Fedware: 정부 앱이 자기네가 금지한 앱보다 더 심하게 감시함

미국 연방정부 앱들을 전수 조사했더니, 그냥 스파이웨어 수준임. 저자가 직접 "Fedware"라는 신조어를 만들었을 정도. 아래는 앱별 정리.

백악관 앱 (v47.0.1)

• 요청 권한: 정밀 GPS, 지문 생체인식, 저장소 수정, 부팅 시 자동 실행, 다른 앱 위에 그리기, Wi-Fi 조회, 알림 배지 읽기
• 내장 트래커 3개 — 그중 하나가 화웨이 모바일 서비스 코어 (미국이 제재한 중국 기업)
• ICE 신고 버튼이 앱 안에 내장됨
• "대통령에게 문자" 버튼을 누르면 "역대 최고의 대통령!" 문구가 자동 입력되고, 이름+전화번호를 수집함
• 앱 전용 개인정보 정책 없음 — whitehouse.gov 일반 정책으로 대체

FBI / FEMA / IRS 앱

• myFBI Dashboard: 권한 12개, 트래커 4개
  • 그중 하나가 Google AdMob (광고 SDK) — FBI 앱에 광고 트래커가 왜 있는지 설명 없음
  • 기기 계정 목록 조회, 전화 상태 읽기, 부팅 시 자동 실행 포함
• FEMA 앱: 권한 28개, 트래커 최대 4개 (현재 버전 1개)
  • 주요 기능은 재난 경보와 대피소 위치 안내인데, AP뉴스 앱은 동일 기능을 훨씬 적은 권한으로 제공함
• IRS2Go: 권한 10개, 트래커 3개
  • OMB Circular A-130 위반 — 개인정보 영향 평가서 서명도 안 된 상태에서 앱을 출시함
  • 기기 ID, 앱 활동, 충돌 로그를 제3자와 공유
  • 환급액이 앱 화면에서 마스킹/암호화됐는지 IRS가 확인조차 하지 않았음 (TIGTA 감사 결과)

CBP / 출입국 앱들

• MyTSA: 권한 9개, 트래커 1개. 위치 데이터는 로컬에만 저장한다고 문서화되어 있음 — 그나마 최소한의 성의는 있는 편
• CBP Mobile Passport Control: 권한 14개, 그중 "위험" 분류 7개
  • 백그라운드 위치 추적 (앱 꺼도 계속 추적)
  • 카메라, 생체인증, 외부 저장소 전체 읽기/쓰기
  • CBP 생태계(CBP One, CBP Home, Mobile Passport Control) 전체가 안면 정보를 최대 75년 보관, DHS·ICE·FBI와 공유

ICE 감시 앱들: Mobile Fortify & SmartLINK

• Mobile Fortify (ICE 현장 안면인식 앱)

  • DHS·FBI·국무부 DB 수억 장 이미지 기반
  • 2025년 9월 ICE가 Clearview AI와 920만 달러 계약 — 인터넷에서 긁어모은 얼굴 사진 500억 장 접근권
  • "시민권·이민 신분 무관하게" 누구에게나 사용 가능 (DHS 내부 문서)
  • 미국 태생 시민이 생체인식 매칭만으로 추방 대상이 된 사례 실제 발생

• SmartLINK (ICE 전자 모니터링 앱)

  • 개발사: BI Inc — 민영 교도소 기업 GEO Group의 자회사
  • 계약 규모: 22억 달러
  • 수집 데이터: 위치, 안면 이미지, 성문(voice print), 의료 정보(임신 여부 포함), 연락처
  • 계약서에 "수집된 모든 데이터를 무제한으로 사용·처분·공개할 권리"를 ICE에 부여
  • 사용자 수: 2019년 6천 명 → 2022년 23만 명
  • 2019년 미시시피 6개 도시 700명 동시 급습에 GPS 데이터 활용

데이터 브로커 & IRS-ICE 데이터 공유

• Venntel 등 데이터 브로커:

  • 날씨, 내비, 쿠폰, 게임 앱 등 8만 개 이상 앱에 심어진 SDK로 하루 150억 개 위치 포인트 수집
  • 대상 기기 2억 5천만 대 이상
  • DHS·FBI·국방부·DEA가 영장 없이 구매 → 2018년 Carpenter v. United States 판결 우회
  • 국방부는 무슬림 커뮤니티 감시 목적으로 기도 앱 위치 데이터를 구매함
  • 인종 정의 시위 참가자 추적에도 유사 데이터 사용

• IRS-ICE 데이터 공유 (2025년 4월 MOU):

  • ICE가 추방 명령자 128만 명 명단 제출
  • IRS가 포함되면 안 되는 수천 명 데이터를 실수로 공유
  • 대행 IRS 청장 멜라니 크라우스 항의 사임, 개인정보 최고책임자도 퇴직
  • 2025년 11월 연방 판사가 추가 공유 금지 명령 — 그러나 데이터는 이미 넘어간 후
  • IRS는 이미 ICE에 대량 주소 데이터 자동 제공 시스템을 구축 중

데이터 흐름 요약

flowchart LR
    A[백악관/FBI/FEMA/IRS 앱] -->|권한·트래커| B[연방 데이터 파이프라인]
    C[CBP/SmartLINK 앱] -->|생체·위치 정보| B
    D[일반 앱 SDK
날씨·게임·쿠폰] -->|위치 데이터 판매| B
    B -->|데이터 공유| E[DHS / ICE]
    B -->|데이터 공유| F[FBI / 국방부]
    E -->|이민 단속·추방| G[현장 집행]
    F -->|커뮤니티 감시| G

결론: 앱이 아니라 수집 도구

• GAO 2023 보고서: 2010년 이후 개인정보·보안 권고 236건 중 60%가 미이행
• 의회는 2013년, 2019년 두 차례 종합 인터넷 개인정보 법안 통과를 요청받았으나 아직까지 입법 없음
• 저자의 핵심 주장: 연방 앱 전부를 웹페이지로 대체할 수 있음
  • 앱이 존재하는 이유는 단 하나 — 웹페이지는 지문을 읽거나, 백그라운드 GPS를 추적하거나, 기기 계정을 조회할 수 없기 때문

권장 행동: 연방 공공 정보는 브라우저와 RSS 리더로 충분히 접근 가능. 불필요한 정부 앱은 설치하지 말 것.