로 대 웨이드 판결 이후, 프라이버시를 우선하는 생리 주기 추적기

2022, 이전에는 대부분의 미국 사용자가 생리 주기 추적기의 개인정보 처리방침을 읽지 않았어요. 그런데 돕스 판결 이후 많은 분들이, 종종 처음으로 그 내용을 읽기 시작했어요. 더 이상 추상적인 질문이 아니게 되었거든요. 이 앱이 실제로 무엇을 저장하고 있으며, 그 데이터에 어떤 일이 일어날 수 있는가 하는 질문이요.

이 글은 제품 가이드이며 법률 자문이 아니에요. 생리 주기 추적기를 점검할 때 무엇을 확인해야 하는지 알려드리는 내용이에요. 특정 법적 절차로부터 무엇이 보호되거나 보호되지 않는지를 설명하지는 않아요. 법적인 우려가 있다면 거주 지역에서 자격을 갖춘 변호사와 상담하세요.

이 점을 염두에 두고, 확인해야 할 사항을 살펴볼게요.

수학이 아니라, 표현 방식이 달라졌어요

아래에 소개하는 암호화 및 소프트웨어 관행은 수년 전부터 존재해 왔어요. Dobbs 판결 이후 달라진 것은 가시성이에요. 예전에는 명세서 뒤편에 묻혀 있던 세부 사항이 이제는 앱 전면에 내건 약속이 되었어요. 프라이버시를 진지하게 여기는 앱은 이를 공개적으로 이야기하고, 그렇지 않은 앱은 대개 그러지 않아요.

이 가이드에 담긴 일곱 가지 기준은 프라이버시를 중시하는 추적 앱이라면 쉬운 말로 떳떳하게 밝힐 수 있어야 하는 내용이에요.

확인해 볼 만한 일곱 가지 기준

주기 추적 앱을 설치하기 전에 점검할 실용적인 체크리스트예요. 가장 엄격한 앱은 일곱 가지를 모두 충족해요.

• AES-256-GCM 봉투 암호화. 사용자마다 고유한 데이터 암호화 키(DEK)를 갖고, 이 키는 키 관리 서비스의 마스터 키로 감싸져요. 디스크에 저장된 데이터는 암호문이라서, 서버가 침해당해도 읽을 수 있는 주기 데이터가 아니라 암호문만 노출돼요.
• 삭제 권리가 키를 파기해요. 계정을 삭제하면 사업자는 데이터베이스의 행만 지우는 것이 아니라 DEK를 파기해요. 키가 사라지면, 그것을 담고 있던 백업을 포함해 기반 암호문은 영구적으로 읽을 수 없게 돼요.
• 24시간 삭제 기한. 사업자는 AI 기능에 사용되는 벡터 임베딩을 포함해, 요청 후 24시간 이내에 삭제를 완료하겠다고 서면으로 약속해요.
• 의료적 주장 없음. 가족 계획 예측도, 어떤 종류의 임상적 주장도, "RED day" 같은 문구도 없어요. 의료적 틀을 벗어난 소비자용 추적 앱은 규제와 공시 측면의 노출 범위가 훨씬 좁아요.
• 푸시 알림에 월경 관련 내용 없음. 푸시 제목과 본문에는 주기, 생리, 가족 계획 관련 내용이 절대 담기지 않아요. 잠금 화면 미리보기도 안전해요.
• 지역을 고려한 문구. 미국 사용자에게는 기본적으로 중립적인 표현("body day", "log this")이 표시돼요. 앱은 사용자가 "period"라는 단어를 보고 싶어 한다고 가정하지 않아요.
• 명시적이고 별도로 받는 동의. GDPR 제9조는 수년간 이를 시행해 왔고, Dobbs 판결 이후 미국 사용자들도 같은 것을 요구하기 시작했어요. 묶음 동의나 묵시적 동의로는 충분하지 않아요.

암호화 세부 사항이 정말 중요한 이유

위의 기준 중 일부는 기술적으로 들립니다. 이런 부분이 중요한 이유는 복구할 수 있는 데이터의 범위를 바꾸기 때문입니다.

만약 업체가 주기 데이터를 평문으로 저장한다면, 모든 백업과 복제본, 모든 분석 파이프라인이 그 데이터를 읽을 수 있습니다. 삭제 요청으로 해당 행을 지울 수는 있지만, 데이터는 몇 달 또는 몇 년 동안 백업 속에 남아 있을 수 있습니다.

업체가 사용자별 키를 사용하는 봉투 암호화를 적용하면, 디스크에 저장된 데이터는 사용자의 DEK 없이는 읽을 수 없습니다. 삭제 과정에서 DEK가 파기되면, 백업에 남아 있는 암호문도 읽을 수 없게 되며, 백업을 복원하더라도 마찬가지입니다. 삭제가 단지 UI에서만 보이는 것이 아니라 수학적으로 실재하게 되는 것이죠.

이것이 "해킹 불가능"을 뜻하지는 않습니다. 암호화에도 한계가 있으며, 절대적인 보안을 주장하는 업체는 잘못 알고 있거나 거짓말을 하는 것입니다. 적절한 키 관리와 함께하는 강력한 암호화가 하는 일은 명확한 실패 조건을 설정하는 것입니다. 키가 보호되는 한 데이터는 읽을 수 없고, 키가 파기되면 영원히 읽을 수 없게 됩니다.

