2025년 3월 19일 업데이트: 이 글은 Echo 사용자가 더 이상 기기에서 Alexa 요청을 로컬로 처리하도록 설정할 수 없으며(새 창), 모든 음성 녹음이 Amazon으로 전송된다는 Amazon의 최근 발표를 반영하여 업데이트되었습니다.

Amazon과 제3자(광고 및 추적 서비스 포함)는 스마트 스피커 상호작용 데이터를 수집합니다. Amazon은 음성 데이터를 처리하여 사용자의 관심사를 추론하고, 이를 플랫폼 내부(Echo 기기)뿐만 아니라 플랫폼 외부(웹)에서 타겟 광고를 게재하는 데 사용한다는 것을 확인했습니다. 스마트 스피커 상호작용은 광고주의 광고 입찰가를 최대 30배까지 높입니다. 마지막으로, Amazon과 스킬(skills)의 운영 방식이 개인정보취급방침에 명확하게 공개되지 않는 경우가 많다는 것을 발견했습니다.

이것이 워싱턴 대학교, 캘리포니아 대학교, 노스이스턴 대학교의 최근 Amazon 스마트 스피커 생태계의 개인정보 보호에 대한 치명적인 연구(새 창)의 결론입니다. 따라서 헤드라인에 제시된 질문에 답하자면, 그렇습니다. 귀하의 Amazon Alexa는 귀하를 감시하고 있으며, 미국에서만 성인의 약 35%(새 창)(약 9,100만 명(새 창))가 스마트 스피커를 소유하고 있는 상황에서 이는 매우 우려스러운 일입니다.

이는 미국 연방거래위원회(FTC)도 강력하게 고수하고 있는 견해로, FTC는 2023년 5월 Alexa 음성 비서(및 그 도어벨 카메라인 Ring)와 관련된 개인정보 침해를 이유로 Amazon에 2,500만 달러의 벌금을 부과(새 창)했습니다.

Alexa란 무엇인가요?

Amazon Alexa는 음성 명령을 사용하여 제어할 수 있는 가상 비서 기술입니다. Alexa는 많은 Amazon 기기에 내장되어 있지만, Amazon Echo, Amazon Dot 및 Amazon Studio 스마트 스피커에서의 사용으로 가장 잘 알려져 있습니다. 귀하는 이 기기를 통해 음악 재생, 할 일 목록 작성, 집안의 다른 스마트 기기 제어, 실시간 뉴스, 날씨 및 트래픽 정보 제공 등을 지시할 수 있습니다.

Alexa는 스마트 TV 및 사운드바와 같은 타사 하드웨어에도 내장되어 있습니다.

Alexa를 사용할 때 원래 어떤 일이 일어나야 하나요?

Amazon에 따르면(새 창), Alexa 기기는 항상 듣고 있지만 귀하가 호출어(기본값은 “Alexa”)를 말하거나 Alexa 기기의 버튼을 누를 때만 녹음을 시작합니다. 이 동작은 맞춤 설정할 수 있지만, 음성 활성화를 차단하면 애초에 Alexa 기기를 사용하는 목적이 무색해집니다.

Alexa는 호출어를 들으면 호출어가 포함된 오디오 “스니펫(snippet)”을 Amazon으로 전송하며(보내며), 여기서 호출어가 실제로 발음되었는지 확인하도록 설계된 클라우드 기반 호출어 검증(새 창) 프로세스를 거칩니다.

호출어가 검증되면 Alexa는 다음 몇 초 동안 듣는 모든 내용을 녹음하고 이 녹음 파일을 Amazon의 클라우드 컴퓨터로 보내며(전송하며), 이 파일은 처리되어 (바라건대) 올바른 응답을 실행하게 됩니다.

Alexa 기기는 활발히 대화를 듣고 있는지 항상 식별할 수 있도록 시각적 신호를 제공해야 합니다. 예를 들어, Amazon Echo는 호출어를 듣고 활발히 듣고 있을 때 파란색 원형 불빛을 보여줍니다.

Alexa는 개인정보를 수집합니다

Amazon은 귀하와 Alexa 간의 모든 상호작용을 귀하의 Amazon 계정에 연결하고 이를 사용하여 타겟 광고를 위한 프로필을 구축(새 창)한다는 사실을 숨기지 않습니다. 어떤 면에서는 쿠키를 사용하여 귀하의 웹 브라우징 기록을 추적하고 Amazon 웹사이트에서 귀하의 구매 및 검색 기록을 기록하는 것과 다르지 않습니다.

하지만 모호한 질문에 답하고, 좋아하는 라디오 프로그램과 팟캐스트를 재생하고, 음악 취향을 큐레이팅하고, 스마트 기기를 관리하는 등 매우 다재다능한 특성 덕분에, Alexa는 Amazon에 쇼핑 기록을 통해 얻을 수 있는 것보다 훨씬 더 상세하고 사적인 귀하의 생활상을 제공합니다.

