2018년 8월, 중국 기업 바이트댄스(ByteDance)가 스타트업 Mucial.ly를 인수해, 다른 앱과 결합했다. 그 결과, 널리 인기를 얻은 짧은 영상 공유 앱 ‘틱톡’이 탄생했다. 현재 틱톡은 전 세계 다운로드 횟수가 가장 많은 앱 중 하나가 되었다.
2021년 현재 틱톡 사용자 수는 10억 명으로, 스냅챗과 트위터 사용자를 합친 것보다 두 배 더 많다. 또, 틱톡 스타는 틱톡에서 연간 최대 500만 달러를 벌어들인다. 그러나 틱톡의 급격한 상승세는 규제와 반독점 감시 원인이 되기도 했다. 틱톡은 강력한 추천 알고리즘을 통한 영향력 행사 능력은 물론이고, 관리와 콘텐츠 문제로 비판을 받았다.
틱톡 전체 사용자 중 50%가량이 16~24세이며, 일부 사용자는 16세 미만이다. 2019년, 미국 연방거래위원회(FTC)는 아동 온라인 프라이버시 보호 법률(Children's Online Privacy Protection Act)을 위반하고 13세 미만 아동 정보를 수집한 것을 두고 바이트댄스에 과징금 570만 달러를 부과했다. 영국 당국도 FTC와 비슷한 문제로 틱톡을 조사했다. 현재 틱톡은 16세 미만 아동의 계정 프로필을 위한 아동 전용 모드에 프라이버시 모드를 기본값으로 설정한다.
또, 틱톡은 바이트댄스가 중국 기업이라는 점을 바탕으로 비판 여론을 직면했다. 2020년, 인도 정부가 틱톡을 금지했다. 도널드 트럼프 전 대통령도 틱톡 사용을 법으로 금지했으나 이후 조 바이든 대통령이 틱톡 금지를 번복했다. 틱톡은 중국 정부의 사용자 데이터 접근 가능성 의혹을 부인한다.
틱톡은 페이스북, 인스타그램 등과 마찬가지로 광고를 기반으로 형성됐으며, 자체 추천 알고리즘과 함께 사용자 데이터를 다량으로 요구한다. 그렇다면, 틱톡이 지금까지 사용자에게서 수집한 정보와 추적 방법, 틱톡의 사용자 추적 행위를 막을 방법은 무엇일까?
[사진=Unsplash]
틱톡이 알고 있는 사용자 정보
틱톡은 사용자가 로그인하지 않더라도 쿠키와 여러 트래커를 통해 사용자가 사이트에 접속하는 즉시 정보를 수집할 수 있다. 사용자가 한 번 계정을 생성하면, 틱톡은 시청한 영상을 기반으로 활동과 선호도를 수집한다.
틱톡은 사용자가 사용하는 기기와 위치, IP 주소, 검색 이력, 사용자 메시지 콘텐츠, 시청한 영상과 시청 시간 등을 알아낸다. 또, 기기 식별번호 정보도 수집해 광고 기업과의 상호작용을 추적하기도 한다. 틱톡은 수집한 정보를 바탕으로 사용자 연령대와 성별, 관심사를 추론한다. 틱톡은 안면 인식 정보와 음성 지문 등 미국에서 생체 정보를 수집할 수도 있다.
보안 기업 센티넬원(SentinelOne)의 최고 보안 자문 관리자인 모건 라이트(Morgan Wright)의 설명에 따르면, 사용자 정보는 틱톡과 광고 기업에 매우 귀중하다. 라이트는 “사용자가 영상을 끝까지 보고 ‘좋아요’를 누른다면, 틱톡이 해당 정보를 기반으로 맞춤형 광고를 제공한다. 다른 플랫폼에서는 이처럼 정확하게 감정적인 요소까지 정확하게 포착하는 것은 어렵다”라고 말했다.
틱톡의 사용자 추적법
반면, 틱톡의 프라이버시 정책은 분명하다. 사용자가 로그인하면, 틱톡은 이메일 주소나 연락처, 생년월일 정보 입력을 요청한다. 사용자가 최종 게재나 저장을 하지 않더라도 콘텐츠와 관련 메타데이터까지 수집한다. 그다음에는 콘텐츠 게재 시기와 장소, 촬영자 정보를 수집한다. 페이스북으로 로그인할 때는 페이스북과 데이터를 공유한다.
