WSJ "틱톡, 구글이 금지한 택틱 활용해 사용자 데이터 추적"

기사입력 : 2020년08월12일 09:46

최종수정 : 2020년08월12일 09:59

"사용자 MAC주소(Mac Address) 수집이 핵심 사안"

[서울=뉴스핌] 이영기 기자 = 틱톡이 추가적인 암호화를 사용한 '택틱(tactic)'을 숨기고, 이 택틱이 사용자의 데이타를 모으는 것으로 확인됐다. 이는 구글의 개인정보호정책을 어기는 것으로 보인다.

백악관이 중국 정부가 미국 정부 관리나 계약자들을 추적할 수 있도록 하는 데이터를 수집하고 있다고 압박을 받는 가운데 이 같은 사실이 밝혀져 주목된다.

11일(현지시간) 월스트리트저널(WSJ)은 틱톡이 구글 안드로이드 시스템의 개인정보보호 원칙을 우회해 수백만 명의 모바일 기기 사용자의 개인정보를 사용자 동의 없이 모으고 있는 것으로 밝혀졌다고 보도했다.

신문은 틱톡이 2018년 4월부터 2020년 1월까지 구글의 플레이스토어에 올린 9개의 틱톡 버전을 조사했다. 사용자가 틱톡을 설치하려 할때, 계정이 생성되기 전 단계에서 틱톡이 어떤 정보를 수집하는지에 한정해서 분석했다.

그 결과 지난 4월 레딧에서 익명으로 많은 비난을 쏟아낸 것처럼 틱톡이 MAC주소어드레스(MacAddress)를 포함한 일련의 사용자 데이타를 바이트댄스 서버로 전송한 것으로 확인됐다.

이 분석에 따르면, 틱톡은 추가 암호화된 택틱을 통해 지난해 11월까지 사용자 몰래 데이타를 모아왔다. 틱톡은 주로 광고목적으로 사용되는 'MAC 주소'로 불리는 식별자를 수집했다. 백악관이 중국 정부가 스파이활동이나 협박 등의 용도로 사용할 수 있는 점을 우려한 사용자 정보다.

문제의 핵심은 12자리로 구성된 MAC 주소다. 이는 모바일 기기를 포함해 인터넷 활용 모든 기기에서 사용자를 구분할 수 있는 일종의 인식자다. 구글 플레이스토어 정책은 개발자에게 광고 식별자가 구분 가능한 사용자 데이터와 연결되어서는 안 되고 별도의 동의를 구하지 않은 상황에서 영구식별자와 연결돼서는 안 된다고 경고하고 있다.

틱톡이 MAC 주소를 모아서 바이트댄스로 하여금 과거 광고식별자와 새로운 광고식별자를 연결(ID브릿징)할 수 있게 하면 이는 구글 플레이스토어 정책 위반이다.

앱센서스 창업자이자 캘거리 대학 교수인 조엘 리어돈은 "사용자가 틱톡을 삭제하고 새로 틱톡을 설치한다 해도 이 같은 ID브릿징을 통해 틱톡은 동일 사용자라는 사실을 인식하므로, 사용자가 새출발한다는 것은 의미가 없어진다"고 말했다.

MAC 주소는 앱에서 광고를 내보내는데 필수적이다. 리셋도 안 되고 바뀌지도 않기 때문이다. 앱 개발자나 제3자가 사용자의 소비행태를 파악할 수 있다. 이런 이유에서 미국 연방거래위원회는 MAC 주소를 청소년개인정보보호법에서 정한 개인식별정보로 분류해 철저하게 보호하고 있다.

리어돈 교수는 "MAC 주소를 모은다는 것은 오랫동안 사용자를 추적할 수 있다는 것을 말하는 것으로, 그것 이외의 용도는 없다고 생각한다"고 말했다.

틱톡은 올해 초 자사 앱은 페이스북, 구글과 같은 미국 회사보다는 더 좁은 범위의 사용자 데이타를 활용한다고 밝혔지만 이 같은 구체적인 사안에 대해서는 함구하고 있다. 특히 당시 틱톡은 "현재 틱톡 버전은 MAC 주소를 수집하지 않는다"고 명시적을 언급한 바 있다.

WSJ는 대부분의 모바일 앱은 사용자 정보를 어느정도 모아서 사용하고, 회사마다 그 정도도 다르다면서, 안드로이드 앱의 약 1%가 MAC 주소를 모으고 있는 것으로 알려져있다고 소개했다.