"푸시에 생리 관련 내용이 없다"는 말의 진짜 의미

잠금화면 미리보기는 조용한 정보 노출 공간입니다. "내일 생리가 시작돼요" 같은 문구를 푸시 본문으로 보내는 앱은, 휴대폰을 흘끗 보는 누구에게나 주기 데이터를 드러내는 셈입니다.

제대로 된 트래커는 푸시 알림에 생리 관련 내용이 들어가지 않도록 CI 단계에서 강제합니다. Soulwise의 빌드 파이프라인은 푸시 제목과 본문 문자열을 금지어 목록과 대조해 검사하며, 생리나 가족계획 관련 내용이 푸시에 포함된 빌드는 배포 전에 모두 실패 처리됩니다. 사용자에게는 "가볍게 시작해요. 오늘은 어떤 일이 있나요?" 같은 데일리 리추얼 알림이 전해질 뿐, 주기 단계나 생리에 대한 언급, 의학적 표현은 없습니다.

로컬 전용 vs 암호화 클라우드: 균형점을 선택하세요

두 가지 모두 정당한 아키텍처이며, 위협 모델이 다릅니다.

로컬 전용 추적기(Drip, Euki). 데이터가 사용자의 기기에 저장됩니다. 소환장으로 요구할 클라우드 사본이 없지만, 기기 간 동기화도 되지 않고 AI 기능도 제한적입니다. 백업은 사용자의 몫이고, 기기 도난과 운영체제 백업(OS 수준에서 암호화될 수도, 안 될 수도 있는)도 마찬가지입니다.

암호화 클라우드 추적기(Soulwise, Clue 외). 데이터가 기기 간에 동기화되며 AI 기능을 구동합니다. 프라이버시는 공급업체의 암호화 및 삭제 방식에 달려 있습니다. 이 위협 모델은 유능한 공급업체와 견고한 키 관리 체계를 전제로 합니다.

어느 쪽도 무조건 "더 안전"하지는 않습니다. 정답은 무엇을 걱정하느냐에 달려 있습니다. 로컬 전용은 사용자 경험 측면에서 더 어려운 선택이지만, 데이터 노출 범위 측면에서는 더 단순한 선택입니다. 암호화 클라우드는 그 반대입니다.

우리가 의도적으로 약속하지 않는 것

어떤 마케팅 문구에서든 의심해 봐야 할 항목들입니다:

• "해킹 불가능." 해킹할 수 없는 시스템은 없습니다. 이렇게 주장하는 사람은 무언가를 팔고 있는 겁니다.
• "당신의 데이터는 법 집행 기관으로부터 안전합니다." 이는 기술적 주장이 아니라 법적 주장입니다. 기술적 주장은 "데이터는 저장 상태에서 암호화되며, 삭제 시 키가 파기됩니다"입니다. 특정 절차의 법적 결과는 오직 변호사만이 다룰 수 있는 영역입니다.
• "100% 안전." 위 내용을 참고하세요. 보안은 위협 모델에 따른 특성이지, 절대적인 것이 아닙니다.
• "프라이버시 보장." 프라이버시는 보장이 아니라 실천입니다.

Soulwise의 프라이버시 약속은 구체적이고 검증 가능합니다. 저장 상태에서 AES-256-GCM 적용. 사용자별 DEK를 KMS 마스터 키로 래핑. 벡터 임베딩을 포함한 24시간 내 삭제. 푸시 알림에 월경 관련 내용 미포함. GDPR 제9조 명시적 동의. Soulwise 프라이버시 페이지에서 각 항목을 관련 사양 출처와 함께 확인할 수 있습니다.

최악의 상황을 넘어서 이것이 중요한 이유

도브스 판결 이후의 논의는 사람들이 주기 추적 앱의 프라이버시를 극단적인 상황에서만 생각하게 만듭니다. 하지만 같은 기준은 훨씬 더 흔한 상황에서도 중요해요. 룸메이트와 함께 쓰는 휴대폰, 기기를 빌려 가는 폭력적인 파트너, 알림을 엿보는 호기심 많은 고용주, 가족 공용 iCloud 계정에 저장되는 백업 같은 경우 말이죠.

기본값으로 강력한 프라이버시는 최악의 상황만을 위한 것이 아닙니다. 매일을 위한 것이에요.

더 간단히 말하면, 좋은 추적 앱이란 프라이버시 약속이 구체적이고, 검증 가능하며, 쉬운 말로 명시된 앱입니다. 어떤 앱이든 위의 일곱 가지 기준에 대해 물어보세요. 명확하게 답하지 못하는 업체가 있다면, 그 침묵이 곧 답입니다. 가장 인기 있는 기존 앱과의 비교는 Flo 대안 프라이버시 우선 가이드를 참고하세요. 같은 원칙에서 비롯되는 포용적인 기본 설정에 대해서는 논바이너리 사용자를 위한 주기 추적 앱을 확인해 보세요.