당신은 해킹당하지 않았다. 그러나 이미 표적이 되었다

데이터 브로커가 국가안보 문제가 된 이유

개인정보에 대한 보호는 개인의 권리에 관한 문제로 여겨져 왔다. 기업이 과도한 정보를 수집하거나, 해킹으로 인해 개인정보가 유출되거나, 사용자의 동의 없이 정보가 활용되는 사건이 발생할 때마다 사회는 프라이버시 침해를 이야기했다. 그래서 개인정보 보호 역시 개인의 사생활을 지키기 위한 장치로 이해하는 경우가 많다.

그러나 데이터 브로커(Data Broker) 이슈는은 이러한 인식을 근본적으로 흔들고 있다. 이슈의 중심에는 대규모 해킹 사건도 없고, 국가 지원 해킹 조직도 없으며, 군사 시스템 침해도 없다. 대신 미국 국방부와 정보기관이 수년 동안 주목할 만한 문제가 있다. 바로 상업적으로 거래되는 데이터가 군인의 위치를 노출시키고 국가안보를 위협할 수 있다는 사실이다.

The Pentagon Knew Enemies Could Track Troops’ Phones for Years. Now They Are

The US military has long known that cheap fixes could stop location data from exposing its troops. It adopted almost none—and now says adversaries are using the data to target soldiers during a war.

WIREDDell Cameron

이것은 단순히 개인정보 보호의 범위가 넓어졌다는 이야기가 아니다. 오히려 데이터 경제가 발전하면서 개인정보와 국가안보의 경계가 무너지기 시작했다는 신호에 가깝다. 개인의 일상에서 생성된 데이터가 군사 시설과 국가 기반시설, 핵심 연구 인력의 위치를 추론할 수 있는 수준까지 발전하면서 개인정보 문제는 더 이상 개인의 문제에 머물 수 없게 되었다.

그렇다면 왜 이런 일이 발생하는 것일까. 그 답을 이해하기 위해서는 먼저 데이터 브로커 산업이 실제로 무엇을 판매하는지 살펴볼 필요가 있다.

데이터 브로커는 개인정보를 판매하지 않는다

많은 사람들은 데이터 브로커를 이름과 전화번호를 판매하는 사업자로 생각한다. 하지만 미국 연방거래위원회(FTC)가 2014년 발표한 「Data Brokers: A Call for Transparency and Accountability」 보고서는 이미 당시부터 전혀 다른 현실을 지적하고 있었다. FTC는 데이터 브로커의 가장 큰 특징으로 소비자와 직접적인 관계가 없다는 점을 꼽았다. 사용자는 자신이 특정 기업의 고객이라는 사실은 알고 있지만, 자신의 정보가 어떤 데이터 브로커에게 전달되고 있는지는 알지 못한다. 문제는 바로 여기서 시작된다. 개인정보보호 체계의 상당수는 정보 주체가 자신에 대한 정보 수집과 활용을 인지하고 있다는 전제를 기반으로 설계되었지만, 데이터 브로커 산업에서는 그 전제가 성립하지 않는 경우가 많기 때문이다.

더 중요한 사실은 데이터 브로커가 단순한 개인정보를 판매하지 않는다는 점이다. 하나의 위치 정보는 특별하지 않다. 신용카드 결제 기록 하나도 의미가 크지 않다. 차량 운행 데이터나 온라인 쇼핑 기록 역시 마찬가지다. 그러나 이러한 정보들이 수개월, 수년에 걸쳐 축적되고 서로 연결되기 시작하면 전혀 다른 가치가 만들어진다. 어디에 거주하는지, 어떤 시간에 출근하는지, 어떤 병원을 방문하는지, 어떤 종교 시설을 이용하는지, 누구를 자주 만나는지, 어떤 소비 성향을 보이는지까지 하나의 그림으로 재구성할 수 있게 된다. 일부 연구자들이 이를 '그림자 프로필(Shadow Profile)'이라고 부르고 맥락을 생각해보면 단어가 만들어진 이유를 느낄 수 있다.

결국 데이터 브로커 산업이 판매하는 것은 개인정보 그 자체가 아니다. 특정 인간을 이해하고 설명하며 예측할 수 있는 능력을 판매하는 것에 가깝다. 다시 말해 데이터 브로커의 상품은 정보가 아니라 행동 모델이다. 그리고 바로 이 지점에서 개인정보 보호 문제는 새로운 단계로 넘어가기 시작한다.