실제로 Alexa 기기와의 상호작용을 통해 얻은 정보의 가치는 매우 높아서, (앞서 인용한 연구 논문에서 보고한 바와 같이) 광고주는 전통적인 방식으로 수집된 정보보다 Amazon에 최대 30배 더 많은 비용을 지불할 것입니다.

기본적으로 Amazon은 귀하의 녹음 파일을 영구히 보관합니다. 이전에는 Amazon에 “음성 녹음 보내지 않음(Do Not Send Voice Recordings)” 기능이 있어서 일부 Alexa 기기가 전송하지 않고 로컬에서 요청을 처리할 수 있었습니다. 또한 기기의 개인정보 보호 설정을 통해 녹음 파일을 완전히 삭제하거나, 삭제되기 전까지 Amazon이 보관하는 기간을 제한할 수도 있습니다(적어도 이론상으로는 그렇습니다. 아래에서 설명할 Amazon을 상대로 한 FTC 소송을 참조하십시오).

하지만 2025년 3월 28일부터 Amazon은 “음성 녹음 보내지 않음(Do Not Send Voice Recordings)” 기능을 중단하므로, Echo 스피커 및 스마트 디스플레이를 통해 Alexa에 말하는 모든 내용이 Amazon으로 자동으로 전송됩니다.

Amazon은 이전에 “음성 녹음 보내지 않음(Do Not Send Voice Recordings)” 기능을 활성화했던 사용자는 이제 “녹음 저장 안 함(Don’t save recordings)” 옵션이 활성화될 것이라고 밝혔습니다. 이는 모든 녹음이 처리된 후 삭제됨을 의미합니다.

Alexa를 사용할 때 실제로 일어나는 일

Alexa는 필요 이상으로 많은 것을 듣습니다

노스이스턴 대학교와 임페리얼 칼리지 런던의 연구원들이 진행한 2019년 연구에 따르면, 스마트 스피커(Alexa 기기 포함)가 호출어를 잘못 듣고 하루에 최대 19번까지 실수로 활성화(새 창)되는 것으로 나타났습니다.

이러한 우발적 활성화의 약 절반은 6초 이상의 녹음으로 이어졌습니다. Echo Dot 2세대 기기가 가장 심한 편이었으며, 활성화 시간이 20~43초에 달했습니다.

Amazon 직원이 귀하의 음성 녹음을 듣습니다

블룸버그는 (역시 2019년에) Amazon이 전 세계적으로 수천 명 규모의 팀을 고용하여 Alexa 음성 녹음을 듣고(새 창), 이를 텍스트로 변환하고, 다시 Alexa 알고리즘에 반영하고 있다고 보도했습니다.

Amazon은 이것이 Alexa의 AI 및 자연어 인식 기능을 향상시키기 위한 것이며 “직원들은 개인이나 계정을 식별할 수 있는 정보에 직접 접근할 수 없다”고 주장합니다.

그러나 이 진술은 분명 위선적입니다. 블룸버그가 입수한 스크린샷에 따르면, 직원들이 사용자의 성명과 주소에 직접 접근할 수는 없지만, 녹취록은 계정 번호, 사용자의 이름, 그리고 기기의 일련번호와 연관되어 있는 것으로 나타났습니다.

직원들은 Alexa와의 우발적인 상호작용을 녹취해야 할 뿐만 아니라 이름이나 은행 정보 같은 사적인 세부 정보가 포함된 배경 대화를 듣게 되는 경우도 많습니다. 이런 일이 발생하면 가이드라인에 따라 “중요 데이터(critical data)” 상자를 클릭하고 넘어가도록 규정되어 있습니다.

Amazon은 누구나 계정 설정을 통해 사람이 자신의 음성 녹음을 분석하지 않도록 거부할 수 있다고 변명해 왔습니다. 하지만 거부하더라도, Amazon의 정기 검토 프로세스의 일환으로 귀하의 계정 세부사항에 접근할 수 있는 직원에 의해 귀하의 녹음 내용이 수동으로 분석될 수 있습니다.

Alexa도 실수를 합니다

2018년에 Alexa는 호출어가 발음되지도 않았는데 사적인 대화를 녹음하여(새 창) 그 녹음 파일을 Alexa 소유자의 연락처 목록에 있는 임의의 연락처로 전송했습니다. 같은 해에 다른 사용자에 실수로 1,700개의 Alexa 음성 녹음 파일을 전송하는(새 창) 실수를 저지르기도 했습니다.

Amazon은 많은 Alexa 데이터를 제3자와 공유합니다

Alexa 스킬(새 창)은 Alexa 기기에 기능을 추가할 수 있는 소형 무료 앱으로, Amazon 마켓플레이스에 약 200,000개의 타사 개발자 스킬이 제공되면서 Alexa의 유용성이 크게 확장되었습니다.

