삼성 애플 "동작 그만!"..광고 마구 보내던 얌체앱들 '움찔'

보안 공들이는 갤럭시·아이폰..SW업데이트, 하드웨어까지 개발
0.001초 단위로 데이터 빼내
브로커들 7억명 정보 무차별 수집
5000가지 성향으로 프로필 작성
앱 93%가 스마트폰 멋대로 추적
삼성·애플 기능 대폭 추가
삼성 정보보호 플랫폼 '녹스'
취약점 알려주는 서비스 준비
애플, iOS 추적권한 업데이트
정보제공 무조건 동의 거쳐야

# 검색엔진에서 제주도를 검색하고 나서 페이스북을 열었더니 뉴스피드 사이에 제주도 항공권 광고가 뜬다. 스마트폰에서 이뤄진 나의 모든 동작을 쳐다보고 있는 오싹한 느낌이 든다. 실제로 지난해 10월 고학수 서울대 법학전문대학원 교수팀이 발표한 '국내 모바일 앱 이용자 정보 수집 현황 및 법적 쟁점' 논문은 적나라하게 보여준다. 연구팀은 사람들이 스마트폰에 설치하는 유·무료 애플리케이션(앱) 886개를 분석했는데, 그중 92.6%인 820개 앱이 스마트폰에서 오가는 정보를 수집해 구글과 페이스북에 전송하고 있었다.

애플이 이달 초 발표한 '당신의 데이터는 어떤 하루를 보내는가' 보고서도 광고주들이 맞춤형 광고로 소비자 일상에 침투하기 위해 1000분의 1초 단위로 광고 '경매'의 과정을 거치고 있다고 밝혔다. 이때 사용자 동의나 허락 없이 사적인 데이터가 수집되는 경우가 비일비재하다는 것이다. 데이터브로커들은 전 세계 7억명의 소비자 데이터를 수집하고 있고, 최대 5000가지 성향이 담긴 소비자 프로필을 운영 중이다.

소비자 동의 없는 개인정보 광고 활용과 유출과 같은 문제가 심각해지자 삼성전자와 애플은 문제 해결을 위해 앱을 비롯해 스마트폰 소프트웨어와 하드웨어의 지속적 업데이트를 통해 '보안 강화'에 박차를 가하고 있다.

애플은 4월 중 소프트웨어 운영체제인 iOS 14.5 업데이트로 지난해부터 예고해온 앱 추적 투명성(ATT·App Tracking Transparency) 정책 시행에 나선다. 4월 마지막주부터 업데이트 기능을 사용할 수 있다. 애플은 "(개발사들이) 지레짐작하지 말고, 사용자들이 개인정보를 공유하고 싶은지 매번 확인해야 한다"는 스티브 잡스 말을 인용해 정책 취지를 설명하고 있다. 이번 업데이트의 핵심은 아이폰 이용자들 동의를 얻은 앱에 한해서만 이용자 개인정보가 제공될 수 있게 만든 것이다.

동의 요청을 앱 사용 중 어느 타이밍에 할지는 개발사 재량인데, 동의 요청 창에는 '앱이 다른 회사의 앱과 웹사이트에 걸친 사용자의 활동을 추적하도록 허용하시겠습니까?'라는 질문이 의무적으로 포함된다. 이용자 입장에선 해당 문구를 보고, '앱에 추적 금지 요청' 또는 '허용'을 누르면 된다. 사용자가 추적 금지 요청을 누르면 앱에 광고식별자 제공이 중단된다.

아이폰 이용자는 iOS 14.5 업데이트 후 아이폰의 '설정-개인정보보호-추적' 탭에서 모든 앱의 추적 기능을 한 번에 일괄차단하거나, 원하는 앱에 대해서만 정보제공 여부를 켜고 끌 수 있게 된다. 다만 이것은 이용자 활동내역을 제3자가 추적할 수 없도록 하는 기능이어서, 인터넷상거래를 비롯한 특정 앱에서의 구매내역 등을 기반으로 해당 앱이 직접 광고 메시지를 보내는 것까지 막을 수는 없다. 이 같은 알람을 차단하려면 알림설정에서 알림을 꺼야 한다.

잘 알려져 있지 않지만, 구글 안드로이드 OS에서도 제3자 데이터 이용을 차단하기 위한 비슷한 기능을 설정할 수 있다.