Duke 연구가 보여준 불편한 현실

데이터 브로커 산업의 위험성은 오랫동안 이론적인 논의로 여겨졌다. 그러나 최근 연구들은 이 문제가 단순한 가설이 아니라는 사실을 보여주고 있다. 미 육군사관학교(USMA)의 지원을 받아 수행된 Duke University 연구진의 조사 결과는 특히 주목할 만하다. 연구진은 수백 개의 데이터 브로커 웹사이트를 조사하는 과정에서 군인과 군인 가족을 대상으로 한 데이터 상품이 광범위하게 판매되고 있음을 확인했다. 여기에는 'Military Families Mailing List', 'Hard Core Military Families'와 같은 이름의 데이터셋이 포함되어 있었다.

더 충격적인 것은 판매 방식이었다. 연구진은 현역 군인의 이름, 주소, 건강 관련 정보, 금융 정보 등이 포함된 기록을 건당 수십 센트 수준의 가격으로 구매할 수 있음을 확인했다. 일부 브로커는 구매자의 신원을 제대로 확인하지 않았고, 해외 구매자로 위장한 경우에도 별다른 검증 절차를 거치지 않았다. 이와 같은 사례를 주의깊게 봐야 하는 이유는, 판매자는 누가 구입하는지 중요하지 않다는 것이며, 국가안보와 직결 될 수 있는 특정 집단의 정보가 이미 하나의 상품으로 거래되고 있다는 사실을 증명하기 때문이다. 즉, 군인은 더 이상 군사 조직 내부에서만 관리되는 존재가 아니라는 것이다. 데이터 시장 안에서는 하나의 세분화된 고객군이자 광고 타겟이며, 데이터 상품이 된다. 그리고 바로 이 지점에서 개인정보 문제와 국가안보 문제가 만나기 시작한다.

개인 데이터는 어떻게 국가안보 문제가 되는가

많은 사람들은 여기서 의문을 가질 수 있다. 군인의 개인정보가 판매된다고 해서 그것이 왜 국가안보 문제가 되는 것인가? 이 질문에 대한 답은 데이터의 가치가 개별 정보에 있지 않기 때문이다. 한 명의 군인이 어디에 사는지 아는 것은 큰 의미가 없을 수 있다. 그러나 수천 명의 군인이 어떤 지역에 집중되어 있는지 알 수 있다면 그 정보의 가치는 달라진다. 특정 군인의 이동 패턴을 알 수 있다면 특정 부대의 활동 패턴도 추론할 수 있다. 군인 가족이 이용하는 시설을 파악할 수 있다면 군사 시설 주변의 생활권도 이해할 수 있다.

결국, 개인의 데이터가 조직의 데이터를 설명하게 되고, 조직의 데이터는 국가의 데이터를 설명하게 되는 것이다. 데이터 브로커 사업이 더 이상 개인정보 판매 산업으로만 볼 수 없는 이유가 바로 여기에 있다.

미군을 추적한 것은 해커가 아니었다

이러한 우려가 단순한 이론에 머무르지 않는다는 사실은 WIRED가 보도한 미국 국방부 관련 사례에서 확인된다. 미국 정부는 이미 2010년대 중반부터 상업용 위치 데이터가 군사적 위협으로 악용될 수 있다는 경고를 받아왔다. 2016년에는 정부 연구진이 구매 가능한 위치 데이터를 이용해 미군 특수부대원의 이동 경로를 추적하는 시연을 수행했다. 이 과정에서 미국 내 군사 시설에서 출발한 인원이 터키를 거쳐 시리아 북부의 비밀 전방 작전 기지로 이동하는 동선까지 확인할 수 있었다.

이 사례가 충격적인 이유는 공격이 없었다는 점이다. 누군가 국방망을 해킹하지도 않았고, 악성코드를 심지도 않았으며, 내부 문서를 탈취하지도 않았다. 단지 시장에서 판매되는 데이터를 구매하고 분석했을 뿐이다.

