• 삼성·구글 vs 애플의 보안 한판 대결, 개인정보기반 맞춤형 광고업체들 비상

    2021년 06월 제 129호

  • 검색엔진에 제주도를 검색하고 나서 페이스북을 열었더니 뉴스피드 사이에 제주도 항공권 광고가 뜬다. 스마트폰에서 이뤄지는 내 모든 동작들을 앱들이 쳐다보고 있는 오싹한 느낌이 든다. 실제로 지난해 ‘국내 모바일 앱 이용자 정보 수집 현황 및 법적 쟁점’ 논문의 조사를 보면, 연구팀은 사람들이 스마트폰에 설치하는 유·무료 앱 886개를 분석했는데 그중 무려 92.6%인 820개 앱이 스마트폰에서 오가는 정보를 수집해 구글과 페이스북에 전송하고 있었다.

    애플이 이달 초 발표한 보고서에서도 광고주들은 맞춤형 광고로 소비자의 일상에 침투하기 위해 1000분의 1초 단위로 광고 ‘경매’의 과정을 거치고 있는 것으로 나타났다. 이때 사용자의 동의나 허락 없이 사적인 데이터가 수집되는 게 비일비재하다는 것이다. 데이터브로커들은 전 세계 7억 명의 소비자 데이터를 수집하고 있고, 최대 5000가지 성향이 담긴 소비자 프로필을 계속해서 만들고 있다.

    이처럼 소비자의 동의 없는 개인정보의 광고 활용과 유출 등 문제가 심각해지자 구글·삼성전자와 애플은 문제 해결을 위해 애플리케이션(앱)을 비롯해 스마트폰 소프트웨어와 하드웨어의 지속적 업데이트를 통해 ‘보안 강화’에 박차를 가하고 있다.
     기사의 0번째 이미지
    ▶보안 공들이는 갤럭시·아이폰…

    SW 업데이트에 하드웨어 개발도


    애플은 지난 4월부터 iOS 14.5 업데이트로 앱 추적 투명성(ATT, App Tracking Transparency) 정책을 시행하고 있다. 애플은 “(개발사들이) 지레짐작하지 말고, 사용자들이 개인정보를 공유하고 싶은지 매번 확인해야 한다”는 스티브 잡스의 말을 인용하면서 정책 시행 배경을 설명했다. 업데이트의 핵심은 아이폰 이용자들의 동의를 얻은 앱에 한해서만 자신의 개인정보를 제공할 수 있게 만드는 것이다. 애플은 업데이트를 통해 사용자가 추적을 허용하기 전까지 모든 기기의 광고 식별자 값을 0으로 만들어 사용자를 추적할 수 없게 한다. 즉 앱 개발사는 사용자에게 추적 권한을 요청해서 동의를 얻은 경우에만 맞춤형 광고를 할 수 있게 하는 것이다.

    앱 사용 중 동의 요청을 어느 타이밍에 할지는 개발사 재량인데, 동의 요청 창에는 ‘앱이 다른 회사의 앱과 웹사이트에 걸친 사용자의 활동을 추적하도록 허용하시겠습니까?’라는 질문이 의무적으로 포함된다. 이용자 입장에서는 해당 문구를 보고, ‘앱에 추적 금지 요청’ 또는 ‘허용’을 누르면 된다. 사용자가 추적 금지 요청을 누를 경우 앱에 광고식별자 제공이 중단되고, 애플은 앱 개발사에 이용자가 추적을 허용하지 않았다는 점을 통보하는 형태다.

    아이폰 이용자는 iOS 14.5 업데이트 후 아이폰의 ‘설정-개인정보보호-추적’ 탭에서 모든 앱의 추적 기능을 한번에 일괄차단하거나, 원하는 앱에 대해서만 정보제공 여부를 켜고 끄는 것도 가능해진다.

    구글도 애플의 앱 추적 투명성 정책 시행과 유사한 정책을 시행할 예정이다. 구글은 내년 2분기부터 앱 개발자들에게 앱에서 수집하는 이용자들의 개인정보를 반드시 고지하도록 정책을 시행한다. 이를 통해 이용자들은 자신의 이름과 이메일, 위치, 연락처 등 정보가 휴대폰에서 수집되는지 단번에 알 수 있게 됐다.

