의원 대상 인명 검색 사이트 표적 공격 사망자 2명 발생 후 며칠 만에 청문회 개최

 

작성자: Anthony Kimery

보도일자: 2025년 7월 31일

출처: Biometricupdate.com

 

수요일 열린 미국 상원 법사위원회 산하 프라이버시·기술·법률 소위원회 청문회에서 의원들은 미국인들이 체계적으로 디지털 프라이버시를 빼앗기고 있을 뿐만 아니라, 온라인 데이터 브로커들이 정보를 수집·판매하는 개인들의 생명에까지 직접적인 위협이 되고 있다는 증언을 들었다.

 

이번 청문회는 전 미네소타주 하원의장 멜리사 호트먼과 그의 남편 마크가 피살된 사건 직후 열렸다. 몇 시간 전에는 주 상원의원 존 호프먼과 그의 아내가 별도의 공격에서 중상을 입었다. 수사에 따르면, 피의자인 밴스 루서 볼터는 상업적 데이터 브로커와 인명 검색 사이트를 이용해 이들뿐만 아니라 70명이 넘은 공인들에 대한 상세한 정보를 담은 자료를 수집한 것으로 드러났다.

 

소위원회 공화당 간사인 에이미 클로버샤 의원은 현재의 디지털 데이터 규제 환경을 강하게 비판하며 청문회를 시작했다. 그녀는 기술 기업들이 방대한 양의 개인정보를 축적하고 있으며, 미국인들이 어디에 살고, 쇼핑하며, 일하고, 심지어 어떤 감정을 느끼는지까지 추적하고 있다고 지적했다. 그녀는 “우리가 바로 상품”이라며, 메타와 구글이 2024년에 4,200억 달러의 광고 수익을 올렸는데, 이는 대부분 규제되지 않은 데이터 수집 덕분이라고 강조했다.

 

클로버샤 의원은 데이터 수익화가 주요 기술 플랫폼의 핵심 비즈니스 모델이 되었음을 지적하며, 미국 페이스북 사용자가 분기마다 68달러의 이익을 창출하는 반면, 더 강력한 개인정보 보호법이 적용되는 유럽 사용자는 분기당 23달러에 불과하다고 설명했다.

 

이어 그녀는 친구 멜리사 호트먼과 그의 남편이 참혹하게 살해된 사건을 언급하며, 이번 사건이 온라인 데이터 브로커의 방대한 생태계를 개인이 얼마나 손쉽게 악용할 수 있는지를 적나라하게 드러냈다고 말했다. 이 사건을 계기로 최근 몇 년간 비판을 받아온 데이터 브로커 산업을 규제해야 한다는 요구가 다시금 거세지고 있다고 덧붙였다.

 

볼터 사건의 규모의 정치적 성격, 그리고 그가 수집했다고 의심되는 방대한 데이터 범위는 현재의 정책 논쟁의 긴박성을 한층 높였다. 그는 공인을 식별·추적·표적화하는 과정을 소름 끼칠 만큼 효율적으로 수행했으며, 이로 인해 데이터 프라이버시에 대한 추상적 우려가 이제는 더 이상 외면할 수 없는 생존의 문제로까지 비화하게 됐다.

 

개인 데이터가 어떻게 취급되고, 누가 이익을 얻으며, 누가 통제하고, 또 어떻게 활용될 수 있는지에 대한 더 폭넓은 논의는 학문적 차원의 프라이버시 논쟁을 넘어, 이제는 공공 안전을 둘러싼 전국적 담론의 중심으로 이동했다. 피해자 가족들에게 이 논의는 너무 늦게 시작된 것이지만, 입법자와 규제 당국, 그리고 데이터 브로커 산업의 핵심에 있는 기업들에게는 이제 피할 수 없는 문제가 될 수 있다.

 

법 집행 기록과 법원 기록에 따르면, 볼터는 Spokeo, Intelius, TruePeopleSearch와 같은 잘 알려진 인명 검색 사이트를 포함해 최소 11개의 데이터 브로커 서비스를 이용했다. 이들 플랫폼은 주택 주소, 전화번호, 친척 관계, 유권자 등록 정보 등과 같은 데이터를 수집하여, 종종 몇 달러만 지불하면 제공한다. 연방 검찰은 볼터가 “대화형 컴퓨터 서비스”를 이용해 피해자를 추적하고 공격을 위한 디지털 로드맵을 작성했다고 밝혔다. 이는 계획적인 범행과 명확하게 데이터 브로커 플랫폼에 의존하여 목표를 찾았음을 시사한다.

