구글 감시 피하려 암호화 프로토콜도 추가 도입
모바일 동영상 공유앱 '틱톡'의 모회사인 바이트댄스.[연합] |
[헤럴드경제=박세환 기자] 동영상 공유 애플리케이션 틱톡이 사용자 데이터인 고유식별정보를 무단 수집한 것으로 나타났다. 틱톡은 15초 분량의 짧은 동영상을 공유하는 앱으로, 10∼20대 사이에서 폭발적인 인기를 얻고 있다.
11일(현지시간) 월스트리트저널(WSJ)에 따르면 틱톡이 지난해 11월 미국 정부로부터 국가안보 위협 의혹에 대한 조사를 받기 전까지 최소 15개월 동안 맥 주소(MAC Address)를 수집해왔다.
맥 주소는 네트워크 기기에 부여되는 12자리의 고유식별번호로 기기를 교체해야 초기화 하거나 수정될 수 있다. 미국 ‘아동온라인사생활보호법(COPPA)’은 맥 주소를 고유식별정보로 규정하고 있다.
재작년 4월부터 올해 1월까지 구글플레이스토어에 출시된 9개 버전의 틱톡을 설치해본 결과, 틱톡의 모회사인 바이트댄스로 맥 주소를 비롯한 개인정보들이 전송되는 것을 확인했다고 WSJ은 전했다.
계정을 만들고 서비스 약관에 동의하지 않더라도 휴대전화에 틱톡을 설치하면 유출됐다.
맥 주소를 수집하는 것은 구글플레이스토어의 프라이버시 정책을 위반하는 것이다.
구글은 앱 개발자들이 이용자의 명시적인 동의 없이 맥 주소와 같은 고유식별정보를 수집하지 못하도록 규제하고 있다.
틱톡의 모회사인 바이트댄스가 수집한 맥 주소를 숨기기 위해 취한 방식에도 문제가 있다고 WSJ은 지적했다.
계정관리 업체 ‘옥타(Okta)’의 부회장인 마크 로저스는 “틱톡은 일반적으로 경쟁자들의 모방을 막기 위해 사용되는 암호화 프로토콜을 구글이나 애플의 감시를 피해가기 위해 추가로 사용한 것으로 보인다”고 말했다.
다만 틱톡만 맥 주소를 수집하는 건 아니었다. 모바일 앱 분석업체인 ‘앱센서스(AppCensus)’가 2018년 안드로이드 앱 2만5152개를 대상으로 조사한 결과 347개(1.4%)의 앱들이 맥 주소를 수집하고 있었다.
앱센서스 공동창립자이자 캘거리대 조교수인 조엘 리어든은 “(맥 주소 수집은) 사용자가 저항할 수 없게끔 개인정보를 장기적으로 얻는 방법”이라면서 “이용자들의 소비 패턴을 분석해 맞춤 광고를 제공하는 것 외에 (맥 주소를 수집하는) 다른 이유는 없다”고 지적했다.
공화당 소속의 조시 홀리(미주리) 상원의원은 “구글은 틱톡같이 COPPA를 위반하는 앱을 방치하면서도 사용자들에게 동의 없이 추적당할 일이 없다고 공언하고 있다”면서 “틱톡을 (앱스토어에서) 퇴출해야 한다”고 강하게 비판했다.
한편 도널드 트럼프 미국 대통령은 국가안보를 위협하고 개인정보를 유출한다는 이유로 틱톡 사용을 금지하겠다는 방침을 밝혔다가 9월15일까지 틱톡의 매각 협상을 마무리하라고 통보한 바 있다.
현재까지는 마이크로소프트와 트위터 등이 틱톡 인수 대열에 참가했다.
greg@heraldcorp.com