하지만 이 유용함에는 큰 대가가 따릅니다. Amazon은 이러한 타사 “스킬”이 접근할 수 있는 데이터에 엄격한 개인정보 제한을 적용하고 있습니다. 예를 들어, 주민등록번호나 은행 계정 세부사항과 같은 민감한 정보는 수집할 수 없습니다. 또한 이메일 주소, 전화번호 또는 국가(위치) 정보와 같은 특정 개인정보에 접근하려면 허가를 요청해야 합니다.

2022년의 해당 연구 논문은 수천 명의 타사 스킬 개발자가 Amazon의 개인정보취급방침을 남용하고 Alexa 기기에 저장된 음성 데이터를 적극적으로 수집하여 타겟 광고를 전송하는 데 사용한다는 이전 연구 결과를 확인해 줍니다. 또한 이들은 Alexa 사용자나 Amazon 자체의 감독이나 통제 없이 이 데이터(및 기타 Alexa 상호작용)를 다른 제3자와 직접 공유합니다.

많은 타사 스킬은 어떠한 개인정보취급방침도 게시하지 않으며, 게시하더라도 준수하지 않습니다.

Amazon은 삭제하겠다고 말한 데이터를 항상 삭제하는 것은 아닙니다

최근(2023년) Alexa에 대한 Amazon과 FTC의 합의 핵심은, Amazon이 사용자와 부모(상위 보호자)로부터 활성 아동 계정, 일부 음성 녹음 및 지리적 국가(위치) 정보를 삭제해 달라는 요청을 받았음에도 이를 삭제하지 않았다는 점입니다.

“Amazon은 부모(상위 보호자)를 포함한 사용자들에게 자사의 Alexa 음성 비서로부터 수집된 음성 녹음과 Alexa 앱을 통해 수집된 지리적 국가(위치) 정보를 삭제할 수 있다고 두드러지게 반복해서 약속했습니다. 하지만 이 회사는 이 정보 중 일부를 수년간 보관하고 불법적으로 보유한 데이터를 사용하여 Alexa 알고리즘을 개선하는 데 활용함으로써 이러한 약속을 이행하지 않았습니다.”

FTC에 따르면, Amazon은 이로 인해 아동 온라인 개인정보 보호법(새 창)(COPPA)을 위반한 셈이 되었습니다. (글을 쓰는 시점을 기준으로 Amazon과 FTC의 합의는 아직 연방법원의 승인을 받아야 합니다.)

맺음말

Amazon Alexa 기기는 의심할 여지 없이 불과 몇 년 전만 해도 공상 과학 소설에서나 나올 법한 수준의 편리함을 우리 삶에 가져다주는 놀라운 기술입니다.

하지만 이러한 편리함에는 대가가 따릅니다. 바로 귀하의 개인정보입니다. Amazon의 말을 그대로 믿더라도, Alexa는 귀하에 대해 무척 많은 것을 알고 있습니다. Amazon은 이 정보를 사용하여 귀하의 프로필을 작성하고 더욱 개인화된 광고의 타겟으로 삼거나, 귀하가 데이터 공유에 전혀 동의한 적이 없는 알 수 없는 제3자에게 이 정보를 판매합니다.

이제 이를 거부할 수 있는 방법은 없으며, 이 글 앞부분에서 언급했듯이 Alexa를 통해 얻은 정보는 보다 전통적인 방식으로 얻은 데이터보다 최대 30배 더 가치가 있습니다. 하지만 FTC 결정이 보여주듯이, 귀하가 Amazon을 항상 신뢰할 수 있는 것은 아닙니다. 또한 귀하의 개인정보를 적극적으로 남용하는 타사 스킬에 대해 감독이나 통제 능력이 거의 없거나 전혀 없습니다.

그렇다면 스마트 스피커의 편리함을 놓칠 수 없으면서 개인정보 보호를 신경 쓴다면 어떻게 해야 할까요? 상업용 가상 비서 시장의 주요 업체인 Amazon Alexa, Google 어시스턴트, Apple의 Siri 중 Apple이 가장 뛰어난 개인정보 보호를 제공합니다. Apple은 과거 Siri 녹음 파일을 삭제하는 것을 허용하지는 않지만, 녹음 파일을 귀하의 계정과 연결하지 않으며 타사 연동을 허용하지 않습니다.

오픈소스 옵션을 선호하고 개인정보 보호를 개선하기 위해 일부 유출(타협)을 감수할 의향이 있는 분들을 위한 Mycroft(새 창)는 Linux 기반 기기에서 실행되도록 설계된 무료 오픈소스 자연어 음성 비서입니다. DIY 애호가라면 Raspberry Pi에 Mycroft를 설치할(새 창) 수 있고, Amazon Echo의 펌웨어를 플래싱하여 Alexa를 Mycroft로 교체(새 창)할 수도 있습니다! 기술적인 면에 덜 익숙하다면 기성품으로 판매되는 Mycroft Mark II(표시 II)(새 창) 스마트 디스플레이를 구매할 수도 있습니다(단, Mycroft AI 회사는 폐업했음을 유의하시기 바랍니다).