OpenAI, 미국 정부, 그리고 Persona가 구축한 신원 감시 시스템

15 hours ago 2

공개된 조사에 따르면 OpenAI와 미국 정부, Persona가 연계된 인프라에서 사용자의 신원 데이터를 감시·보고하는 ‘watchlistdb’ 시스템이 운영되고 있음
해당 시스템은 얼굴 인식, 금융 범죄 보고(SAR/STR), 정치인 유사도 분석, 암호화폐 주소 추적 등 269개 검증 절차를 수행하는 것으로 코드에서 확인됨
Persona의 정부용 플랫폼(withpersona-gov.com) 은 FinCEN(미 재무부 금융범죄단속국) 과 FINTRAC(캐나다 금융정보분석센터) 에 직접 보고서를 제출할 수 있는 기능을 포함
OpenAI의 사용자 인증 과정은 Persona의 인프라를 통해 수행되며, 이 과정에서 얼굴·신분증 이미지, 생체정보, 위치정보 등이 수집·저장됨
동일 코드베이스가 민간 서비스와 정부 감시 시스템 모두에서 사용되고 있어, AI 서비스 이용과 국가 감시 체계의 경계가 모호해진 상황임

조사 개요

연구진은 Shodan, CT 로그, DNS, HTTP 헤더, 공개 소스맵 등 공개 자료만을 이용해 분석을 수행
불법 접근이나 해킹 행위는 없었음이 명시되어 있으며, 모든 데이터는 공개된 서버에서 수집됨
조사 결과, openai-watchlistdb.withpersona.com 및 openai-watchlistdb-testing.withpersona.com이라는 OpenAI 관련 하위 도메인이 발견됨
- 해당 서버는 Google Cloud(Kansas City) 에 위치하며, Cloudflare 보호 없이 독립적으로 운영
- 인증서 투명성 로그에 따르면 2023년 11월부터 2년 이상 가동 중

Persona는 샌프란시스코 기반 신원 인증 기업으로, 일반 서비스는 Cloudflare 뒤에서 운영됨
그러나 OpenAI용 watchlistdb 인스턴스는 별도의 GCP 서버에서 독립적으로 운용되어 고위험 데이터 분리 목적의 전용 인프라로 추정됨
withpersona-gov.com 도메인은 FedRAMP 인증(2025년 10월) 을 받은 정부용 배포판으로,
- FinCEN 보고, 얼굴 인식, 금융 데이터 위젯, 실시간 사용자 모니터링 기능을 포함
- Okta 기반 로그인 시스템과 Cloudflare Access 보호 영역이 존재

2026년 2월, onyx.withpersona-gov.com이라는 신규 서브도메인이 등장
- ICE(미 이민세관단속국)가 사용하는 Fivecast ONYX 감시 도구와 동일한 이름을 사용
- 코드상 직접적 연관은 없으나 명칭과 인프라 유사성이 확인됨
해당 서버는 53MB 규모의 TypeScript 소스맵을 인증 없이 공개 제공
- 내부 코드에는 SAR/STR 보고, 얼굴 데이터베이스, PEP(정치적 노출 인물) 얼굴 비교, 암호화폐 주소 감시 기능이 포함
- 269개 검증 항목과 13종 추적 리스트가 정의되어 있음