프라이버시 3분 소요

정부가 광고회사에 넘긴 내 시민권·인종 데이터: 의료 가입 사이트의 민낯

미국에서 의료보험에 가입하려면 정부 사이트인 healthcare.gov에 접속해야 합니다. 그런데 이 과정에서 입력한 시민권 여부, 인종, 임신 상태, 소득 같은 정보가 광고 회사로 흘러갔다는 사실이 드러났습니다. 정부가 직접 운영하는 사이트에서, 가장 보호받아야 할 정보가, 가장 허술하게 새고 있었다는 이야기입니다.

어떤 데이터가 어디로 갔나

문제가 된 건 healthcare.gov와 일부 주(州) 운영 마켓플레이스입니다. 이용자가 보험 신청서를 작성할 때 입력하는 정보 — 시민권 상태, 인종/민족, 임신 여부, 가구 소득, 흡연 여부 같은 항목들이 페이지에 심긴 제3자 추적 픽셀을 통해 외부로 전송됐습니다.

받은 쪽은 익숙한 이름들입니다. 구글, 메타(페이스북), LinkedIn, 그리고 광고 분석 회사 Snowplow. 페이지 로딩 시점부터 이용자의 행동이 추적되고, 폼에 입력한 값들 중 일부가 URL 파라미터나 이벤트 데이터로 함께 빠져나간 구조입니다.

왜 이게 심각한 문제인가

의료 정보는 미국에서도 가장 강하게 보호받는 카테고리입니다. HIPAA(건강정보보호법)가 있고, 시민권·이민 상태는 특히 정치적으로 민감합니다. 이걸 광고 타겟팅에 쓰일 수 있는 형태로 사기업에 넘기는 건 단순한 실수가 아니라 구조적 문제입니다.

특히 시민권 데이터는 무게가 다릅니다. 트럼프 2기 행정부가 들어서면서 이민 단속이 강화된 상황에서, “누가 시민권자가 아닌지"에 대한 데이터가 광고 인프라를 거쳐 어디로 흘러갈지 알 수 없다는 점은 심각한 위협입니다. 광고 회사들이 이 데이터를 직접 악용하지 않더라도, 데이터 브로커 생태계를 통해 재가공·재판매되는 구조 자체가 위험합니다.

왜 이런 일이 반복되는가

답은 의외로 단순합니다. 정부 사이트도 결국 웹사이트이기 때문입니다. 트래픽 분석을 하려면 구글 애널리틱스를 붙이고, 캠페인 효과를 측정하려면 메타 픽셀을 심습니다. 개발팀이 “이건 일반적인 마케팅 도구잖아"라고 생각하는 사이, 그 도구가 폼 필드 값까지 빨아들이는 설정으로 돌아가고 있는 겁니다.

여기에 정부 조달 구조가 더해집니다. 사이트 운영은 외주 업체에 맡기고, 외주 업체는 익숙한 광고 SDK를 그대로 끼워 넣고, 보안 검토는 형식적으로 끝나는 흐름이 반복됩니다. 2022년 The Markup이 비슷한 사례를 폭로했을 때도 병원 웹사이트들이 환자 정보를 메타에 넘기고 있었습니다. 4년이 지나도 패턴이 똑같다는 게 핵심입니다.

광고 픽셀이라는 블랙박스

평범한 사용자 입장에서 가장 답답한 건 본인이 동의한 적이 없다는 점입니다. healthcare.gov에 접속할 때 “당신의 시민권 정보를 구글과 공유하겠습니까?“라고 묻는 화면은 없습니다. 쿠키 배너 한 줄로 모든 게 처리되거나, 아예 그것조차 없는 경우도 많습니다.

기술적으로 보면 이건 광고 픽셀의 작동 방식 자체에서 기인하는 문제입니다. 픽셀은 페이지의 모든 요소에 접근할 수 있고, 폼 입력값을 자동으로 캡처하는 옵션이 기본값으로 켜져 있는 경우도 있습니다. 개발자가 “이 필드는 보내지 마"라고 명시적으로 차단하지 않으면 그냥 다 나갑니다.

한국은 안전한가

남의 나라 이야기로 넘기기 어렵습니다. 한국도 정부24, 건강보험공단, 국세청 사이트들이 외부 분석 도구를 사용합니다. 폼 필드 값이 광고 도메인으로 빠져나가는지에 대한 독립적 감사 보고서는 거의 없습니다. “정부 사이트니까 안전하겠지”라는 막연한 믿음이 가장 위험한 가정일 수 있습니다.

EU는 GDPR 위반으로 구글 애널리틱스를 정부 사이트에서 빼라는 결정을 여러 차례 내렸습니다. 한국은 아직 그 단계까지 가지 않았지만, 의료·세무·복지처럼 민감한 영역의 정부 사이트가 어떤 제3자 스크립트를 로드하는지 시민이 직접 확인할 수 있는 투명성 장치가 필요합니다.

마무리

가장 보호받아야 할 데이터가 가장 허술하게 새는 이유는, 그게 “민감 데이터"라는 라벨을 붙이지 않은 채로 일반 웹 트래픽처럼 처리되고 있기 때문입니다. 시민권 정보가 신용카드 번호와 같은 등급으로 다뤄졌다면 이런 일은 일어나지 않았을 겁니다.

다음에 정부 사이트에서 민감한 정보를 입력할 때, 한 번쯤 개발자 도구를 열어 네트워크 탭을 확인해보시는 것도 의미가 있습니다. 어떤 도메인으로 어떤 데이터가 흘러나가는지 — 그 풍경이 생각보다 훨씬 더 어수선하다는 걸 알게 되실 겁니다.

프라이버시 헬스케어 광고테크 데이터유출 정부정책

댓글

    댓글을 불러오는 중...

    더 깊이 들여다보기

    관련 글

    전체 보기

    AI보안

    AI 학습용 음성 4TB가 통째로 털렸다 — Mercor 사건이 드러낸 데이터 노동자의 민낯

    시민랩

    시민랩이 폭로한 전 세계 통신망 감청 — 당신의 휴대전화는 이미 도청되고 있다

    유타

    유타주, VPN 써도 처벌? 나이 인증법이 인터넷 익명성을 끝내는 순간