 

그러나 공적 기록이 폭력 사건에 연루된 것은 이번이 처음은 아니다. 1989년 로버트 존 바르도는 로스앤젤레스 자택 앞에서 배우 레베카 셰퍼를 살해했다. 그는 탐정 사무소를 통해 DMV(자동차 등록국) 기록을 구매해 그녀의 집 주소를 알아냈다. 이 비극은 이후 연방의 운전자의 프라이버시 보호법(Driver’s Privacy Protection Act)과 캘리포니아 최초의 스토킹 방지법 제정으로 이어졌다.

 

1999년 10월, 20세의 에이미 보이어는 시카고 직장 앞에서 한 남성에게 살해당했다. 그는 온라인 데이터 브로커를 통해 입수한 정보를 이용해 그녀를 스토킹해왔다.

 

인명 검색 플랫폼들은 일반적으로 정보 오·남용에 대한 책임을 부인하지만, 이들이 가능하게 만든 개인정보의 디지털화와 중앙집중화는 과거 상당한 노력이 필요했던 전통적인 공적 기록 시스템과 뚜렷한 대조를 이룬다. 예전에는 카운티 사무국을 직접 방문하거나, 잘 알려지지 않은 정부 부처의 복잡한 기록 체계를 찾아야 했던 일이 이제는 몇 번의 키 입력과 소액 결제만으로 가능해졌다.

 

2024년 12월, 로힛 초프라 국장 지휘 아래 바이든 행정부의 소비자 금융 보호국(CFPB)은 소비자의 명시적 동의 없이 사회보장번호, 신용기록, 소득 정보, 정확한 위치 기록과 같은 고도의 민감한 개인정보를 판매하는 데이터 브로커의 권한을 제한하는 규정을 제안하며 이 문제에 대응하고자 했다.

 

그 규정안인 미국인을 유해한 데이터 브로커 관행으로부터 보호하는 규정(Protecting Americans from Harmful Data Broker Practices, 규정 Ⅴ)은 데이터 브로커를 공정신용보고법(FCRA)에 따라 소비자신용보고기관(CRA)으로 분류하려는 것이었다. 이렇게 분류될 경우, 이들 기업은 신용평가기관이나 신원조회업체와 동일하게 정확성, 동의, 접근권과 관련한 의무를 준수해야 한다. 이 규정은 사기, 스토킹, 간첩 행위, 신원 도용, 감시 등으로 부터의 위협을 차단하기 위해 명시적으로 설계되었으며, 여기에는 공직자, 군인, 가정 폭력 생존자 등이 직면한 위협도 포함됐다.

 

초프라 국장 체제 하의 CFPB 지도부는 데이터 브로커가 주도하는 상업적 감시가 국가 안보와 개인 안전에 실질적인 위협이 된다고 강조했다. 데이터 브로커를 FCRA 적용 대상에 포함함으로써 규정은 투명성을 확보하고 소비자가 자신들의 데이터가 유해한 방식으로 악용되는 것을 방지하려 했다. 이 규정에 대해 600건 이상의 공적 의견이 접수되었으며, 그 중 상당수가 시대에 뒤떨어진 개인정보 보호법을 보완하기 위한 필수 조치로서 규정을 지지했다.

 

그러나 도널드 트럼프 대통령 체제에서 CFPB는 전면적인 구조 해체를 겪으며 사실상 기능이 마비됐다. 이어 5월 15일, 트럼프가 직접 지명한 CFPB 대행 국장 러셀 보트(헤리티지 재단 출신)는 해당 규정이 “더 이상 필요하거나 적절하지 않다”고 선언하며 이를 공식 철회했다. 보트 대행 국장은 제안된 규칙이 CFPB의 현행 FCRA 해석과 일치하지 않으며, 내부 직원 검토 과정에서 법적·법률적 권한에 관한 중대한 우려가 제기됐다고 밝혔다.

 

보트 대행이 해당 규정을 철회했을 당시, 개인정보 보호 단체와 소비자 보호 단체들은 이를 강력히 비판하며 “매우 심각한 문제”라고 지적했다. 이들은 미국 국민이 사기, 감시, 표적 위협에 취약해질 것이라고 경고했다. Demand Progress와 가정폭력 종식을 위한 전국 네트워크(National Network to End Domestic Violence) 등 단체들은 이번 조치가 안전보다 이익을 우선시한 결정이라고 비판했다.

