정부 앱 ‘Fedware’: 금지된 앱보다 더 강력한 감시 수행

• 미국 연방정부 공식 앱들이 민간 앱보다 더 많은 권한과 추적 기능을 요구하며, 위치·생체정보·기기 식별정보 등을 수집함
• White House, FBI, IRS, TSA, CBP, ICE 등 주요 기관 앱들이 공공서비스를 표방하지만, 실제로는 추적 SDK와 데이터 공유 구조를 통해 감시 네트워크를 형성함
• 일부 앱에는 Huawei 추적기, ICE 신고 기능, 얼굴인식 시스템까지 포함되어 있으며, 수억 장의 얼굴 이미지와 위치 데이터가 정부 기관 간 공유됨
• IRS와 ICE의 세금 데이터 공유 사건 등으로 개인정보 보호 책임자 사임과 법원 금지 명령이 이어졌으나, 감시 인프라는 계속 작동 중임
• 정부는 웹으로 제공 가능한 정보를 앱 형태로 포장해 과도한 권한을 요구하는 ‘Fedware’ 구조를 유지하고 있으며, 사용자는 앱 설치 없이 웹·RSS로 접근할 자유를 가짐

연방정부 앱의 감시 구조

• 연방정부 공식 앱들이 민간 앱보다 더 많은 추적 기능과 권한을 요구하며, 위치, 생체정보, 저장소, 연락처, 기기 식별정보 등을 수집함
• White House, FBI, FEMA, IRS, TSA, CBP, ICE 등 주요 기관의 앱들이 공공정보 제공을 명목으로 배포되지만, 실제로는 과도한 권한 요청과 추적 SDK 내장을 통해 감시 네트워크에 데이터를 공급함
• 이러한 앱들은 “Fedware” 로 불리며, 정부 감시 인프라가 앱·데이터브로커·기관 간 데이터 공유를 통해 하나의 시스템으로 작동함

• White House 앱의 추적 기능

  • White House 앱(버전 47.0.1) 은 “행정부 접근성 제공”을 내세우지만, 정확한 GPS 위치, 지문 접근, 저장소 수정, 부팅 시 자동 실행, 다른 앱 위 표시, Wi-Fi 연결 보기, 배지 알림 읽기 등 다수의 권한을 요구함
  • Huawei Mobile Services Core 를 포함한 3개의 추적기 SDK 가 내장되어 있으며, 이는 미국 정부가 제재한 중국 기업의 추적 인프라를 공식 대통령 앱에 포함한 사례임
  • 앱에는 ICE 신고 버튼이 포함되어 있고, “Text the President” 기능은 자동으로 “Greatest President Ever!” 문구를 채워 넣으며 사용자 이름과 전화번호를 수집함
  • 별도의 앱 전용 개인정보 보호정책은 존재하지 않으며, 일반적인 whitehouse.gov 정책만 적용되어 추적 기능 관련 언급이 없음

• FBI, FEMA, IRS 앱의 권한 및 추적기

  • FBI의 myFBI Dashboard 앱 은 12개 권한을 요청하고, Google AdMob 등 4개의 추적기를 포함해 광고 SDK를 통해 사용자 데이터를 수집함
  • FEMA 앱 은 28개 권한을 요구하며, 최신 버전(v3.0.14)에서는 1개의 추적기만 남았지만 여전히 과도한 권한을 사용함
    • 주요 기능은 재난 알림과 대피소 위치 제공에 한정됨
  • IRS2Go 앱 은 3개의 추적기와 10개의 권한을 포함하며, Privacy Impact Assessment 미완료 상태에서 공개되어 OMB 규정 위반
    • 기기 ID, 앱 활동, 충돌 로그를 제3자와 공유하며, 환급 정보 암호화 여부도 확인되지 않음