이어 구글 대변인은 WSJ의 분석 결과에 대해 "조사를 진행하고 있다"고만 말했을 뿐, MAC 주소를 모으는 앱이 활동할 수 있는 맹점이 있는지 여부에 대해서는 언급을 하지 않았다고 신문은 덧붙였다.

다만 MAC 주소를 제외하고는 틱톡이 모바일 앱 정보를 비정상적으로 수집하는 것도 아니고 또 개인정보보호 원칙에 따라서 사용자의 동의를 구하는 팝업이 나타나는 것으로도 확인됐다.

앱 속성을 분석하는 워치독 IDAC 연구원 나단 굿은 "다른 앱과 마찬가지로 틱톡의 인터넷 트래픽은 표준 암호화 사양에 따라 보호되고 따라서 전달되는 정보를 들여다 보지 못한다"고 말했다.

그는 이어 "하지만 사용자 틱톡이 무엇을 하는지를 모르게 하는 목적이 없다면 표준사양에 추가 암호화를 한 것은 매우 예외적으로 보인다"고 분석했다.

틱톡이 사용자 데이타를 추가로 암호화해 혼란스럽게 하는 것은, 틱톡이 무슨일을 하고 있는지를 판별해 낼 수 없게 해 개인정보보호 원칙을 지키고 있는지 여부를 판단하기 어렵다는 것이 그의 설명이다.

공화당 소속 상원의원 조쉬 해리는 구글은 플랫폼에서 틱톡을 삭제해야 한다며, 틱톡에 대한 비판 뿐만 아니라 중국에 대한 강경한 입장도 표시했다.

그는 "틱톡이 구글의 플레이스토어 있으면 안 된다"며 "구글이 사용자들에게 동의없이 추적할 수 없다고 하면서도 틱톡같은 앱이 이런 원칙을 위반하면서 내부 방침을 위반하면서 영구 식별자를 모으고 있다면 뭔가 잘못된 것"이라고 말했다.

007@newspim.com

[관련기사]

[관련키워드]

틱톡 구글 안드로이드

GAM - 해외주식 투자 도우미

[AI의 종목 이야기] 월가, 뉴욕증시 최고 수익률 섹터 놓고 의견 분분

테슬라, FSD 교통법규 위반 조사 답변 기한 5주 연장돼

[홍콩 대장주] 메이퇀 ③ 신성장 동력의 '폭발적 성장'

[홍콩 대장주] 메이퇀② 실적은 고속 상승, 밸류는 역대 저점

[뉴스핌 베스트 기사]

사진

BTS, 대규모 월드투어에 외신 주목 [서울=뉴스핌] 이지은 기자 = 그룹 방탄소년단(BTS)가 4월 대규모 월드투어를 진행하는 가운데, 외신의 이목이 집중되고 있다. 방탄소년단은 오는 4월 9일, 11~12일 한국 고양을 시작으로 북미, 유럽, 남미, 아시아 등지를 아우르는 대규모 월드투어에 돌입한다. 현재까지 공개된 일정만 총 34개 도시 79회 공연으로 K팝 역사상 최다 규모다. 방탄소년단 뷔(왼쪽부터), 슈가, 진, 정국, RM, 지민, 제이홉. [사진=뉴스핌DB] 이에 주요 외신들도 잇따라 관련 소식을 전하며 기대감을 높이고 있다. 미국 매체 피플, USA 투데이 등 방탄소년단의 공연 소식을 보도했고 CNN은 "K팝을 전 세계적인 문화 현상으로 탈바꿈시키는 데 결정적 역할을 한 방탄소년단이 돌아왔다"라고 보도했다. 미국 매체 포브스는 "팀 역사상 가장 광범위한 투어 중 하나로 한국 가수 월드투어가 나아갈 새로운 기준을 제시할 것"이라고 평가했다. 이어 "스타디움 중심으로 진행되는 이번 투어는 세계적인 아티스트들과 어깨를 나란히하는 규모다"라고 덧붙였다. 아르헨티나 일간지 클라린은 "방탄소년단의 아르헨티나 방문은 단순한 콘서트를 넘어 문화적 사건"이라며 기대감을 드러냈다. 또 "수도 부에노스아이레스가 보랏빛 꽃으로 물드는 시기에 맞춰 이뤄지는 공연은 그들을 맞이하기에 더없이 완벽한 순간"이라고 보도했다. 방탄소년단은 이번 투어를 통해 처음으로 아르헨티나를 방문한다. 방탄소년단은 월드투어에 앞서 3월 20일 다섯 번째 정규 앨범을 발매한다. 완전체로 약 3년 9개월 만의 신보다. 컴백 분위기는 전 세계 곳곳에서 감지되고 있다. 뉴욕, 도쿄, 런던, 파리 등에서 신보 로고를 활용한 옥외 광고가 진행되고 있다. 서울 광화문 광장 인근 세종문화회관에서 시작된 프로모션이 전 세계 주요 도시로 확산됐다. 대형 전광판을 채운 로고는 SNS에서 빠르게 공유되며 세계인의 이목을 집중시키고 있다. 방탄소년단의 정규 5집에는 총 14개 트랙이 수록된다. 일곱 멤버는 지난 여정 속에서 쌓은 진솔한 감정과 고민을 음악에 녹여 '지금의 방탄소년단'을 보여줄 예정이다. alice09@newspim.com 2026-01-16 08:07

