WSJ "틱톡, 개인식별 정보 무단 수집…앱 지웠다 깔아도 소용 없어"

스마트폰에 깔린 중국 바이트댄스사의 동영상 플랫폼 틱톡과 텐센트사의 메신저 앱 위챗.[EPA=연합뉴스]

스마트폰에 깔린 중국 바이트댄스사의 동영상 플랫폼 틱톡과 텐센트사의 메신저 앱 위챗.[EPA=연합뉴스]

중국 동영상 플랫폼 '틱톡(TikTok)'이 구글 안드로이드의 개인정보 보호 정책을 우회해 모바일 기기에서 개인을 식별할 수 있는 정보를 무단 수집했다는 의혹이 제기됐다. 미국 트럼프 행정부의 차단 방침에 틱톡 매각 협상이 벌어지는 가운데 11일(현지시간) 미 월스트리트저널(WSJ)가 이같이 보도했다.
 
WSJ는 모바일 앱 분석 회사에 의뢰해 2018년 4월부터 2020년 1월까지 구글 플레이스토어에 올라와 있는 틱톡 9개 버전을 분석했다. 그 결과 틱톡은 지난해 11월까지 사용자 몰래 민감 정보인 MAC 주소를 수집했다. MAC(Media Access Control Address) 주소는 모바일 기기의 통신 기능을 위해 하드웨어에 저장된 개인의 네트워크 인터페이스 고유 식별 주소다. 인터넷을 활용하는 모든 기기에서 사용자를 구분할 수 있고 바뀌지도 않는다. 주로 맞춤형 광고 목적으로 쓰인다. 미국 연방거래위원회는 MAC 주소를 청소년개인정보보호법에서 정한 개인식별정보로 분류해 보호하고 있다.
  

"MAC주소와 광고ID 등 번들로 묶어 바이트댄스사 전송" 

미국 로스앤젤레스에 위치한 중국 동영상 플랫폼 틱톡 사무실. [AFP=연합뉴스]

미국 로스앤젤레스에 위치한 중국 동영상 플랫폼 틱톡 사무실. [AFP=연합뉴스]

틱톡은 '택틱'(Tactic)이라 불리는 암호화된 장치로 MAC 주소를 수집했고 이를 다른 데이터와 함께 번들로 묶어 바이트댄스 중국 본사에 전송했다. 이 번들에는 광고주가 소비자의 행동을 추적할 수 있는 32자리 숫자로 된 광고ID도 포함돼 있었다.
 
택틱이 주소를 모으는 방식은 사용자들의 동의를 구하지도, 사용자들이 알 수 없기 때문에 문제가 된다고 WSJ는 설명했다. 다만 현재 배포된 틱톡의 최신 버전에서는 이런 문제가 발견되지는 않았다. WSJ는 틱톡 측에 민감한 개인정보를 모아 본사에 전송한 의혹과 관련해 문의했지만, 틱톡 측은 현재까지 답변을 하지 않고 있다고 전했다. 다만 틱톡 측은 공식 성명을 통해 "사용자들의 정보를 지키기 위해 노력 중이며 이를 위해 앱을 지속적으로 발전시키고 있다"고 밝혔다. 또 현재 시중에 있는 버전은 MAC주소를 수집하지 않는다고도 덧붙였다.
 

애플사는 이미 2013년 아이폰의 MAC주소를 보안화해 타사의 앱이 이를 식별하지 못하게 했다. 2년 뒤 구글도 안드로이드 체제에서 MAC 주소 보안 조치를 했지만, 문제는 틱톡이 안드로이드의 보안 체제를 우회했다는 데 있다. 안드로이드에 난 '보안 구멍'에 관해 구글 측도 답변을 내놓지 않았다고 WSJ은 전했다.
 

"한번 유출되면 깨끗한 상태로 돌아갈 수 없어"  

구글 사무실 외벽 로고. [로이터=연합뉴스]

구글 사무실 외벽 로고. [로이터=연합뉴스]

이미 MAC 주소가 유출된 사용자들은 틱톡 앱을 지웠다가 다시 깔아도 소용이 없다고 WSJ은 전했다. 앱센서스 공동 설립자인 조엘 리어던 캘거리대학 교수는 이를 "깨끗한 상태로 (앱을) 시작하는 능력이 상실된 것"이라고 표현했다. MAC 주소는 변하지 않기 때문에 사용자의 과거 광고 ID와 새로운 광고 ID를 연결할 수 있기 때문이다. 이런 기능은 구글 측에서 금지하는 'ID 브리징' 방법인데 택틱이 ID 브리징을 하고 있다는 의심을 받는 것이다.
 
2018년 모바일 앱 분석 회사 앱센서스의 분석에 따르면 안드로이드에 등록된 앱의 1%가 사용자들의 MAC 주소를 수집한 것으로 나타났다. WSJ는 대부분의 주요 모바일 앱들은 사용자들의 데이터를 광범위하게 수집한다고 꼬집었다. 이런 우려에 대해 기술 기업들은 개인 맞춤형 광고를 위해 수집된 데이터일 뿐이라는 입장이다. 틱톡은 올해 초 자사의 앱이 미국의 페이스북이나 알파벳(구글 모회사)보다 사용자들의 개인 정보를 덜 모은다고 주장하기도 했다.  
 
정은혜 기자 jeong.eunhye1@joongang.co.kr