 

2023년, 글로벌 사이버 전략(Global Cyber Strategies)의 창립자이자 CEO인 저스틴 셔먼은 로페어(Lawfare) 기고문에서 데이터 브로커가 “공적 기록을 무기화할 수 있는 디지털 자료로 변환하여 잠재적 공격자들이 피해자의 집 앞까지 바로 다가갈 수 있는 지름길을 제공한다”고 지적했다. 실제로 겉보기에는 무해한 공적 기록의 집합이, 검색 가능한 자료로 묶이는 순간 공격에 활용 가능한 무기가 된다.

 

보트 대행은 “향후 분석에서 필요성이 인정될 경우에만” 이 문제를 재검토하겠다고 밝혔다. 그러나 볼터가 상업적 데이터 브로커를 통해 확보한 개인정보를 사용해 표적 살해를 저질렀다는 의혹 이후, 입법자와 개인정보 보호 단체들은 “그 시기는 바로 지금”이라고 말하고 있다. 이번 주 열린 청문회는 이러한 사안이 지닌 긴급성을 그대로 반영한 것이다.

 

전자 프라이버시 정보센터(EPIC)의 앨런 버틀러는 기업의 데이터 관행이 법적 보호 속도를 앞질러 가고 있다고 강조했다. 그는 소비자에게 정보에 대한 실질적인 통제권을 부여할 수 있는 포괄적인 연방 개인정보 보호법 제정을 촉구하며, 연방거래위원회(FTC)에 집행 권한을 부여할 것을 상원에 요구했다.

 

연방거래위원회(FTC)의 전 선임 관리이자 현재 UC 버클리 펠로우인 사무엘 레빈은 현재 집행 메커니즘이 불충분하다고 지적했다. 그는 기업들이 사용자로부터 데이터를 넘기도록 유도하기 위해 다크 패턴을 어떻게 활용하는지 상세히 설명하며, 규정 제정 권한과 명확한 법적 틀이 없이는 FTC가 진화하는 디지털 위협에 대응하기에 역량이 부족하다고 강조했다. 또한 데이터 기반 가격 차별, 생체 인식 프로파일링, 검토 불가능한 알고리즘 의사결정이 민간과 공공 부문 모두에서 점차 보편화되고 있다고 지적했다.

 

비즈니스 소프트웨어 연합(BSA)의 케이트 굿로는 보다 산업 중심적인 시각을 취했다. 그녀는 강력한 데이터 보호 필요성을 인정하면서도, 혁신을 저해할 수 있는 규제를 경계해야 한다고 경고했다. 굿로는 국가 표준을 지지하면서도, 과도하게 부담스럽거나 중복된 규정 준수 의무의 함정을 피할 것을 입법자들에게 촉구했다. 또한 지나치게 포괄적인 연방 법안이 소비자 데이터 위험 프로필이 낮은 기업들에게 복잡한 보고 의무를 부과할 수 있다는 우려를 표명했다.

 

메인스트리트 프라이버시 연합(Main Street Privacy Coalition)을 대표해 발언한 폴 마르티노는 오프라인 기반 기업들이 상충하는 주(州) 법률에 압도당하고 있으며, 준수상의 모호함으로 인해 소송 위험을 우려하고 있다고 설명했다. 그는 다른 참석자들과 마찬가지로 통일된 국가 차원의 법률 제정을 촉구했지만, 소규모 기업에 과도한 부담을 주지 않는 합리적인 기준이 필요하다고 강조했다. 또한 일부 소규모 소매업체는 독자적으로 개인정보 보호 규정을 준수할 인프라가 부족해, 지배적인 전자상거래 플랫폼 쪽으로 시장이 기울고 있다고 지적했다.

 

디지털 프로그레스 연구소(Digital Progress Institute)의 조엘 세이어는 정책 중심의 비판을 제기하며, 모든 입법적 해결책이 개인의 자율성과 명확성을 중심에 두어야 한다고 강조했다. 그는 의회의 지속적인 무대응으로 인해 정책 결정권이 법원으로 넘어가는 것을 경계하며, 명확한 연방 차원의 틀만이 기업과 소비자 모두가 필요로 하는 안정성을 제공할 수 있다고 강조했다. 세이어는 연방 정부의 미온적 대응으로 행정부 기관과 민간 주체들이 신원 확인, 사용자 추적, 예측 감시 시스템을 별도의 병렬 구조로 구축하게 되었으며, 이에 대한 책임성은 거의 없다고 지적했다.

 

청문회를 보완하는 의미에서, 소비자기술협회(CTA)는 포괄적인 연방 개인정보 보호법 제정을 지지하는 기존 입장을 재확인하는 서한을 제출했다. 서한은 연방 우선권, 민간의 소송권 부여 금지, 계층화된 준수 의무를 주장했다. 또한 유럽의 일반개인정보보호법(GDPR)을 본뜬 규제 모델을 비판하며, 이러한 모델이 혁신을 저해하고 소규모 기업에 피해를 줄 것이라고 경고했다. CTA는 집행 권한을 FTC에 부여할 것을 권고하고, 사이버 보안 모범 사례를 유지하기 위해 공공-민간 파트너십을 지원한다고 밝혔다.

