틱톡, 안드로이드 앱 통해 사용자의 맥주소 정보 수집해왔다

#정보보호 #정보보안 #IT보안 #사이버보안

월스트리트저널이 최초 보도...맥주소 정보 등 표적 광고 관련 정보 수집해

작년 11월까지 약 15개월 동안 진행한 듯...애플 생태계에서도 정보 수집하고 있어

[보안뉴스 문가용 기자] 중국의 영상 공유 소셜 플랫폼인 틱톡(TikTok)이 안드로이드 장비들 수천만 대에서 고유 식별자 정보를 몰래 수집했다는 고발이 월스트리트저널(WSJ)에서부터 나왔다. 틱톡 측은 사용자의 허락 없이 온라인 활동을 추적했으며, 그러한 행위를 숨기기 위해 암호화 기술을 활용했다고 한다. 이러한 정보 수집 활동은 지난 11월까지 진행된 것으로 보인다.

[이미지 = utoimage]

틱톡이 몰래 수집한 정보는 ‘맥주소’라고 불리는 것으로, 장비마다 고유한 맥주소를 가지고 있으며, 이를 통해 네트워크 상에서의 위치를 알릴 수 있게 된다. 보통 장비 생산자들이 장비에 부여하며, 바뀌는 일이 거의 없다. 그렇기 때문에 특정 장비 사용자들에게 표적 광고를 보내려고 할 때 맥주소는 귀중한 정보가 된다.

월스트리트저널이 분석한 바에 의하면 틱톡은 최소 15개월 동안 맥주소를 수집했다고 한다. 또한 안드로이드 장비에 처음 설치되면 맥주소와 기타 다른 장비 관련 데이터를 수집해 틱톡의 모기업인 바이드댄스(ByteDance)로 전송했다는 내용도 보도에 등장한다. 여기서 기타 다른 장비란 장비의 광고 ID를 포함하는 것으로 알려졌다. 역시 표적 광고에 사용되는 정보다.

물론 틱톡이 아니라 다른 여러 앱들도 어느 정도 사용자에 관한 정보를 수집한다. 이 때문에 모바일 앱 생태계에서는 늘 프라이버시 논란이 들끓는다. 앱을 개발하는 회사는 ‘개인화에 대한 사용자 경험을 향상시키기 위해 필요하다’고 반박한다. 그래서 합의가 된 게 ‘사용자들에게 알리고 허락을 구하고 수집한다’는 건데, 틱톡의 경우는 이 ‘허락’의 과정이 없었다. 심지어 “데이터 수집 행위를 의도적으로 숨기고 드러나지 않기 위해 애썼다”는 게 월스트리트저널의 보도 내용이다.

최근 트럼프 대통령은 중국 앱인 틱톡이 중국의 스파이 활동을 돕는다며 사용을 금지시키겠다고 발표했다. 당시 미국의 대기업인 마이크로소프트가 틱톡을 인수하려는 움직임을 보이고 있기도 했다. 그렇게 될 경우 틱톡은 ‘중국 정부에 반드시 협조해야 한다’는 중국 국내법으로부터 자유로워지고 미국의 프라이버시 법의 영향 아래 놓이게 된다. 때문에 프라이버시 문제에서 어느 정도 안심할 수 있게 되는 것이다. 하지만 이 부분에 대해서는 아직 확실히 결정된 것이 없는 상태다.

이번에는 틱톡의 안드로이드 버전이 문제가 되고 있지만 이전에는 애플 생태계에서도 비슷한 논란이 일어난 바 있다. 아이폰 사용자들의 ‘자르고 붙여넣기’ 데이터를 몰래 수집하다가 지난 2월 발각된 것이다. 문제가 커지자 틱톡 측은 3월에 ‘이러한 행위를 하지 않겠다’고 약속했었다. 하지만 애플이 지난 6월 iOS 14를 통해 추가한 새로운 프라이버시 기능을 통해 확인해보니 약속은 지켜지지 않는 것으로 나타났다.

그럼에도 틱톡의 인기는 대단히 높은 수준을 유지하고 있다. 특히 미국 10대와 20대 사이에서 엄청난 인기를 누리고 있으며, 3월부터 코로나 사태가 터지며 외출을 할 수 없는 사용자들이 늘어나자 틱톡은 폭발적인 사용량 증가 추이를 보이기도 했다. 때문에 트럼프 대통령을 필두로 한 미국 정부의 ‘틱톡 금지’ 움직임에 많은 반발이 나오고 있기도 하다.

4줄 요약

1. 틱톡, 안드로이드 앱 통해 사용자 장비 맥주소 몰래 수집하고 있었음.

2. 수집된 장비 고유 정보는 중국에 있는 틱톡의 모회사로 전송되고 있었음.

3. 애플 생태계에서는 사용자들의 클립보드 정보를 수집하고 있음.

4. 그렇지만 사용자들은 왜 잘 쓰고 있는 앱 못 쓰게 하냐고 반발하는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

---------------------------------------------------------------------------------------------------------------

느낀점 : 애플보다 안드로이드 앱이 보안 면에서 조금 부족하다고 알고는 있었지만, 그게 이렇게 악영향이 되어 돌아올 것이라는 생각은 깊게 해본 적이 없었다. 맥주소는 네트워크 장치의 제조 과정 속에서 할당된 고유한 주소라고 한다. 이런 주소로는 개인 정보의 위협을 충분히 받을 수 있다는 것이 사실이다. 개개인에 대한 허락 없이 오고가는 프라이버시 유출을 막기 위해서라도 이렇게 사소한 것부터 연결 고리를 끊어내야 하지 않을까? 작은 앱의 '가입' 하나만으로 많은 정보를 얻고 악용할 수 있는 시대에 살고 있기 때문에 우리가 스스로 이런 취약점들에 사로잡히지 않도록 노력해야 하는게 우선이라는 생각이 들었다.