스마트폰에 설치된 모든 모바일 기가의 활동과 앱이 공유하는 데이터 종류, 데이터 공유 대상 등을 추적하는 일은 기본적으로 불가능한 일이다. 이 때문에 애플과 구글은 지난 2년간 자사 앱스토어에 프라이버시 정보를 제공하고자 영양소 정보와 같은 라벨을 추가하여 사용자가 앱의 행동과 앱이 공유하는 정보 종류를 이해할 통찰력을 어느 정도 제공한다. 하지만 사용자 프라이버시 강화라는 취지로 도입된 투명성 툴은 앱 개발자의 자가 보고 정보를 기반으로 한다. 게다가 구글 플레이의 데이터 안전 정보에 초점을 맞춘 어느 한 연구 논문은 앱 개발자가 제공하는 상세 정보가 종종 부정확하다는 점을 시사했다.
소프트웨어 전문 비영리단체인 모질라(Mozilla)는 구글 플레이의 다운로드 횟수 상위 40개 앱의 데이터 안전 정보를 조사한 뒤 프라이버시 공개 수준을 ‘심각함’, ‘개선 필요’, ‘양호함’으로 분류하여 평가했다. 평가는 데이터 안전 정보와 앱 자체 프라이버시 정책 정보와의 일치함 혹은 불일치함을 기준으로 평가했다. 모질라가 조사한 앱 40개 중 페이스북, 마인크래프트 등 16개 앱은 데이터 안전 정보 공개 수준 최하 등급을 받았다. 15개 앱은 중간 등급으로 평가받았다. 그중에는 메타 소유 앱인 인스타그램과 왓츠앱, 구글 소유 앱인 유튜브, 구글 맵, 지메일 등이 포함되었다. 최고 등급을 받은 앱은 구글 플레이 게임과 캔디 크러쉬 사가를 포함하여 총 6개이다.
모질라 프로젝트 책이맞 젠 칼트라이더(Jen Caltrider)는 “트위터나 틱톡 앱 페이지 접속 후 데이터 안전을 클릭하면, 기업의 ‘외부 기관과 데이터를 공유하지 않는다’라는 선언이 명시된 것을 볼 수 있다. 말이 안 되는 부분이다. 앱 사용 즉시 일부 정보가 외부로 유출된다는 사실을 알고 있기 때문이다”라며, “프라이버시 연구원의 눈으로 보았을 때 앱 개발자가 안내하는 바는 사용자가 제대로 정보를 파악하여 의사 결정을 하는 데 도움이 되지 않는다. 게다가 일반 사용자가 데이터 안전 정보를 읽을 때, 십중팔구 보안 문제를 잘못 이해할 수도 있다”라고 말했다.
[사진=Freepik]
구글은 구글 플레이에 앱을 제출하는 모든 앱 개발자에게 데이터 안전 양식 완성을 의무화한다. 그 이유는 수월한 앱 배포를 돕는 앱스토어가 아닌 개발자가 종종 직접 개발한 앱의 데이터 관리 방식을 다루고, 다른 기관과 상호작용하기 때문이다.
구글은 모질라 연구팀에 “개발자가 데이터 안전 양식에 입력한 정보가 정확하지 않다는 사실과 정책 위반 사항에 해당한다는 사실을 발견하는 즉시 개발자에게 정보를 수정하여 규정을 준수하도록 요청할 것이다. 규정을 준수하지 않는 앱은 강제 조치 시행 대상이다”라고 안내했다. 구글은 와이어드의 데이터 안전 정보가 정확하지 않은 앱에 시행할 강제 조치의 본질이나 강제 조치 방식 문의에 답변하지 않았다.
그러나 구글은 모질라 연구팀의 평가 결과가 사실이 아니라고 반박했다. 구글은 공식 성명을 통해 “모질라의 보고서는 다양한 제품과 서비스를 다룰 의도로 마련된 프라이버시 정책을 사용자에게 특정 앱이 수집하는 데이터 정보를 제공하는 개인 데이터 안전 라벨과 결합했다. 모질라의 모호한 구글 플레이 제출 앱 등급 평가 기준은 평가 방식의 결함과 기본 정보 부재를 고려하면, 라벨 정보 안전성 측정에 도움이 되지 않거나 정확한 정보를 제공하지 않는다”라고 발표했다.
다시 말해, 구글은 모질라 연구팀이 조사한 앱의 프라이버시 정책 범위를 잘못 이해하거나 전체적으로 잘못된 정보를 제공한다고 주장한다. 그러나 모질라 연구팀은 연구 분석 당시 확인한 프라이버시 정책 모두 각각의 앱 개발사가 구글 플레이에 제공한 앱과 같다고 설명했다. 각각의 앱 페이지에 명시된 프라이버시 정책을 문제의 앱에 적용하여 평가했음을 시사한다.
칼트라이더는 “구글의 답변은 바로 모질라 연구팀이 강조한 문제이다. 앱 개발자가 데이터 안전 섹션에서 자가 보고를 기반으로 제공하는 정보 중 소비자가 신뢰하고 의존해야 할 정보가 앱 페이지에 명시된 프라이버시 정책과 다를 수 있는가? 궁극적으로 모질라의 연구 목표는 구글이 소비자에게 프라이버시와 관련하여 제대로 된 정보를 안내받고 결정하도록 도움을 주는 것이다. 바로 구글의 자체 데이터 안전 정보 개선과 함께 시작할 수 있는 부분이다”라고 설명했다.
모질라 연구팀의 보고서는 구글의 현재 데이터 안전 양식이 개발자의 앱 실행 방식 및 사용자 데이터 공유 정보를 누락할 수 있는 허점과 기회가 발생하는 방법도 설명했다. 예를 들어, 데이터 안전 양식은 앱 개발자가 ‘서비스 제공 업체’를 위해 ‘특정 법률 목적’에 따라 데이터를 공유하도록 허용하는 포괄적인 예외 조항을 명시했다. 연구팀은 구글이 사용한 ‘수집’과 ‘공유’라는 단어의 의미가 협소하다는 사실을 확인했다. 사용자가 데이터 수집, 공유 행위라고 생각할 수 있는 활동을 개발자가 보고할 필요가 없다는 의미이다. 게다가 연구팀은 구글이 앱 개발자에게 정보를 익명화하면, 데이터 수집 사항을 공개하도록 요구하지 않는다. 데이터의 진정한 익명화 가능성과 데이터 익명화 도중 앱 개발자가 긴 기록 추적 시 실수를 저지르거나 결함이 있는 제도를 이용했을 가능성 논쟁 때문에 주목할 만한 사항이다.
구글과 모질라 연구팀은 구글 플레이의 데이터 안전 메커니즘이 여전히 새로운 기능이라는 점에 주목한다. 연구팀은 데이터 안전 라벨이 사용자에게 유용한 지표가 되도록 개선할 수 있다고 말한다. 다만, 연구팀은 시급한 개혁이 없다면, 현재 제공하는 데이터 안전 정보가 사용자에게 앱에서 발생하는 일의 프라이버시 정보를 부정확하게 안내하면서 도움을 주기보다는 피해를 준다고 지적했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202303/4597_6050_3236.jpg)
뉴스레터 신청