 

이러한 행동 촉구에도 불구하고, 개인정보 보호 관련 입법의 정체는 여전히 뚜렷하다. 클로버샤 의원은 자신이 수년간 연방 개인정보 보호법 제정을 위해 노력해 왔다고 언급하며, 여기에는 2024년 마리아 캔트웰 상원의원, 공화당 출신 캐시 맥모리스 로저스 전 하원의원과 함께 마련한 초당적 법안도 포함된다고 말했다. 해당 법안은 데이터 수집을 필요한 범위로 제한하고, 제3자와 데이터를 공유하기 전에 동의를 의무화하며, 소비자가 자신의 개인정보를 열람·정정·삭제할 권리를 보장하는 내용을 담고 있었다.

 

연방 차원의 개혁 부재 속에서 생체 인식 감시는 통제 없이 확산되었다. 세이어는 연방 기관에서 이미 활용 중인 AI 시스템이 얼굴 인식과 행동 데이터를 이용해 개인을 여러 플랫폼에 걸쳐 추적할 수 있다고 지적했다. 버틀러는 법적 제한이 없으면 상업적 추적에서 사용되는 동일한 도구가 정부 감시에 재활용될 수 있다고 경고했다. 레빈은 집행 기관이 투명성이 부족해 개인이 자신이 감시당하고 있는지 알거나 이를 법정에서 다투는 것이 사실상 불가능하다고 덧붙였다.

 

클로버샤 의원의 발언과 청문회 증언은 AI가 가속제로 작용하고 있음을 또한 강조했다. 그녀는 “데이터는 AI 모델의 연료이자 엔진”이라며, 광고 타겟팅에서 법 집행에 이르기까지 의사 결정 과정이 점점 자동화됨에 따라 남용 위험이 기하급수적으로 커지고 있다고 지적했다.

 

증인들은 의회에 AI 도구가 책임 있게 수집된 데이터를 기반으로 하고, 반드시 인간의 감독을 받도록 보장하는 법적 안전장치를 마련한 것을 촉구했다. 그들은 알고리즘의 투명성, 영향 평가, 그리고 정부가 감시 목적으로 상업적 데이터를 사용하는 데 대한 제한을 요구했다.

 

그러나 청문회에서 제시된 통찰은 의회 밖에서는 거의 주목받지 못한 것으로 보였다. 주요 언론은 청문회를 보도하지 않았고, 논의는 감시를 받는 당사자인 기술 기업들이 지배하는 소셜 미디어 플랫폼에서 거의 관심을 받지 못했다. 이 침묵은 레빈이 “민주주의적 인식의 실패”라고 부른 현상을 여실히 보여준다. 즉, 대중은 여전히 알지 못한 채, 감시 체계가 비공개적으로 공고히 자리 잡고 있다는 것이다.

 

클로버샤 의원은 20개가 넘는 주(州)가 자체적인 개인정보 보호법을 통과시켰음에도, 연방 정부는 여전히 미국인들에게 통일된 기본 권리를 제공하는 데 뒤처지고 있다고 지적했다.

 

그럼에도 불구하고 초당적 관심의 신호는 있었다. 마샤 블랙번 위원장과 클로버샤 의원은 공통 기반의 필요성을 거듭 강조했다. 클로버샤 의원은 상원 상무·과학·교통위원회 내에서의 초당적인 진전을 언급하며, 현 회기 동안 개인정보 보호법이 진전될 수 있다는 신중한 낙관론을 표했다. 두 의원 모두 주(州) 법률이 유용한 모델을 제시한 것은 사실이지만, 의회는 명확성, 집행 가능성, 그리고 전국적 통일성을 제공할 의무가 있다고 의견을 같이했다.

 

의회는 이제 좁아지는 기회의 장을 맞이하고 있다. 신속하게 행동하지 못한다면, 규제 환경은 선출된 입법자가 아니라 기업의 이해관계, 행정부 지침, 그리고 투명성·공정성·인간 존엄성을 거의 고려하지 않고 설계된 알고리즘 시스템에 의해 형성될 것이다. 이번 청문회는 다음 세대의 시민권이 디지털 영역에서 펼쳐질 것이며, 그 권리가 보호받을 수 있을지는 의회의 다음 행동에 달려 있다는 사실을 분명히 했다.