안드로이드 생태계에서 애플 '광고식별자 값'과 유사한 개념은 '광고 ID'로 불린다. 구글은 안드로이드 개발자들이 광고 ID API를 설계할 때 '광고 식별자 값은 사용자의 명시적인 동의가 있어야만 광고 목적으로 활용할 수 있다'는 내용을 API 사용규칙으로 명시해뒀다. 안드로이드 이용자가 '광고 개인 최적화 선택 해제'를 설정했는데도 앱에서 광고 ID를 활용해 이용자 프로필을 만들거나 맞춤광고로 이용자를 타기팅할 경우, 구글은 해당 앱을 구글플레이에서 내리거나 개발자 계정을 이용 정지시킬 수 있는 구조다.

안드로이드 스마트폰 이용자들은 안드로이드폰에서 '설정' 앱을 열면 '구글(Google)' 탭을 찾을 수 있다. 여기에 들어가서 '광고' 메뉴를 선택하면 '광고 개인 최적화 선택 해제'를 켜거나 끌 수 있다. 구글은 웹브라우저 크롬에서 쿠키를 제공하는 서비스를 중단하겠다고 밝힌 데 이어, 애플의 앱 추적 투명성 정책 시행과 마찬가지의 정책 발표도 고민하고 있는 것으로 알려졌다. 크롬 웹 브라우저에서 쿠키 제공이 안 되면 제3자인 광고회사에서 맞춤형 광고를 할 수 없다. 애플의 웹브라우저인 사파리에서는 수년 전부터 제공된 기능인데, 구글 크롬도 이 방향을 따라간 셈이다. 이 밖에 갤럭시폰도 보안을 위한 기능이 많다. 갤럭시폰에서 '설정-생체 인식 및 보안-Google Play 프로텍트' 순으로 들어가면, 앱과 기기에 유해한 동작이 있는지 즉각 검사해볼 수 있다. 개인정보와 관련해선 '설정-개인정보 보호'에 삼성 메뉴의 '맞춤형 서비스'에서 광고나 마케팅 자료를 받을 수 있도록 데이터를 넘길지를 이용자가 직접 켜거나 끌 수 있도록 하는 옵션이 있다.

삼성도 지난 4월 16일 스마트폰에서 웹서핑을 할 때 사용하는 '삼성 인터넷' 앱에 보안 기능을 추가 업데이트했다. 스마트 추적 방지 기능 강화(Smart Anti Tracking 3.0)를 비롯한 기능 업데이트가 특징이다. 이 메뉴에서 개인 데이터 추적 차단을 설정할 수 있다. 삼성 인터넷 앱에서 '추가 기능' 버튼을 누르면, 광고 차단 기능을 사용할 수 있다. 광고차단 기능을 포함한 추천 앱 9개 중에서 소비자가 원하는 앱을 선택해 설치하고 사용하면 된다.

애플이 하드웨어와 운영체제를 함께 만들어 보안이 강한 것으로 유명하지만, 삼성전자도 2015년 본격 출시한 '녹스(Knox)' 보안 플랫폼을 층층이 강화해놨다. 2015년에는 'B2B 보안 플랫폼' 브랜드로 사용했지만 지금은 갤럭시 스마트폰의 모든 층위(레이어)별로 삼성전자가 제공하는 보안환경을 통칭하는 의미로 사용한다. 웨어러블의 타이젠 OS, 가전 부문의 TV에도 녹스 보안을 적용한다. 보안폴더 기능, 시큐어 와이파이 기능과 같은 솔루션과 삼성패스와 삼성페이를 안심하고 쓸 수 있는 것도 최신 보안기술들이 적용돼 있기 때문이다.

갤럭시S21에서 '녹스 볼트'라는 한층 강화된 하드웨어 보안 칩셋을 선보인 삼성전자는 소프트웨어 쪽에서도 사용자의 사용 데이터를 분석해 보안취약점을 알려주는 인텔리전스 보안으로 서비스를 강화해나갈 전망이다. 구글과 삼성 모두 앱의 사용자 데이터 사용내역을 모니터링하고, 사용자에게 선택권을 주는 방향으로 '개인정보 보호 강화'에 나선 셈이다. 앱이나 운영체제 보안의 취약점이 발견되는 경우에 대비해 퀄컴, 구글, 삼성전자가 전 세계 이통사와 글로벌 네트워크를 구성해 매달 보안 업데이트를 실시하고 있다.

[이승윤 기자 / 홍성용 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]