    구글은 지난 5월 초 안드로이드 개발자 블로그를 통해 자사 앱 마켓인 구글플레이에 ‘안전 섹션(Safety Section)’을 도입한다고 발표했다. 앱 개발자들은 구글플레이의 앱 정보 설명에 이용자 이름과 이메일 등 앱이 수집하는 개인정보의 종류에 대해 공유해야 한다. 또 앱 이용자의 미디어 파일, 연락처, 위치 등 정보를 휴대폰에서 수집하고 있는지 여부 등도 밝혀야 한다. 개인정보 데이터를 앱이 어떤 방식으로 접근·수집·활용하고 있는지를 설명해야한다는 얘기다. 구글은 “이용자들은 개인정보가 어떻게 수집되고 이용되는지를 이해하고 싶어 한다. 이번 정책은 플랫폼 사업자를 넘어 앱 개발사에게도 개인정보에 대한 보호 의무와 책임을 지운 것이라고 보면 된다”고 밝혔다.

    구체적으로 구글은 앱 개발자들에게 ▲앱에 데이터 암호화 등의 보안 기술이 적용돼 있는지 여부 ▲앱이 구글의 ‘어린이와 가족을 위한 정책’을 준수하고 있는지 여부 ▲앱 구동을 위해 필수적인 데이터가 무엇이고, 해당 데이터의 제공 여부에 대해 이용자가 선택할 수 있는지 여부 ▲이용자가 제공한 데이터를 개발자에게 삭제 요청할 수 있는지 여부 ▲제3기관에 의해 ‘세이프티 섹션’ 준수가 인증·승인됐는지 여부 등을 이용자들에게 공유하도록 할 예정이다.

    예를 들어 사주풀이 앱의 경우 이름과 생년월일을 입력받고 있는데, 해당 앱에서 입력된 자신의 이름과 생년월일을 어떤 방식으로 활용하고 있는지를 앱 설명에 기입해야 하는 것이다. 중고거래 플랫폼에서 중고거래를 위해 자신의 위치를 인증했을 때, 해당 위치정보를 서비스 내에서 어떤 방식으로 사용하고 있는지 거래 플랫폼 스스로 고지해야 한다는 얘기다.

     기사의 1번째 이미지


    개발자들이 정확한 정보를 제공하는지의 여부를 파악하기 위해 구글은 자사 기술로 지속적인 확인 작업을 거칠 예정이다. 구글 측은 “구글은 앱이 개인정보에 접근하는 기능이 있는지를 자동 감시해 개발자의 답변과 자동으로 대조할 수 있는 기능을 구글플레이에 탑재하고, 안전 섹션의 정확도를 제3자 기관을 통해 인증할 수 있도록 관련 업무도 진행 중”이라고 설명했다. 구글은 오는 하반기 자세한 지침을 발표하고, 내년 2분기께 정책을 시행할 예정이다.

    한편 구글의 모바일 운영체제 안드로이드 자체에도 애플의 ‘광고식별자 값’과 유사한 개념이 있다. 이를 ‘광고 ID’라고 한다. 구글은 안드로이드 개발자들이 광고 ID API를 설계할 때 ‘광고 식별자 값은 사용자의 명시적인 동의가 있어야만 광고 목적으로 활용할 수 있다’는 내용을 API 사용규칙으로 명시해뒀다. 따라서 만일 안드로이드 폰 이용자가 ‘광고 개인 최적화 선택 해제’를 설정했는데도 앱에서 광고 ID를 활용해 이용자 프로필을 만들거나 맞춤광고로 이용자를 타기팅할 경우, 구글은 해당 앱을 구글플레이에서 내리거나 개발자 계정을 이용 정지시킬 수 있다.

    안드로이드 폰 이용자들이 기기에서 광고를 선택하지 않도록 설정하는 방법도 쉽다. 안드로이드폰에서 ‘설정’ 앱을 열면 ‘Google(Google 서비스)’ 탭을 찾을 수 있다. 이를 클릭해 ‘서비스’ 메뉴의 ‘광고’를 선택하면 ‘광고 개인 최적화 선택 해제’ 옵션이 나온다. 옵션은 켜거나 끌 수 있다.

    이 밖에 삼성의 갤럭시 폰도 보안을 위한 기능이 많다. 갤럭시 폰에서 ‘설정→생체 인식 및 보안→Google Play 프로텍트’ 순으로 들어가면, 앱과 기기에 유해한 동작이 있는지 즉각 검사해볼 수 있다. 개인정보와 관련해선 ‘설정-개인정보 보호’에 삼성 메뉴의 ‘맞춤형 서비스’에서 광고나 마케팅 자료를 받을 수 있도록 데이터를 넘길지를 이용자가 직접 켜거나 끌 수 있도록 하는 옵션이 있다.

