틱톡이 이용자가 이 앱을 이용하다 인터넷 서핑을 하게 될 경우 입력하는 단어를 알아낼 수 있다는 주장이 나와 논란이 벌어지고 있다. 틱톡은 국내 이용자가 18세 이상만 최소 400만 명이 넘는 사회관계망 서비스여서 이런 주장이 주목된다.
뉴욕타임스(NYT)는 22일 구글에서 엔지니어로 일했던 펠릭스 크라우스(Felix Krause)라는 개인정보보호 연구자가 이런 주장을 했다고 보도했다. 틱톡앱을 사용하다가 글이나 광고 속에 포함된 외부 링크를 클릭하면 인터넷을 검색할 수 있는 브라우저(인 앱 브라우저, in-app browser)가 뜨는데 이 브라우저의 보조 코드에 이런 기능이 숨겨져 있는 것을 발견했다고 그는 주장하고 있다.
크라우스는 틱톡이 이 능력을 어떻게 활용하고 있는지는 알 수 없지만 틱톡이 마음만 먹으면 이용자들의 인터넷 이용 습관을 추적할 수 있는 기능을 갖춘 것이어서 우려된다고 주장했다. 사람들이 자신의 휴대전화에서 여러 웹사이트들을 방문하면서 입력하는 신용카드번호와 패스워드 등의 민감한 개인 정보를 빼내는 것은 악성 코드(malware)나 해킹 도구들의 특징이다.
주요 기술기업들이 이런 추적 기술을 새 소프트웨어를 시험할 때 쓸 수도 있지만 주요 상업용 앱에 이를 탑재하는 것은 실제 작동하든 않든 간에 일반적인 것이 아니라고 크라우스는 말했다. 보안 연구가인 제인 맨천 웡(Jane Manchun Wong)은 “크라우스가 발견한 내용에 의하자면 틱톡의 인앱 브라우저가 자판입력 내용(keystroke)을 모니터링하는 방식은 문제다. 이용자들이 앱 외부의 웹사이트에 접속할 때 로그인 정보와 같은 민감한 데이터를 입력할 수 있기 때문”이라고 NYT에 말했다.
중국 인터넷 기업인 바이트댄스가 소유한 틱톡은 성명에서 크라우스의 주장은 “부정확하고 오도된 것”이라고 주장했다. 또 문제로 지적된 기능은 “버그 제거(debugging), 분쟁 조정 그리고 성능 관찰”을 위해 사용된다고 반박했다. 틱톡은 “그의 주장과는 반대로 우리는 이 코드를 통해서 자판 입력 내용이나 입력 글을 수집하지 않는다”고 밝혔다.
통상적으로 앱들은 이용자들이 악성 사이트를 방문하지 않도록 막거나 텍스트 자동 완성 기능을 통해 인터넷 검색을 더 쉽게 하도록 돕기 위해 '인 앱 브라우저'를 사용한다. 그러나 페이스북과 인스타그램이 이용자가 어떤 사이트를 방문했는지, 무엇을 집중적으로 봤는지 그리고 웹사이트 상에서 어떤 버튼을 눌렀는지 등의 데이터를 추적하는데 인 앱 브라우저를 쓰는 반면 틱톡은 한 술 더 떠 이용자가 누르는 문자 하나 하나를 다 추적할 수 있는 코드를 쓴다고 크라우스는 말했다. (크라우스의 이 주장과 관련해 페이스북 모기업인 메타 측은 논평 요청에 응하지 않았다.)
크라우스는 자판입력 내용이 능동적으로 추적되는지 그리고 데이터가 틱톡으로 보내지는지는 확인할 수 없었다고 말했다. 또 애플의 운영체제인 iOS에 대해서만 조사했으며 자판입력 내용에 대한 추적은 인 앱 브라우저에서만 발생한다고 말했다.
하지만 틱톡의 정책 책임자인 마이클 벡커만(Michael Beckerman)은 지난달 CNN과의 인터뷰에서 사기 피해 방지를 목적으로, 자주 입력하는 단어와 같은 이용자들의 패턴을 모니터링한다는 사실은 인정했다. 크라우스씨는 자신이 발견한 기능이 이와 매우 유사하다면서 “문제는 그들이 이런 일을 할 수 있는 기반을 갖추고 있다는 것”이라고 말했다.
AI타임스 정병일 위원 jbi@aitimes.com
