본문으로 건너뛰기
J
피드

Flock, 아동 체조실 카메라를 영업 데모에 써놓고 ‘투명성’이라고 해명

security 약 5분
tags
#surveillance#privacy#access-control#audit-log
vote
0
댓글
북마크

미국 조지아주 던우디에서 Flock 직원들이 도시와 민간 시설 카메라에 접근해 경찰 대상 영업 데모에 사용한 사실이 공개됐어. 접근 대상에는 아동 체조실, 놀이터, 학교, 유대인 커뮤니티 센터, 수영장 같은 민감한 장소가 포함됐고, 주민은 공개기록 청구로 접근 로그를 확보했어. Flock은 허가된 데모 프로그램이었다고 해명했지만, 이후 던우디 카메라를 제품 시연에 쓰는 건 중단하기로 했어.

  • 1

    Flock 직원들이 던우디의 감시 카메라에 접근해 제품 기능을 경찰서 대상 영업 데모에 사용함

  • 2

    접근 로그에는 아동 체조실, 수영장, 학교, 놀이터, 유대인 커뮤니티 센터 같은 민감한 장소가 포함됨

  • 3

    Flock은 고객 허가가 있는 데모 파트너 프로그램이었고 ‘아이들을 감시한 게 아니다’라고 반박함

  • 4

    주민은 공개기록 청구로 접근 로그를 확보했고, Flock은 로그가 존재한다는 점을 오히려 투명성의 증거라고 주장함

  • 5

    사건 이후 Flock은 던우디 카메라를 제품 시연에 더는 쓰지 않기로 함

  • 미국 조지아주 던우디에서 Flock 직원들이 도시 내 감시 카메라를 경찰 대상 영업 데모에 사용한 사실이 드러남

    • 접근 대상에는 아동 체조실, 놀이터, 학교, 유대인 커뮤니티 센터, 수영장, 피트니스 센터, 스튜디오 등이 포함됐음
    • 주민 Jason Hunyar가 공개기록 청구로 Flock 접근 로그를 받아내면서 이 문제가 수면 위로 올라옴

  • Flock은 “아이들을 감시한 게 아니다”라고 강하게 반박했지만, 카메라 접근 자체는 인정함

    • 회사 설명은 던우디가 데모 파트너 프로그램에 참여한 도시였고, 선택된 Flock 직원들이 신제품과 기능을 시연할 수 있도록 허가받았다는 것
    • 엔지니어도 고객 허가가 있으면 디버깅이나 문제 해결을 위해 계정에 접근할 수 있다고 설명함

⚠️주의

> 민감한 공간의 카메라가 영업 데모에 쓰였다는 점이 핵심임. “허가된 접근”이었다고 해도, 접근 목적과 장소의 민감도가 맞는지는 완전히 다른 문제임.

  • 이 사건이 찝찝한 이유는 Flock 시스템의 범위가 생각보다 넓게 드러났기 때문임

    • 로그에는 도시가 직접 구매한 카메라뿐 아니라 민간 시설이 구매한 카메라도 포함된 것으로 보임
    • Flock도 자사 기술의 장점 중 하나로, 민간 조직이 허용하면 법 집행기관이 사설 카메라에 직접 접근할 수 있다고 설명함

  • Flock은 오히려 “우리는 접근 로그를 남기고 공개기록 청구로 확인할 수 있으니 투명하다”고 주장함

    • 맞는 말도 있음. 로그가 없었다면 주민이 이런 접근 사실을 확인하기 훨씬 어려웠을 거임
    • 하지만 투명성은 사후 확인 장치고, 민감한 영상에 대한 접근 정책이 적절했는지는 별도 문제임

  • 논란 이후 Flock은 던우디 카메라를 제품 데모에 쓰는 걸 중단하기로 함

    • 다만 기사 기준으로 던우디는 논란에도 계약을 갱신한 것으로 보임
    • 결국 “감시 기술이 범죄 예방에 유용한가”보다 더 현실적인 질문은 “누가, 어떤 목적으로, 어디까지 볼 수 있나”로 넘어감

기술 맥락

  • 이번 이슈의 기술적 핵심은 감시 카메라 그 자체보다 접근 제어예요. 같은 카메라라도 경찰 수사, 고객 지원, 제품 데모, 엔지니어 디버깅은 목적이 전부 다르기 때문에 권한도 분리돼야 하거든요.

