시사

시사 > 전체기사

하루종일 스마트폰 했더니 600개 기업이 내 정보 빼갔다 [이슈&탐사]

[AI 시대, 위태로운 프라이버시] ⑤당신의 하루가 수집되는 방법


오전 7시 ‘알람몬’ 앱이 울렸다. 스마트폰을 열어 정지버튼을 눌렀다. 얼핏 보니 10여 초가 흘렀다. 방에서 알람을 켜고 끄는 이 단순한 행동도 기업들이 심어 놓은 프로그램에 즉각 감지됐다.

분석 프로그램을 가동하자 모바일 앱 광고를 중개하는 탭조이 트래커(추적 프로그램)가 기자 스마트폰에 침투한 흔적이 보였다. 맞춤형 광고를 제공하는 모펍과 더블클릭, 앱 운영사 애드엑스까지 총 4개사가 보낸 84건의 광고성 접근이 발생했다.

알람몬 앱으로 알람을 끄자 발생한 광고성 접근이 빨간색으로 표시돼있다.

기상 후 취침까지 늘 손에 쥔 건 스마트폰이다. 앱으로 대화하고, 업무를 보고, 의식주에 필요한 상품을 주문한다. 대체로 이런 앱 이용은 무료다. 하지만 사실은 공짜가 아니다. 우리는 일상을 공유하는 방식으로 데이터를 지불하고 있다. 업체는 이용자 데이터를 이용해 광고비를 받고, 새로운 서비스를 개발해 수익 창출에 나선다. 이용자 정보를 세분화해 수집할수록 상품 가치는 높아진다.

기업들이 가져가는 사생활 데이터는 어느 정도일까. 기자가 알람을 끄는 짧은 순간 앱은 제3자인 페이스북과 구글에 스마트폰 쿠키 정보를 제공했고, 운영사 애드엑스에 로그 기록을 전송했다. 애드엑스는 32개의 온라인 맞춤형 광고사가 광고 식별자 및 행태정보를 수집하도록 허용하고 있다고 개인정보처리방침에 밝히고 있다. 알람 앱을 실행할 때 생성된 모든 데이터가 자동으로 수집·전송된다. 앱에는 이를 위해 19개의 트래커가 심겨 있었다.

국민일보는 스마트폰을 이용한 하루 일상을 분석해 이용자 데이터가 공유되는 수준을 추적했다. 특정 앱을 이용할 때 생성되는 유저의 데이터가 어떤 기업에 기록·제공되고, 광고성 접근은 얼마나 발생하는지 살펴봤다.

안드로이드 개발자 프로그램 ‘안드로이드 스튜디오’와 패킷 캡쳐 프로그램, 로그 기록을 추적해 광고를 차단하는 ‘애드가드’ 프로그램 등을 활용했다. 하루 18시간, 직장인 생활에 필수적인 앱 중 이용률 상위 35개를 사용하는 것으로 설계했다. 각 앱을 하루 한 번씩만 사용한다고 가정했다.

오전 8시 출근
네이버 지도 앱으로 출근길 버스 정보를 살펴봤다. 즐겨찾기에 등록해둔 회사와 집 주소는 네이버 클라우드에 저장돼 있다. 앱을 켜는 순간 로그 기록이 초 단위로 네이버에 전송됐다.

카카오맵을 켜자 기자의 위치 정보가 21개 업체에 넘어갔다. 위치 정보는 카카오페이에도 전송됐는데, 목적은 맞춤형 서비스 제공이다. 손해보험사와 광고대행사에도 같은 이유로 위치 정보 등 이용기록이 공유됐다. 카카오맵은 비대면 호텔서비스 업체, 레스토랑 예약 관리 업체, 카페 마케팅 플랫폼 업체 등과도 위치정보와 이용기록을 공유한다.

오전 9시 업무 시작
사무실 책상에 앉아 뉴스를 찾아봤다. 네이버 앱 뉴스‧콘텐츠로 이동, 기사 4개를 클릭해 읽는 2분 동안 260개의 광고성 접속이 포착됐다. 어떤 뉴스를 클릭했는지, 해당 페이지에 얼마나 머물렀는지 등의 행동 데이터를 추적하고 광고를 심는 접근이 260개나 됐다는 의미다.