    여기에 삼성전자는 지난 4월 스마트폰에서 웹서핑을 할 때 사용하는 ‘삼성 인터넷’ 앱에 보안 기능을 추가 업데이트했다. 스마트 추적 방지 기능 강화(Smart Anti Tracking 3.0)를 비롯한 기능 업데이트가 특징이다. 이 메뉴에서 개인 데이터 추적 차단을 설정할 수 있다. 삼성 인터넷 앱에서 ‘추가 기능’ 버튼을 누르면, 광고 차단 기능을 사용할 수 있다. 광고차단 기능을 포함한 추천 앱 9개 중에서 소비자가 원하는 앱을 선택해 설치하고 사용하면 된다.

     기사의 2번째 이미지

    삼성의 보안 메시지 서비스 ‘프라이빗 쉐어’


    애플이 하드웨어와 운영체제를 함께 만들어 보안이 강한 것으로 유명하지만, 삼성전자도 2015년 본격 출시한 ‘녹스(Knox)’ 보안 플랫폼을 층층이 강화해 놨다. 2015년에는 ‘B2B 보안 플랫폼’ 브랜드로 사용했지만 지금은 갤럭시 스마트폰의 모든 층위(레이어)별로 삼성전자가 제공하는 보안환경을 통칭하는 의미로 사용한다. 웨어러블의 타이젠 OS, 가전 부문의 TV에도 녹스 보안을 적용한다. 보안폴더 기능, 시큐어 와이파이 기능과 같은 솔루션과 삼성패스와 삼성페이를 안심하고 쓸 수 있는 것도 최신 보안기술들이 적용돼 있기 때문이다.

    갤럭시S21에서 ‘녹스 볼트’라는 한층 강화된 하드웨어 보안 칩셋을 선보인 삼성전자는 소프트웨어 쪽에서도 사용자의 사용 데이터를 분석해 보안취약점을 알려주는 인텔리전스 보안으로 서비스를 강화해나갈 전망이다. 구글과 삼성 모두 앱의 사용자 데이터 사용내역을 모니터링하고, 사용자에게 선택권을 주는 방향으로 ‘개인정보 보호 강화’에 나선 셈이다. 앱이나 운영체제 보안의 취약점이 발견되는 경우에 대비해 퀄컴, 구글, 삼성전자가 전 세계 이통사와 글로벌 네트워크를 구성해 매달 보안 업데이트를 실시하고 있다. ▶“메시지도 안전하게”

    갤럭시 ‘프라이빗 쉐어’ 애플 ‘아이메시지’


    애플 아이폰의 기본 메시지 서비스인 ‘아이메시지’와 ‘페이스타임’도 뛰어난 보안 성능으로 알려져 있다. 발신 순간부터 수신 때까지 모든 과정에 암호화를 사용하도록 설계했기 때문에 기기 간에 데이터가 전송되는 동안 대화 내용을 해독할 수 없다. 특히 아이메시지를 통해 전송한 사진이나 비디오 같은 첨부파일을 보내는 사람과 받는 사람만 접근할 수 있도록 암호화한다는 얘기다. 아이폰, 아이패드, 맥도 아이메시지가 동기화되고 해외 사용자와도 메시지를 그냥 문자 보내듯 쉽게 주고받을 수 있다. 글로벌 회사에서 아이폰을 선호하는 이유 중 하나다.

    삼성전자도 이번 갤럭시S21에서 블록체인 기반으로 ‘프라이빗 쉐어’라는 신개념 보안 메시지 서비스를 선보였다. 갤럭시S21 이용자뿐만 아니라 원 UI 3.1을 업데이트하면 다른 갤럭시 스마트폰에서도 앱을 내려받아 해당 기능을 이용할 수 있다. 프라이빗 쉐어는 가족사진이나 부동산 문서처럼 중요 문서를 받은 사람이 ‘재공유’를 쉽게 하지 못하도록 한 점이 특징이다. 예를 들어 정부에서 공식 대책 관련 내용을 배포하면서 수신자들이 함부로 복사해서 붙여넣기를 하지 못하도록 사용할 수도 있다. 스마트폰 화면 자체를 다른 카메라로 찍으면 어쩔 수 없지만 급격한 확산은 막아주는 셈이다. 프라이빗 쉐어는 두 사람 간 블록체인으로 연결되기 때문에 수신자와 발신자 중간에 개입하는 서비스가 없어 보안이 보장된다. 프라이빗 쉐어 앱으로 메시지를 주고받으면 수신자는 화면 캡처나 재공유를 할 수 없고, 열람 이력이 양쪽에 모두 공개된다.