  • Flock은 접근 로그가 남고 공개기록 청구로 확인 가능하다는 점을 투명성으로 내세웠어요. 이건 분명 필요한 장치지만, 로그는 일이 벌어진 뒤에 보는 기록이라서 ‘처음부터 접근을 막는 통제’와는 역할이 달라요.

  • 특히 민간 시설 카메라가 공공 안전 시스템에 연결되면 운영 범위가 확 커져요. 도시 소유 카메라만 다루는 시스템보다 데이터 소유자, 접근 승인자, 실제 조회자가 더 복잡해지고, 그래서 권한 모델이 허술하면 민감한 장소가 영업 자료처럼 쓰일 수 있어요.

  • 개발 조직 입장에서는 고객 데이터 접근을 내부 도구에서 어떻게 제한할지 다시 보게 되는 사례예요. 데모 계정, 샘플 데이터, 실제 운영 데이터가 섞이면 편하긴 한데, 바로 그 편함 때문에 사고가 나거든요.

이건 단순한 감시 카메라 논란이 아니라, ‘고객 데이터 접근 권한’을 영업·디버깅·운영 목적으로 어디까지 열어둘 수 있느냐의 문제야. 로그가 남는 건 중요하지만, 로그가 있다는 사실만으로 접근 자체가 정당화되진 않음.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

엑스게이트, 양자보안·AI 방화벽으로 VPN 이후 먹거리 찾는다

국내 VPN 시장 1위 사업자인 엑스게이트가 기존 VPN·방화벽 사업을 기반으로 양자보안과 AI 차세대 방화벽을 성장축으로 삼겠다고 밝혔다. QRNG와 PQC를 결합한 AX-Quantum 플랫폼, 국방 시범사업, LLM 기반 자연어 보안장비 제어가 주요 포인트다.

security

에이씨앤티시스템·센스톤, 수처리 OT 보안에 단방향 동적 인증 붙인다

에이씨앤티시스템과 센스톤이 OT 보안 솔루션 공동 개발을 위한 업무협약을 맺었다. 센스톤의 OTAC 단방향 동적 인증 기술을 산업용 제어망 장비와 EtherFOS에 접목하고, 수처리 시설을 시작으로 반도체·에너지·플랜트 분야까지 확장하는 구상이다.

security

에버스핀, 웹 보안 게이트웨이에 양자내성암호 전송 보호 붙였다

에버스핀이 웹 보안 플랫폼 에버세이프 웹 클라우드 버전에 포스트 양자암호(PQC) 기반 전송구간 보호 기능을 넣었다. TLS 1.3 기반 하이브리드 키 교환 방식인 X25519MLKEM768을 활용해, 지금 훔쳐간 암호문을 나중에 양자컴퓨터로 푸는 수집 후 해독 위험까지 겨냥한다.

security

지캐시, 앤트로픽 AI 감사로 추가 중대 취약점은 못 찾았다고 발표

지캐시 창시자 주코 윌콕스가 앤트로픽 AI 모델을 활용한 추가 보안 감사 결과를 공개했다. 최근 오차드 풀에서 가짜 ZEC를 무한 생성할 수 있는 위조 취약점이 발견돼 수정된 뒤, 같은 맥락에서 추가 중대 취약점이 있는지 확인한 것이다.

security

티빙 개인정보 유출, 비밀번호보다 더 무서운 건 CI와 DI가 새었다는 점

티빙 개인정보 유출 사고를 두고 국내 플랫폼 보안의 취약함을 지적한 글이다. 특히 이름, 생년월일, 휴대전화번호, 비밀번호뿐 아니라 변경이 어려운 CI와 DI까지 유출됐다는 점에서 2차 피해 위험이 크다고 본다.