By LILY HAY NEWMAN, WIRED US

2014년, 페이스북이 왓츠앱을 인수한 후, 많은 사용자가 페이스북과 왓츠앱 간 얼마나 많은 데이터 공유가 이루어질지 궁금해하는 동시에 우려했다. 이번 주, 다수 사용자가 갑작스레 불편한 진실을 겪게 됐다. 새로운 앱 자체 알림으로 왓츠앱이 실제로 2016년, 페이스북과 더 많은 데이터를 공유한 사실이 알려졌기 때문이다.

1월 11일(현지 시각), 왓츠앱은 이용 약관과 개인 정보 보호 정책을 개정했다. 주로 왓츠앱 사용자가 플랫폼 내에서의 소통 과정을 저장하는 방법과 관련된 관행을 확대하기 위한 것이다. 많은 사용자에게 2월 8일부터 앱의 개인 정보 보호 정책이 변경되며, 앱을 계속 사용하기 위해 변경 사항을 받아들여야만 한다는 내용의 팝업 알림이 표시됐다. 개인 정보 보호 정책 변경의 일환으로 왓츠앱은 페이스북과의 특정 데이터 공유를 해제하는 관행을 설명하는 조항을 삭제했다. 기존 정책에는 “기존 왓츠앱 사용자라면, 사용자의 페이스북 광고와 제품 사용 경험 개선을 위해 왓츠앱 계정 정보를 페이스북과 공유하지 않도록 선택할 수 있다”라고 명시됐다.

일부 언론 기관과 혼란을 느낀 왓츠앱 사용자가 개인 정보 정책 변화 내용을 두고 마침내 왓츠앱이 선을 넘어 다른 대안 없이 데이터 공유를 요청한다고 추측하는 것은 이해할 수 있는 일이다. 그러나 실제로 왓츠앱은 개인 정보 보호 정책 조항 삭제는 단순히 왓츠앱이 이제 20억 명이 넘는 사용자 절대다수를 위해 2016년부터 페이스북과 데이터를 공유한 관행을 반영할 뿐이라고 주장한다.

2016년 8월, 왓츠앱이 대대적으로 개정한 개인 정보 보호 정책을 시행하면서 페이스북과 사용자 정보와 메타데이터를 공유하기 시작했다. 동시에 왓츠앱은 사용자 10억 명에게 30일간 페이스북과의 정보 공유 사항에서 최소한 일부 항목을 제거할 수 있는 기능을 제공했다. 주어진 기간에 데이터 공유 선택을 제거했다면, 왓츠앱은 계속 사용자가 선택하지 않은 항목을 페이스북에 공유하지 않는다. 데이터 정보 공유 사항 선택 기능이 앱 설정에서 사라진 지는 오래됐지만, 설정의 ‘계정 정보 요청(Request account info)’ 기능을 통해 데이터 공유 항목 선택을 제거했는지 확인할 수 있다.

그러나 2016년부터 왓츠앱 사용자가 10억 명 이상 증가했다. 이들은 데이터 정보 공유 항목 제거 선택 기능을 사용할 수 없어, 지금까지 계속 페이스북에 왓츠앱 계정 정보를 공유해야 했다. 왓츠앱은 와이어드에 이번 주의 개인 정보 보호 정책 변경은 실제로 페이스북과의 데이터 공유 관련, 왓츠앱의 기존 관행이나 행동에는 영향을 미치지 않는다고 주장했다.

1월 11일, 왓츠앱은 “이번에 변경된 왓츠앱의 이용 약관과 개인 정보 보호 정책은 왓츠엡이 사용자 데이터를 처리한 방법과 개인 정보 보호를 위한 왓츠앱의 헌신과 관련, 더 구체적인 정보를 제공한다. 페이스북의 계열사인 만큼 왓츠앱은 페이스북과 정보를 공유해, 페이스북의 자매 앱과 제품 전반에 걸친 사용 경험과 통합 서비스를 제공한다”라고 작성했다.