틱톡은 사용자가 콘텐츠를 다른 앱에서 틱톡에 혹은 틱톡에서 다른 앱으로 복사 및 붙여넣기 할 때, 기기 클립보드에서 텍스트와 사진, 영상을 수집한다고 밝혔다.
데이터 보호 컨설팅 기업 미스 IG 긱(Miss IG Geek) 창립자인 로웨나 필딩(Rowenna Fielding)은 틱톡 프라이버시 정책에는 틱톡이 수집하는 다량의 데이터와 관련된 여러 사항이 포함됐다고 설명한다. 필딩은 “틱톡은 다른 SNS 기업보다 사용자 추적 행위와 데이터 수집 관련 사항을 더 자세히 설명한다. 그러나 사용자 추적과 데이터 수집이 이루어지는 방법 상당수를 숨기기 때문에 어떤 정보가 어느 기관으로 전달되는지 알기 어렵다”라고 말했다.
이어, 필딩은 예시로 “틱톡 프라이버시 정책에는 틱톡 아일랜드와 영국 모두 합동 관리가 이루어지지만, 이후 데이터를 나머지 기업 집단에 공유할 수 있다고 명시했다. 그러나 어떤 데이터를 공유하는지, 그리고 공유하는 이유는 무엇인지 자세히 설명하지 않았다”라고 덧붙였다.
필딩은 틱톡이 어떤 데이터를 어느 기관에 공유하는지 구체적으로 밝히지 않아 사실상 어느 기관에나 모든 정보가 공유되리라 추측해야 한다고 주장한다. 심지어 틱톡에 공유하지 않은 프로필 정보와 생성한 콘텐츠와 클립보드 콘텐츠, 입력 패턴까지도 틱톡이 다른 기관에 공유하는 대상이 될 수도 있다. 필딩은 “틱톡이 무엇이든 모든 기관에 공유하리라 가정해야 하는 이유는 외부에 공유하는 데이터가 필터와 추천 개발에 도움이 되기 때문이다. 그러나 행동 프로파일링과 타겟팅 등 악의적인 용도로 사용자 데이터를 공유하는 사례도 많다. 수익성을 목적으로 하는 사업체가 수익 확보 목적으로 사용자 데이터를 사용하지 않는 것은 극도로 기이한 일이다”라고 강조했다.
보안 기업 푸르프포인트(Proofpoint)의 셰로드 디그리포(Sherrod DeGrippo) 위협 연구 및 감지 부사장의 설명에 따르면, 틱톡은 여러 가지 사항을 두고 사용자 기기 접근 권한 허용 요청을 하기도 한다. 영상 앱의 카메라, 마이크 접근 권한 요청은 일반적이지만, 프라이버시 허용은 틱톡이 GPS, 사용자가 실행하는 다른 앱 등을 함께 사용해 위치와 관련된 상세 정보도 확보하도록 한다. 프라이버시 허용은 사용자가 승인 여부를 선택할 수 있으나 모두 거부한다면, 틱톡 기능 사용이 제한된다.
틱톡 알고리즘 작동 방식
틱톡 알고리즘은 추천 피드 페이지에 등장할 영상을 판단하는 앱의 추천 시스템을 공급한다. 사용자마다 고유한 피드가 등장한다. 틱톡은 피드 제공을 관리하는 요소에 사용자가 과거 ‘좋아요’를 누르거나 공유한 영상, 댓글을 게재한 영상, 해시태그와 캡션 등 영상 데이터, 사용자 기기와 계정 설정 등이 포함된다고 밝혔다.
틱톡은 사용자가 시청하는 영상과 시청 이유를 파악하기 위한 기법을 기반으로 머신러닝을 활용한다. 틱톡의 목표는 사용자가 최대한 오래 플랫폼에 접속하고, 사용자가 시청한 콘텐츠 데이터를 더 많이 수집하는 것이다. 보안 기업 이셋(ESET)의 사이버 보안 전문가 제이크 무어(Jake Moore)는 “사용자가 틱톡 플랫폼을 사용할 때마다 새로운 데이터로 알고리즘을 업데이트하게 된다. 따라서 틱톡이 사용자를 더 정확하게 이해하게 된다”라고 설명했다.