생체정보 수집과 감시 확장

• CBP, TSA, ICE 관련 앱의 생체정보 수집

  • MyTSA 앱 은 9개 권한과 1개의 추적기를 포함하며, 위치정보를 로컬에 저장한다고 명시함
  • CBP Mobile Passport Control 앱 은 14개 권한(7개는 ‘위험’ 등급) 을 요청하며, 백그라운드 위치 추적, 카메라, 생체인증, 외부 저장소 접근을 포함함
    • CBP 생체정보 시스템은 얼굴 데이터(faceprint)를 최대 75년간 보관하고 DHS, ICE, FBI와 공유함
  • Mobile Fortify 앱 은 ICE 요원이 사용하는 얼굴인식 앱으로, DHS·FBI·국무부 데이터베이스의 수억 장의 이미지를 활용함
    • Clearview AI와 9.2백만 달러 계약을 체결해 500억 장 이상의 얼굴 이미지 접근권을 확보함
    • CBP는 미국 시민 포함 모든 사진을 15년간 보관한다고 명시함
    • EFF 조사에 따르면 사용자는 얼굴인식 스캔을 거부할 수 없으며, 생체 매칭만으로도 이민 신분이 결정될 수 있음

• ICE의 SmartLINK와 데이터 브로커 활용

  • SmartLINK 앱 은 ICE의 전자감시 도구로, GEO Group 자회사 BI Incorporated가 22억 달러 계약으로 개발함
    • 위치, 얼굴, 음성, 의료정보(임신 여부 포함), 연락처 번호 등을 수집
    • ICE는 수집된 데이터를 “무제한 사용·처분·공개” 할 권리를 가짐
    • 2019년 6,000명에서 2022년 23만 명 이상으로 사용자 급증
    • 2019년에는 GPS 데이터를 이용해 6개 도시에서 약 700명 체포
  • 정부 기관들은 앱 외에도 Venntel 등 데이터 브로커를 통해 매일 250억 개 이상의 위치 포인트를 구매함
    • DHS, FBI, DOD, DEA가 영장 없이 데이터 구매
    • 국방부는 기도 앱 위치 데이터를 이용해 무슬림 커뮤니티를 감시함
    • 경찰은 인종 정의 시위 참가자 추적에도 활용함

IRS-ICE 데이터 공유 사건

• 2025년 4월, IRS와 ICE는 추방 대상자의 이름·주소·세금 데이터 공유 MOU를 체결함
  • ICE는 128만 명의 이름을 제출했고, IRS는 잘못된 납세자 데이터 수천 건을 오전송
  • IRS 국세청장 대행과 개인정보보호 책임자가 항의 후 사임
  • 2025년 11월 연방법원은 추가 공유를 금지했으나, IRS는 이미 자동화된 대량 주소 제공 시스템을 구축 중이었음

통합 감시 인프라와 감독 부재

• 각 기관의 앱, 데이터베이스, 브로커 계약이 단일 감시 파이프라인으로 연결되어 있으며, 어느 기관도 전체를 통제하지 않음
• GAO 2023년 보고서에 따르면, 2010년 이후 발행된 개인정보·보안 권고 236건 중 약 60%가 미이행 상태
• 의회는 2013년과 2019년에 포괄적 인터넷 개인정보법 제정을 권고받았지만 미이행
• 감독은 형식적 절차에 불과하며, 보고서와 청문회 이후에도 계약은 갱신되고 데이터 수집은 지속됨

결론: 앱이 아닌 웹으로 접근할 자유

• 정부는 웹과 RSS로 제공 가능한 공공정보를 앱 형태로 포장해 과도한 권한을 요구함
• 앱은 웹페이지가 수행할 수 없는 감시 기능—지문 읽기, 백그라운드 GPS 추적, 계정 목록 접근—을 수행함
• 사용자는 브라우저와 RSS 리더만으로 동일한 정보 접근 가능하며, 정부 앱 설치 없이도 공공정보 이용 가능
• “Fedware”는 공공서비스를 가장한 감시 도구이며, 사용자는 자신의 기기에서 무엇이 실행되는지 스스로 결정해야 함