[Security News] 틱톡, 안드로이드 앱 통해 사용자의 맥주소 정보 수집해왔다

※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

월스트리트저널이 최초 보도…맥주소 정보 등 표적 광고 관련 정보 수집해

작년 11월까지 약 15개월 동안 진행한 듯…애플 생태계에서도 정보 수집하고 있어

중국의 영상 공유 소셜 플랫폼인 틱톡(TikTok)이 안드로이드 장비들 수천만 대에서 고유 식별자 정보를 몰래 수집했다는 고발이 월스트리트저널(WSJ)에서부터 나왔습니다. 틱톡 측은 사용자의 허락 없이 온라인 활동을 추적했으며, 그러한 행위를 숨기기 위해 암호화 기술을 활용했다고 합니다. 이러한 정보 수집 활동은 지난 11월까지 진행된 것으로 보입니다.

[이미지 = utoimage]

틱톡이 몰래 수집한 정보는 ‘맥주소’라고 불리는 것으로, 장비마다 고유한 맥주소를 가지고 있으며, 이를 통해 네트워크 상에서의 위치를 알릴 수 있게 됩니다. 보통 장비 생산자들이 장비에 부여하며, 바뀌는 일이 거의 없습니다. 그렇기 때문에 특정 장비 사용자들에게 표적 광고를 보내려고 할 때 맥주소는 귀중한 정보가 됩니다.

월스트리트저널이 분석한 바에 의하면 틱톡은 최소 15개월 동안 맥주소를 수집했다고 합니다. 또한 안드로이드 장비에 처음 설치되면 맥주소와 기타 다른 장비 관련 데이터를 수집해 틱톡의 모기업인 바이드댄스(ByteDance)로 전송했다는 내용도 보도에 등장합니다. 여기서 기타 다른 장비란 장비의 광고 ID를 포함하는 것으로 알려졌고, 역시 표적 광고에 사용되는 정보입니다.

물론 틱톡이 아니라 다른 여러 앱들도 어느 정도 사용자에 관한 정보를 수집합니다. 이 때문에 모바일 앱 생태계에서는 늘 프라이버시 논란이 들끓고 있습니다. 앱을 개발하는 회사는 ‘개인화에 대한 사용자 경험을 향상시키기 위해 필요하다’고 반박합니다. 그래서 합의가 된 게 ‘사용자들에게 알리고 허락을 구하고 수집한다’는 건데, 틱톡의 경우는 이 ‘허락’의 과정이 없었습니다. 심지어 “데이터 수집 행위를 의도적으로 숨기고 드러나지 않기 위해 애썼다”는 게 월스트리트저널의 보도 내용입니다.

최근 트럼프 대통령은 중국 앱인 틱톡이 중국의 스파이 활동을 돕는다며 사용을 금지시키겠다고 발표했습니다. 당시 미국의 대기업인 마이크로소프트가 틱톡을 인수하려는 움직임을 보이고 있기도 했습니다. 그렇게 될 경우 틱톡은 ‘중국 정부에 반드시 협조해야 한다’는 중국 국내법으로부터 자유로워지고 미국의 프라이버시 법의 영향 아래 놓이게 됩니다. 때문에 프라이버시 문제에서 어느 정도 안심할 수 있게 되는 것입니다. 하지만 이 부분에 대해서는 아직 확실히 결정된 것이 없는 상태입니다.

이번에는 틱톡의 안드로이드 버전이 문제가 되고 있지만 이전에는 애플 생태계에서도 비슷한 논란이 일어난 바 있습니다. 아이폰 사용자들의 ‘자르고 붙여넣기’ 데이터를 몰래 수집하다가 지난 2월 발각된 것입니다. 문제가 커지자 틱톡 측은 3월에 ‘이러한 행위를 하지 않겠다’고 약속했었습니다. 하지만 애플이 지난 6월 iOS 14를 통해 추가한 새로운 프라이버시 기능을 통해 확인해보니 약속은 지켜지지 않는 것으로 나타났습니다.

그럼에도 틱톡의 인기는 대단히 높은 수준을 유지하고 있습니다. 특히 미국 10대와 20대 사이에서 엄청난 인기를 누리고 있으며, 3월부터 코로나 사태가 터지며 외출을 할 수 없는 사용자들이 늘어나자 틱톡은 폭발적인 사용량 증가 추이를 보이기도 했습니다. 때문에 트럼프 대통령을 필두로 한 미국 정부의 ‘틱톡 금지’ 움직임에 많은 반발이 나오고 있기도 합니다.

출처 : 보안 뉴스