 데이터를 넘기기 전에 사용자에게 요청 사실을 통지한다고 명시하고 있습니다. 그러나 회사는 몇 가지 예외가 있다고 설명합니다:
- 법적 금지 – 법적으로 금지된 경우 통지하지 않으며, 금지 기간이 끝난 후에 통지합니다.
- 계정 문제 – 계정이 비활성화되었거나 탈취된 경우 통지하지 않습니다.
- 긴급 상황 – 긴급 상황(예: 아동의 안전 위협이나 누군가의 생명 위협)에서는 통지하지 않으며, 상황이 종료된 후에 통지합니다.
즉, 회사는 법적 요구에 따라 데이터 요청에 대해 통지를 할 수 없게 되거나, 누군가에게 위협이 있는 경우 통지 없이 데이터를 넘길 수 있습니다.
공개된 데이터
Google이 Thomas‑Johnson의 다음 정보를 넘겨준 것으로 보입니다:
- IP 주소
- 물리적 주소
- 세션 시간/지속 시간
- 기타 “식별자”
비록 많아 보이지 않을 수 있지만, 이는 누군가의 위치, 거주지, 그리고 다른 사람과 언제 소통하는지를 파악하는 데 사용될 수 있습니다. 검색 거인인 Google은 또한 요청이 너무 광범위하다고 판단될 경우 공개된 데이터의 범위를 좁히려 한다고 주장합니다.
함의와 대안
더 많은 사람들이 GrapheneOS와 같은 Android 포크로 전환하는 것은 놀라운 일이 아닙니다. 이 플랫폼은 구글에 데이터를 전송하지 않으며, 심지어 강제 PIN을 제공하는데, 이는 전체 기기를 삭제할 수 있는 별도의 PIN입니다—당국이나 범죄자에게 휴대폰을 넘겨야 할 상황에서 유용합니다.
우리는 또한 사용자가 Google 앱 및 서비스에서 대안인 Brave, ProtonMail, BitWarden 등으로 이동하는 모습을 목격했습니다. 디지털 도구를 다양화하면 특히 억압적인 정권 하에서 단일 실패 지점을 줄이는 데 도움이 됩니다.
전망
우리는 이 법적 고소에 대해 구글에 의견을 요청했으며, 회사가 응답하면 기사에 업데이트할 예정입니다.