최근에는 독일 주둔 미군 기지와 훈련장, 군인 가족이 이용하는 학교, 그리고 핵무기 보관 시설로 추정되는 지역 주변의 이동 정보까지 상업 데이터 시장에서 식별되었다는 분석 결과가 공개되었다. 미 중부사령부(CENTCOM)가 적대 세력이 상업용 위치 데이터를 활용해 중동 지역의 미군을 감시하거나 표적화할 수 있다는 위협 보고를 공식적으로 인정한 것도 같은 맥락이다. 결국 문제는 개인정보가 노출되었다는 사실 자체가 아니다. 그 개인정보가 군사적 표적화(Targeting)를 가능하게 한다는 사실이다.

국가기밀은 방화벽 밖에서 유출되고 있다

이번 사례가 던지는 가장 중요한 질문은 국가기밀이 어디에 존재하는가에 대한 것이다. 전통적인 보안 관점에서 국가기밀은 군사망, 암호화 체계, 기밀 문서 안에 존재했다. 따라서 국가안보를 보호하기 위해서는 네트워크를 분리하고 접근 권한을 통제하며 군사 시스템을 보호하면 된다고 생각했다. 그러나 데이터 브로커 시대에는 이 전제가 무너지고 있다.

군인의 위치는 군사망에서 유출된 것이 아니다. 광고 ID와 모바일 위치 데이터에서 유출되었다. 군사 시설은 기밀 문서가 공개되어 노출된 것이 아니다. 수많은 민간 서비스가 수집한 데이터가 연결되면서 드러났다. 즉, 국가기밀은 더 이상 군사 시스템 안에만 존재하지 않는다. 국방부가 통제할 수 없는 수천 개의 애플리케이션과 광고 네트워크, 데이터 거래소 역시 국가안보와 연결된 인프라가 되어버린 것이다. 이는 국가안보의 공격 표면이 군사 시설 밖으로 확장되고 있음을 의미한다.

동의는 있었지만 이해는 없었다

데이터 브로커 산업을 둘러싼 또 다른 이슈는 동의(Consent)의 문제다. 기업들은 대부분 사용자 동의를 근거로 데이터 수집과 활용의 정당성을 주장한다. 실제로 사용자는 앱 설치 과정에서 위치 정보 제공에 동의하고, 서비스 가입 과정에서 개인정보 활용 약관에 서명한다. 그러나 여러 연구와 시민단체들은 이러한 구조를 '동의 연극(Consent Theater)'이라고 비판한다.

대표적인 사례가 GM, Mastercard, Google의 위치 데이터 논란이다. 사용자는 차량 서비스를 이용하기 위해 데이터를 제공했을 뿐인데, 그 정보가 보험 리스크 평가나 제3자 데이터 거래에 활용될 수 있었다. 사용자는 결제 서비스를 이용하기 위해 카드를 사용했을 뿐인데, 소비 패턴 데이터는 또 다른 비즈니스 자산이 되었다. 위치 정보 역시 마찬가지다. 사용자는 날씨를 보기 위해 위치 권한을 허용하지만, 그 데이터가 광고 네트워크와 SDK 공급망을 거쳐 데이터 브로커 시장으로 이동하는 과정까지 이해하지는 못한다. 법적 동의는 존재할 수 있다. 그러나 실제 이해는 존재하지 않을 수 있다. FTC가 10여 년 전부터 데이터 브로커 산업의 투명성 부족을 문제로 지적해 온 이유도 여기에 있다.

우리나라는 안전한가?

많은 독자들은 지금까지의 사례를 미국의 문제로 생각할 수 있다. 그러나 우리나라 역시 동일한 데이터 경제 안에 존재한다. 우리나라는 세계 최고 수준의 스마트폰 보급률과 디지털 결제 인프라를 갖고 있으며, 금융·배달·모빌리티·AI 서비스가 일상 깊숙이 자리 잡고 있다. 데이터 3법 개정 이후 데이터 활용과 산업 육성 역시 더욱 활발해졌다. 이것은 분명 경제적 기회다. 하지만 동시에 새로운 위험도 만들어낸다.

만약 특정 국가의 군인, 방산 연구원, 반도체 핵심 인력, 원자력 시설 종사자, 국가 기반시설 운영자의 이동 패턴이 상업 데이터 시장을 통해 재구성될 수 있다면 어떨까? 만약 특정 연구단지 주변의 출입 패턴과 생활권 정보가 데이터 거래 시장에서 분석될 수 있다면 어떨까? 그것은 단순한 개인정보 문제로 끝날 수 있을까?

미국이 현재 직면한 이슈는 사실 한국이 앞으로 마주하게 될 질문일 수도 있다.