“페이스북이 만든 모든 제품은 믿지 않는다.”
에반 그리어, 파이트 포 더 퓨처

그러나 왓츠앱의 발표 내용에는 최대 기능인 최종 암호화에 미치는 영향을 전혀 언급하지 않았다. 왓츠앱에서 주고받는 메시지와 사진, 그리고 기타 콘텐츠는 콘텐츠를 올린 사용자와 이를 직접 공유하기로 선택한 사용자의 스마트폰에서만 볼 수 있다. 왓츠앱과 페이스북 자체는 사용자의 커뮤니케이션에 접근할 수 없다. 사실, 페이스북 CEO 마크 저커버그는 페이스북 계열사의 다른 커뮤니케이션 플랫폼을 하나로 통합하기 위한 계획의 일환으로 최종 암호화 기능을 확대 제공하겠다는 약속을 반복했다. 그러나 이는 왓츠앱이 사용자의 앱 사용 활동과 관련, 매우 많은 양의 데이터를 수집하고 공유하지 않는다는 뜻은 아니다. 왓츠앱은 “서비스 운영과 제공, 개선, 이해도 향상, 맞춤 제공, 지원 및 홍보 목적으로” 사용자 정보를 수집한다고 주장한다.

왓츠앱의 주장이 실질적으로 의미하는 바는 왓츠앱이 사용자 휴대폰 번호와 왓츠앱 사용 시간 및 빈도, 다른 사용자와의 소통 방식, 기기 식별 정보와 같은 계정 정보와 함께 IP 주소와 운영 체제, 상세 검색 이력, 배터리 상태, 앱 버전, 모바일 네트워크, 언어와 시간대 등 기타 기기 상세 정보 등 계정 정보를 인텔, 페이스북과 상당수 공유한다. 거래 및 결제 데이터, 쿠키, 위치 정보도 사용자가 왓츠앱에 처음 허가를 부여한 것에 따라 공유하는 것이 합당하다.

존스홉킨스대학교 암호 전문가 매튜 그린(Matthew Green) 박사는 “왓츠앱은 사용자 메시지 콘텐츠의 개인 정보 보호 측면에서 훌륭하다. 그러나 그 외의 모든 사용자 활동 관련 개인 정보에는 누구나 접근할 수 있는 듯하다”라고 말했다.

2014년, 페이스북은 왓츠앱을 인수할 당시 왓츠앱과 페이스북의 채팅 플랫폼인 메신저는 페이스북과 ‘독립된’ 제품으로 운영돼야 한다는 점에 항상 주목했다. 페이스북과의 통합으로 서서히 변한 것은 내부에서도 논란의 여지가 있다. 이 때문에 2017년 말과 2018년, 왓츠앱 공동 창립자 브라이언 액튼(Brian Acton)과 얀 쿰(Jan Koum)이 왓츠앱을 떠나게 된 것으로 보인다. 액튼은 왓츠앱에서 퇴사하고 불과 몇 달 뒤, 비영리 단체인 시그널 파운데이션(Signal Foundation)을 공동 창립했다. 시그널 파운데이션은 많은 메시지 앱 중, 왓츠앱과 보안 메시지 앱 시그널이 최종 암호화 기능을 구축하기 위해 사용하는 오픈소스 시그널 프로토콜(Signal Protocol)을 유지하고 개발한다.

액튼은 2019년도 와이어드25(WIRED25) 콘퍼런스에 참석해, “오늘날, 개인 정보 보호는 갈수록 중요한 논의 사항이 되고 있다. 많은 이가 개인 정보 보호에 의문을 제기하며, 서비스 약관에 보안과 개인 정보 보호가 수립되기를 바란다”라고 말했다.

이번 주에 이루어진 왓츠앱의 개인 정보 보호 정책 개정 사항은 실제로 왓츠앱의 행동을 변경하지 않는다. 그러나 다수 사용자가 왓츠앱이 오랜 시간 제공한 것으로 알려진 정보 공유 선택 해제 기능이 실제로는 존재하지 않았다고 생각할 수 있다. 일부 사용자가 동의하지 않고, 우려를 표한 데이터 공유 수준도 이미 오래전에 사라졌다. 페이스북이 2010년대 중, 대부분의 기간에 왓츠앱을 소유한 사실을 고려하면, 일부 사용자에게 왓츠앱의 이번 개인 정보 보호 정책 관련 해명은 단순히 불가피한 일이라고 추측하고 취한 행동으로 보일 수 있다.

디지털 권리 단체 파이트 포 더 퓨처(Fight for the Future)의 부총괄 에반 그리어(Evan Greer)는 “페이스북이 만든 모든 제품은 믿지 않는다. 페이스북의 사업 모델이 감시히기 때문이다. 이를 잊어서는 안 된다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
WhatsApp Has Shared Your Data With Facebook for Years, Actually