     기사의 3번째 이미지

    애플은 iOS 14.5에서 새 개인정보 보호 기능인 ‘앱 추적 투명성(App Tracking Transparency, ATT)’을 도입했다.
    발신자는 문서파일이나 이미지와 같은 보낸 파일 만료 기간을 1분부터 180일까지 정할 수 있고 언제든지 메시지를 삭제할 수 있다. 추가로 삼성전자는 용량이나 지원파일 수를 늘리고 더 손쉽게 사용할 수 있는 사용자환경 개선작업을 준비 중이다. 갤럭시에서는 원 UI 3.1 업데이트를 통해 사진을 누군가에게 공유하기 전에 촬영한 위치 정보를 포함한 메타 데이터를 삭제할 수도 있다. 애플이 폐쇄적인 애플 앱스토어와 운영체제로 보안 이슈를 원천봉쇄하는 반면, 안드로이드는 열린 생태계에서 다양한 보안 앱들이 서비스되고 있다. 안드로이드 모바일 백신의 대표 선수는 안랩이 출시한 ‘안랩 V3 모바일 시큐리티’다. 무료 앱이지만 바이러스 검사, 실시간 감시처럼 악성코드 차단에 필요한 모든 기능을 포함한다. 사진첩에서 특정 파일이나 폴더에 타인이 접근할 수 없도록 하는 기능이나 특정 앱을 다른 사람이 실행할 수 없도록 잠그는 설정 기능도 있다.

    한편 개방성에 기초한 운영체제인 안드로이드 이용자들의 마지막 보안 걱정을 덜어줄 보안 앱들도 있다.

    안드로이드 모바일 백신의 대표 선수는 안랩이 출시한 ‘안랩 V3 모바일 시큐리티’다. 무료 앱임에도 바이러스 검사, 실시간 감시 등 악성코드 차단에 필요한 모든 기능을 포함하고 있다. 사진첩에서 특정 파일이나 폴더에 타인이 접근할 수 없도록 하는 기능이나 특정 앱을 다른 사람이 실행할 수 없도록 잠그는 설정 기능도 있다.

    ‘맥아피 모바일 시큐리티’는 악성 apk 파일에 대한 실시간 자동 탐지 기능이 뛰어나다. 위치추적, 원격잠금, 원격 카메라 실행 등 도난 방지 기능을 제공하고, 유료로 결제하면 유료 버전에서는 와이파이용 VPN 접속, 웹 서핑 보호 등 기능이 추가 제공된다.

    라온시큐어가 만든 ‘라온 모바일 시큐리티’ 앱도 있다. 이 앱의 ‘보안런처’에 금융 앱이나 보호하고 싶은 앱을 담아 실행하면, 와이파이를 통한 단말해킹이나 화면 캡처를 통한 금융정보 탈취를 예방할 수 있다. ▶광고업계 비상 “빅테크 개인정보

    보호 기능이 광고 수익 줄인다”


    애플에 이어 구글까지 개인정보에 대한 경각심을 키우는 정책을 시행하면서 개인정보수집에 기반한 맞춤형 광고로 사업을 벌여온 페이스북 등 거대광고사업자와 중소사업자 모두 비상이 걸렸다. 페이스북은 “맞춤형 광고가 어려워지면서 저렴한 비용으로 광고를 집행하는 중소 사업자들이 피해를 본다”고 주장했다. 최근 독일광고협회(ZAW)는 페이스북 등 9개 업체를 대표해 독일 연방 카르텔청에 애플을 반독점 혐의로 고소하기도 했다. 애플의 정책으로 앱 개발자의 광고 수익이 최대 60% 이상 감소할 것이라는 게 골자다.

    국내 디지털 광고 시장도 맞춤형 광고 대신 특정 커뮤니티나 관심사 기반 서비스 중심으로 재편될 것이라는 전망이 나온다. 업계 관계자는 “그동안 적당히 개인정보를 임의 수집하며 플랫폼에 묻어가던 업체들은 개인정보 수집과 활용에 대해 일일이 소비자에게 설명을 구하게 됐다. 이 같은 업체들은 개인 특정이 어려워져 모델을 새로 짜야 할 수밖에 없다”며 “호텔 서비스 등에 호텔 관련 광고가 뜨고, 공동구매 네이버카페에 관련 상품 광고가 뜨는 식으로 광고 시장이 바뀔 수 있다”고 지적했다.

    [홍성용 매일경제 디지털테크부 기자]

    [본 기사는 매경LUXMEN 제129호 (2021년 6월) 기사입니다]
    [ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]
매일경제
맨위로