틱톡은 사용자가 영상을 재미있다고 판단한 사실과 그 이유, 스포츠나 음악 등 관심사, 사용자 종교, 정치적 성향, 특정 문제와 관련된 우려 사항 등을 확인할 수 있다. 또한, 최근 우울감을 느낀 사실도 알 수 있다. 월스트리트저널의 최신 조사 결과, 틱톡 알고리즘은 사용자의 특정 콘텐츠 시청 시간에 초점을 맞추는 것으로 드러났다. 틱톡 알고리즘은 사용자를 헤어 나올 수 없는 상황으로 몰아넣고는 관리자가 신중한 검토 과정을 제대로 거치지 않은 유해 콘텐츠까지 접하도록 유도할 수도 있다.
틱톡 데이터 수집 막을 프라이버시 설정 방법
틱톡이 수집하는 데이터 상당수는 틱톡의 전체 기능을 사용하고자 한다면 필요하다. 그러나 틱톡의 데이터 수집을 막고 맞춤형 광고를 차단하도록 설정할 수 있다. 맞춤형 광고 수신 설정을 원한다면, ‘나의 정보(Me)’에 접속하여 설정을 선택한다. 그다음 ‘프라이버시와 안전(Privacy and Safety)’ > ‘데이터 개인 맞춤(Personalize and data)’ 순서로 접속하고, ‘Off’를 선택하면 된다.
자신의 데이터를 요청하고, 틱톡이 수집하는 개인 정보를 보려면 ‘프로필(Profile)’에 접속하여 설정을 선택한다. ‘프라이버시’ > ‘데이터 개인 맞춤(Personalize and data)’ > ‘틱톡 데이터 다운로드(Download TikTok Data)’를 선택한다.
틱톡은 사용자 계정을 비공개 상태로 설정해, 직접 승인한 이들만 팔로우하고 자신이 게재한 영상을 보도록 변경하도록 지원한다. 그러나 틱톡은 계정 비공개 설정이 틱톡 기능에 영향을 미친다고 경고한다. 틱톡은 “비공개 계정은 다른 계정이 듀엣(Duet)이나 스티치(Stitch), 영상 다운로드 등을 할 수 없도록 한다”라고 안내했다. 또, 틱톡 프라이버시 설정으로 틱톡에 게재한 영상 시청자를 제한할 수 있다. 혹은 계정 비공개 설정을 원한다면, ‘나의 정보’ > ‘프라이버시’ > ‘비공개 계정 모드 활성화(Turn Private Account On)’를 선택한다.
계정 비공개 설정이 프라이버시 보호를 위해 반드시 택해야 할 첫 번째 단계이다. 그러나 법무법인 프리츠(Freeths)의 기술·프라이버시 전문가 윌 리치몬드-코간(Will Richmond-Coggan)은 계정 비공개 설정이 틱톡의 정보 수집을 막는 것이 아니라 타인과의 개인 정보 공유를 막을 뿐이라고 말한다.
자신의 계정 정보를 페이스북, 구글 등 다른 SNS 플랫폼 계정과 연동하지 않는 것도 훌륭한 프라이버시 보호 관행이다. 리치몬드-코간은 “이 외에도 상당수 데이터 보호 기능은 사용자 기기에서의 허가 설정에 대한 신중한 구성으로 보장할 수 있다. 그러나 틱톡과의 데이터 공유 관행을 없애지 않고, 틱톡에서 사용할 수 있는 기능을 제한하기만 한다”라고 설명했다. 아이폰 사용자라면, 애플의 앱 추적 투명성(ATT) 기능을 이용해 틱톡의 사용자 활동을 제한할 수 있다.
더 전반적인 제한을 위해 무어는 틱톡 로그인 시 위치 정보를 숨길 수 있는 VPN과 함께 다른 이름을 사용하여 연락처 정보를 숨기는 고유 이메일 주소를 사용할 것을 추천한다. 그는 “그러나 틱톡과 같은 플랫폼은 최대한 많은 정보를 지나치게 통제하기 때문에 프라이버시를 우려한다면, 틱톡 계정의 필요성에 의문을 제기하게 될 것이다”라고 언급했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202110/3493_4599_5940.jpg)
뉴스레터 신청