사진

토큰증권 발행 가능해졌다 [서울=뉴스핌] 채송무 기자 = '주식·사채 등의 전자등록에 관한 법률'(전자증권법) 및 '자본시장과 금융투자업에 관한 법률'(자본시장법) 개정안이 15일 국회 본회의를 통과하면서 토큰증권 발행이 가능해질 전망이다. 토큰증권은 발행·유통 등에 대한 정보를 블록체인 기술 기반의 분산원장에 기재·관리하는 자본시장법상 증권이다. 분산원장을 법적 효력이 부여되는 증권 계좌부로 인정하고 안정성 등을 구비하기 위해서는 법률 개정이 필요했다. [서울=뉴스핌] 윤채영 기자 = [챗GPT 일러스트] 2026.01.13 chaexoung@newspim.com 이날 법 통과로 인해 전자증권법 개정을 통해 정보가 다수 참여자에 의해 시간 순서 등 대통령령으로 정하는 일정한 기준에 따라 기재되고 공동 관리 및 기술적 조치를 통해 무단 삭제 및 사후적 변경으로부터 보호되는 분산원장의 개념을 정의했으며, 이를 통해 분산원장을 증권 계좌부로 이용할 수 있도록 명시해 토큰증권 방식의 증권 발행이 가능해졌다. 이에 따라 분산원장을 이용한 증권계좌 관리, 스마트 컨트랙트 활용도 제고 등이 기대된다. 분산원장은 블록체인 기반의 암호화 및 정보의 공동 관리를 통해 해킹에 의한 정보의 무단 삭제·변경 관련 안전성이 높은 것으로 평가된다. 한편, 토큰증권은 그 실질이 자본시장법상 증권이므로, 증권에 관한 제도가 그대로 적용된다. 예를 들어 자본시장법상 투자중개업 인가를 받지 아니한 사업자가 토큰증권의 중개 영업을 하는 경우 무인가 영업으로 법 위반이 되며, 토큰증권의 공모시 증권신고서 제출·공시 의무도 기존 증권과 동일하게 준수해야 한다. 이와 함께 이날 같이 통과된 자본시장법 개정안을 통해 토큰증권 방식으로 활성화가 기대되는 투자계약증권의 유통이 허용됐다. 투자계약증권은 공동사업에 투자하고 사업 결과에 따른 손익을 귀속받는 자본시장법상 증권의 한 종류다. 기존 자본시장법은 투자계약증권의 비정형적 특성 등을 고려시 유통에 적합하지 아니하다고 보아 증권사(투자매매·중개업자)를 통한 유통을 금지했다. 따라서 투자계약증권은 증권사를 통해 투자자를 모집할 수 없고 발행인이 직접 투자자를 모집하는 방식만 가능했다. 금번 개정안을 통해 투자계약증권도 다른 증권과 마찬가지로 증권사를 통한 중개 대상이 될 수 있으며, 이를 통해 투자계약증권의 투자접근성, 투자정보 제공 등이 제고될 것으로 예상된다. 토큰증권 제도화를 위한 법률 개정안은 분산원장 기반 증권 계좌관리 인프라 신설, 투자자 보호를 위한 세부제도 정비 등을 거쳐 공포 1년 후인 2027년 1월경 시행된다. dedanhi@newspim.com 2026-01-15 17:23