틱톡, 구글 몰래 사용자 정보 수집…트럼프 말이 사실로?

(사진=AFP)

[이데일리 방성훈 기자] 중국의 동영상 애플리케이션(앱) 틱톡이 구글의 개인정보 보호정책을 어기고 몰래 사용자 정보를 수집했다고 월스트리트저널(WSJ)이 11일(현지시간) 보도했다.

보안 전문가들에 따르면, 틱톡은 최소 15개월 이상 모바일 기기 이용자들의 개인정보인 ‘맥(MAC)주소’를 사용자 동의 없이 수집해 본사인 바이트댄스 서버로 보낸 것으로 추정된다.

맥주소는 PC나 스마트폰 등 네트워크 기기에 부여되는 12자리 고유식별번호다. 맥주소 자체만으로는 개인을 식별하기 어렵지만, 기기별 로그 기록 등과 결합하면 해당 기기 사용자의 사용 패턴을 특정할 수 있는 여지가 있다. 기기를 교체해야만 초기화 또는 수정된다. 미국 아동온라인사생활보호법은 맥주소를 고유식별정보로 규정하고 있다.

WSJ는 “2018년 4월부터 올해 1월까지 구글플레이스토어에 출시된 9개 버전의 틱톡을 설치해본 결과 틱톡의 모회사인 바이트댄스로 맥주소를 비롯한 개인정보들이 전송되는 것을 확인했다”고 설명했다.

계정을 생성하고 난 뒤 서비스 약관에 동의하지 않더라도 스마트폰에 틱톡을 설치하는 순간 맥주소가 유출된 것으로 나타났다. 맥주소 수집은 구글 플레이스토어의 개인정보 정책을 위반하는 것이다. 구글은 앱 개발자들이 이용자의 동의 없이 맥주소 등을 수집하지 못하도록 규제하고 있다.

바이트댄스가 수집한 맥주소를 숨기기 위한 방식도 논란이 되고 있다. 계정관리업체 옥타의 마크 로저스 부회장은 “틱톡은 일반적으로 경쟁자의 모방을 막기 위해 사용되는 암호화 규칙을 구글이나 애플의 감시를 피해가기 위해 추가로 사용한 것으로 보인다”고 말했다.

하지만 틱톡은 이날 공식 성명을 내고 “진화하는 보안 문제에 대처하고자 지속적으로 앱을 업데이트 하고 있다”며 “현재 버전에서 맥 주소를 수집하지 않는다”고 해명했다.

틱톡은 사용자의 개인 정보를 중국으로 보내고 있다는 의혹도 거듭 부인했다. 틱톡은 “중국 정부에 미국 사용자 데이터를 절대 제공한 적이 없다”며 “만약 요청이 오더라도 제공하지 않을 것”이라고 밝혔다.

아울러 “법률과 금융 서비스 업계에서 수십년 간 종사해 온 롤란드 클루티어 최고정보보호책임자(CISO) 주도 하에 틱톡 커뮤니티의 프라이버시와 안전성을 보호하는 것에 전념하고 있다”며 “틱톡은 사용자가 항상 틱톡의 가장 최신버전을 다운로드 할 것을 권장한다”고 덧붙였다.

한편 도널드 트럼프 미 대통령은 국가안보 위협 및 개인정보 유출 등을 이유로 미국 내 틱톡 사용 금지 방침을 밝혔다가, 틱톡의 미국 사업부 매각을 전제로 오는 9월 15일까지 유예했다. 현재 마이크로소프트와 트위터 등이 틱톡 인수 경쟁을 펼치고 있다.