Oura, 사용자 데이터에 대한 정부 요구를 받는다고 밝혀

• Oura ring은 심박수, 수면, 생리 주기, 위치 같은 민감한 건강 데이터를 수집하며, 서버 보관 구조가 외부 접근 가능성을 좌우함
• Oura 데이터는 종단 간 암호화가 아니고 일부 직원이 접근 가능한 방식으로 저장돼 영장, 탈취 키, 내부자 위험에 노출될 수 있음
• Oura는 정부 요청이 드물다고 밝히고 합법성·범위·필요성을 검토한다고 하지만, 요청 건수와 제공 빈도는 공개하지 않음
• 2013년 NSA 감시 스캔들 이후 많은 기술 기업이 반기 투명성 보고서를 냈지만, Oura는 8개월이 지나도 공개 약속을 내놓지 않음
• 누적 550만 개 이상 판매한 Oura가 고객 신뢰를 유지하려면 정부 데이터 요구에 대한 집계 수치 공개가 필요함

Oura 데이터와 접근 구조

• Oura ring은 손가락에 착용하는 건강 모니터링 웨어러블로, 심박수, 수면 패턴, 생리 주기, 위치 등 민감한 건강 데이터를 수집함
• 사용자 데이터는 Oura 서버에 저장되며, 제품과 서버 설계 방식에 따라 정부나 해커의 접근 가능성이 달라짐
• Oura는 Department of Defense 및 Palantir와 계약한 뒤 소셜미디어에서 논란에 휘말렸고, 일부 고객은 자신의 데이터가 Trump 행정부에 넘어갈 수 있다고 우려함
• Oura는 현재 주요 건강 기술 웨어러블 제조사 중 하나이며, 기업공개를 앞두고 기업가치가 110억 달러 이상으로 평가됨
• Oura는 기업공개를 위한 비공개 초안 등록서 제출을 발표한 상태라, 사용자 데이터 접근 통제 책임도 더 커짐

종단 간 암호화 부재

• Oura 데이터는 종단 간 암호화(end-to-end encryption) 되어 있지 않음
• 사용자의 건강 데이터는 ring에서 휴대폰 앱을 거쳐 인터넷을 지나 Oura 서버에 도착하는 과정의 특정 지점에서 해독될 수 있음
• Oura는 사용자 데이터를 일부 직원이 접근할 수 있는 방식으로 저장한다고 확인함
• 이런 구조에서는 영장을 가진 검사, 탈취한 키를 가진 해커, 악의적인 내부자도 데이터에 접근할 가능성이 생김
• 이 가능성 중 정부 요청은 실제로 존재한다고 Oura가 인정함

Oura가 인정한 정부 데이터 요청

• Oura는 정부로부터 드문 요청(infrequent requests) 을 받는다고 밝힘
• 각 요청은 “합법성, 범위, 필요성” 기준으로 검토됨
• 요청이 유효하지 않거나, 지나치게 광범위하거나, 회원 개인정보 보호 약속과 맞지 않을 때 Oura는 반대한다고 밝힘
• 하지만 요청 건수, 사용자 데이터 제공 빈도, 요청되는 데이터 유형은 공개하지 않음
• Oura는 최근 기사 시점 기준으로 누적 550만 개 이상의 ring을 판매해 고객 기반 규모가 큼

투명성 보고서와 공개 지연

• 많은 기술 기업은 2013년 NSA 감시 스캔들 이후 정부 요구 건수를 반기 단위로 집계해 공개하기 시작함
• 이런 공개는 기업들이 정부 요청을 받으면 사용자 데이터를 대량으로 몰래 넘긴다는 의혹에 대응하기 위한 방식이었음
• Oura는 과거 투명성 보고서를 발행하지 않았지만, “보안을 유지하고 회원에게 위험을 만들지 않는 방식으로 집계 데이터를 공유하는 방법을 적극 평가 중”이라고 밝힌 바 있음
• 이후 8개월이 지났지만, 투명성 보고서 공개 여부나 요청 건수 공개 약속은 나오지 않음
• 최근 재문의와 여러 차례 후속 이메일에도 Oura는 답변하지 않음

고객 신뢰를 위한 공개 필요성

• 요청 수치가 없으면 Oura가 정부의 데이터 요구를 얼마나 자주 거부하는지, 실제로 거부한 적이 있는지 알기 어려움
• 민감한 건강 데이터가 서버에 저장되고 일부 직원이 접근 가능한 구조에서는 정부 요청 통계 공개가 고객 신뢰와 직접 연결됨
• Oura가 고객 신뢰를 얻거나 유지하려면 다른 기술 기업처럼 정부 데이터 요구에 대한 집계 수치를 공개해야 함