진짜 스파이앱이야?

‘개인 정보 유출 의혹’으로 요즘 가장 논란 많은 중국 동영상 공유 앱 ‘틱톡’. 이번에는 단순 의혹이 아닌 ‘증거’가 나왔습니다. 11일(현지시간) 틱톡이 구글의 안드로이드 운영체제에서 무단으로 사용자의 고유 식별정보를 수집했다고 월스트리트저널(WSJ)이 보도했어요. WSJ에 따르면 틱톡이 지난해 11월 미국 정부로부터 국가안보 위협 의혹에 대한 조사를 받기 전까지 최소 15개월 동안 ‘맥 주소(MAC Address)’를 수집해왔다는데요. 이제 진실을 말해야 할 때가 온 것 같습니다.

✔️ 키워드: 틱톡, 맥 주소, 개인정보 유출 의혹

 

‘동의’도 안 했는데 정보 빼가

WSJ은 재작년 4월부터 올해 1월까지 구글 플레이스토어에 출시된 9개 버전의 틱톡을 설치해본 결과, 모회사인 바이트댄스로 맥 주소를 비롯한 개인정보들이 전송된 사실이 확인됐다고 해요. 이 기간에 빠져나간 정보만 수백만 개 이상이라고 합니다. 게다가 맥 주소 수집 등에 대한 동의도 받지 않았다는데요. 이는 구글플레이스토어의 프라이버시 정책을 위반하는 것이어서 더욱 문제가 되고 있습니다.

 

맥 주소란 무엇?

맥 주소는 스마트폰과 컴퓨터 등 인터넷이 가능한 기기에 부여되는 12자리의 고유식별번호로, 네트워크상의 주민등록번호로 불려요. VPN 등 우회로를 이용해서 바꿀 수 있는 IP주소와 달리, 맥 주소는 기기 내부 랜카드에 저장되어 있어 바뀌지 않아요. 기기를 교체해야 초기화되거나 수정이 가능합니다. 맥 주소는 주로 개인 맞춤형 광고에 활용되는데요. 미국 아동 온라인 사생활보호법(COPPA)은 맥 주소를 고유 식별정보로 규정하고 있어요.

 

구글을 어떻게 속였을까

WSJ은 이 같은 행위가 통상적이지 않은 암호화 작업을 통해 은폐된 것이라 분석했는데요. 사이버보안업체 옥타의 마크 로저스 부사장은 “일반적으로 많은 앱들이 경쟁자들의 베끼기를 막기 위해 암호화 과정을 거치는데, 틱톡은 이를 구글이나 애플의 감시를 피해가기 위해 사용한 것으로 보인다”고 말했어요. 구글 대변인은 이번 의혹 관련 조사를 진행 중이라고 밝혔는데요. 다만 맥 주소 수집 행위를 허용한 일부 맥의 보안상 허점에 대해서는 답변을 거부했습니다.

 

또 아니라는 틱톡, 어쨌든 “나가라”

틱톡 대변인은 “틱톡은 개인정보와 틱톡 커뮤니티 안전을 보호하기 위해 노력하고 있다”며 “우리는 보안 문제 대응 차원에서 지속해서 앱을 업데이트하고 있다. 최신 버전은 맥 주소를 수집하지 않는다”고 해명했습니다. 한편 미국 트럼프 대통령은 9월 15일까지 틱톡 인수 협상이 이뤄지지 않을 경우 틱톡을 미국에서 퇴출하겠다고 말했는데요. 지난 6일 서명한 틱톡 거래금지 행정명령에 따르면, 9월 15일 이후 미국 앱스토어에서 틱톡을 다운받을 수 없다고 해요. 이미 앱을 다운받았더라도 사용할 수 없도록 하겠다고…

 

이미 국내에서도 논란

틱톡이 국내에서도 맥 주소를 무단 수집한 증거가 발견된다면 문제가 될 수 있는데요. 아직 유출여부를 속단하기에는 이른 단계입니다. 하지만 틱톡은 지난달 방송통신위원회로부터 개인정보보호 법규 위반으로 적발된 적이 있어요. 만 14세 미만 아동 개인정보를 법정대리인 동의 없이 수집하고, 국내 이용자 정보를 고지 없이 국외 서버로 이전했다는 이유에서였습니다. 한편 틱톡에 대한 개인정보 유출 우려가 최근에는 중국앱 전체로 퍼져, SNS와 커뮤니티를 중심으로 ‘꼭 지워야 할 중국앱’ 목록이 빠르게 확산되고 있습니다.

 

김정민 기자