TTE Insight

데이터 브로커 산업을 단순한 개인정보 보호 문제로만 바라보면 중요한 사실을 놓치게 된다. 이번 이슈는 데이터가 어떻게 수집되는가의 문제가 아닌, 데이터가 어떻게 연결되는가의 문제다.

개인의 위치 정보는 단순한 위치 정보에 불과할 수 있다. 그러나 수백만 개의 위치 정보가 결합되면 군사 시설을 설명할 수 있고, 특정 조직의 활동 패턴을 분석할 수 있으며, 국가의 전략 자산을 추론할 수도 있다. 그러므로 과거의 국가안보는 군사 기밀을 보호하는 문제였다. 오늘날의 국가안보는 데이터 흐름을 이해하고 통제하는 문제로 변하고 있다.

미군을 추적한 것은 해커가 아니었다. 국방망을 침해한 공격자도 아니었다. 우리가 매일 사용하는 데이터 경제가 만들어낸 결과였다. 그리고 그것이야말로 데이터 브로커 산업이 보여주는 가장 불편한 진실이다. 개인정보 보호와 국가안보는 더 이상 서로 다른 주제가 아니다. 데이터가 인간을 설명하고 예측하는 시대에, 개인정보는 이미 국가안보의 일부가 되었기 때문이다.

Related Materials

• WIRED, The Pentagon Knew Enemies Could Track Troops’ Phones for Years. Now They Are, 2026
• Federal Trade Commission, Data Brokers: A Call for Transparency and Accountability, 2014
• Privacy Rights Clearinghouse, Data Brokers, 2025
• California Privacy Protection Agency, Introducing DROP: The Delete Request and Opt-out Platform, 2026
• FTC, FTC Takes Action Against General Motors for Sharing Drivers’ Precise Location and Driving Data, 2025
• CBS News, Consumer Group Says Mastercard Is Selling Cardholders’ Data Without Their Knowledge, 2024
• Centre for Access to Information and Justice, Tracking the Surveillance and Information Practices of Data Brokers, 2024
• Duke University, Learning to Attack: Uncovering Privacy Risks in Sequential Data Releases, 2025
• Hunton Andrews Kurth, South Korea Amends Privacy Law to Authorize Fines of Up to 10% of Total Revenue, 2020
• How Data Brokers Built a Shadow Profile of You Without Your Knowledge, 2025

교통은 멈추지 않았지만 복구는 공격당했다

💡Editor Pick - LA 메트로 사건의 핵심은 복구 계층이 공격 대상이 되었다는 점 - 공격자는 백업, 가상화 관리 환경, 운영 화면의 신뢰를 흔드는 방식으로 인프라의 회복력 겨냥 - 핵심 인프라 보안은 침입 차단을 넘어, 스스로 다시 일어설 수 있는 구조를 갖추어야 함 도시의 교통망이 사이버 공격을 받았을 때, 사람들은 가장

더테크엣지(The Tech Edge)Donghwi Shin

사이버보안 ETF는 보안 산업을 사는 상품인가, 디지털 리스크를 사는 상품인가

💡Editor Pick - 사이버보안 ETF는 해킹 사고 증가에 단순히 베팅하는 상품인가? - 같은 사이버보안 ETF라도 CIBR은 인프라를, BUG는 순수 보안 소프트웨어를, IHAK은 기술 생태계에 초점을 맞춤 - 보안은 필수 지출이 되었지만, 사이버보안 ETF는 디지털 리스크를 자본시장이 가격화한 상품 사이버보안은 더 이상 기업이 선택적으로 집행하는 IT 프로젝트가 아니다. 클라우드 전환, 생성형

더테크엣지(The Tech Edge)Donghwi Shin

샤이훌루드 웜, 잠깐 공개됐을 뿐인데 벌써 변종 등장

💡Editor’s Pick - 2025년 9월 첫 등장했던 샤이훌루드, 배후엔 팀PCP이 유력 - 하루도 안 되는 기간 동안 잠시 소스코드 유출되는 사고 발생 - 이미 NPM에 다양한 변종 등장...AI 바이브코딩과 결합된 듯 악명 높은 샤이훌루드(Shai-Hulud) 웜의 소스코드가 깃허브에 유출된 지 단 며칠 만에 아류들이 나타나기 시작했다. 보안 기업 옥스시큐리티(

더테크엣지(The Tech Edge)문가용 기자