네이버는 앱에서 수집한 데이터를 22개 위탁사에 전송한다. 앱 사용 시 생성되는 유저 기록과 필수로 수집된 유저 개인정보 역시 이들 업체에 제공되고 있다.

오후 12시 산책
삼성헬스 개인정보처리방침의 제3자 제공사 목록

이동 정보는 삼성헬스에 기록되고 있었다. 이 앱은 성별, 생년월일, 키, 몸무게, 걸음수를 모두 수집한다. 이용자가 추가 정보를 입력하면 수면 기록, 활동시간, 섭취한 음식 등도 저장한다. 삼성헬스는 ‘통계작성, 학술연구나 시장조사를 위해 특정 개인을 식별할 수 없는 형태로 가공해 제공하는 경우’ 이런 데이터를 외부에 제공한다고 했다.

추가 서비스인 ‘투게더’를 이용하면 음식 섭취정보, 생리주기, 성관계 여부와 같은 민감 정보까지 수집된다. 민감 정보 수집에 동의하지 않으면 서비스 이용이 불가능하다.

삼성헬스는 민감 정보를 제3자 업체에 주고 활용토록 했다. 일일 걸음수, 물 섭취량, 사용자 프로필 등은 삼성웰스토리가 받아 사용한다. 혈당, 혈압, 일일 걸음수 정보는 디지털 헬스케어 전문기업 메디에이지가 제공받아 신규 서비스 개발에 쓴다. 생체나이 분석과 영양관리 솔루션 등을 개발해 수익을 얻는 업체에 개인정보가 넘어가고 있는 셈이다.

오후 7시 쇼핑
오늘의집 앱에 접속하자 애드인사이트, 브레이즈 등 광고업체 9곳이 등장했다.

퇴근길 버스에서 사야 할 물건을 살펴봤다. 앱 ‘오늘의집’에서 인테리어 상품을 살펴보는데 1분 동안 광고성 접근이 128건 확인됐다. 앱에서 클릭한 제품, 로그 기록, 특정 페이지에 머문 시간 등이 광고업체와 데이터 분석업체 9곳에 넘어가고 있었다.

기자 스마트폰에 가장 많이 접근한 곳은 앱스플라이어였다. 유저의 광고 유입을 분석해 마케팅 성과 기여도를 측정해주는 업체다. 이용자 광고 성향을 분석해 주는 앰플리튜드, 이용자 앱 사용 시간을 분석해 활용하는 브레이즈, 타깃팅 광고 업체 크리테오 프로그램도 즉각 반응했다.

오늘의집은 브레이즈에 모바일 사용자 자동수집정보, 모바일 알림서비스 제공, 앱 푸시 발송 업무를 위탁하고 있다. 회원 이메일, 휴대전화 번호와 휴대전화 고유식별번호가 브레이즈로 이전된다.

이용자의 웹사이트 방문 이력을 추적하는 행동분석회사 핫자르와 메가데이터 이름도 확인됐다. 팝업광고 제공 회사 와이더플래닛, 유입경로와 방문자 로그를 분석해 활용하는 애드인사이트도 기자 스마트폰에 침투했다.

오후 8시 식사
배달의민족 앱으로 음식을 주문했다. 영수증을 받지 못해 챗봇 상담에 접속했다. 상담사에게 영수증 받는 방법과 쿠폰 사용 방법을 물어봤다. 채팅 내역은 센드버드 서버로 옮겨졌다. 배달의민족은 센드버드 채팅 솔루션을 쓰고 있어 대화를 하면 그 내용이 고스란히 전송된다.

마켓컬리에서 새벽 장보기를 할 때도 대화가 수집됐다. 장보기 주문을 하고 일대일 카카오톡 채팅 상담을 시작했다. 이렇게 나눈 대화 내용은 모두 마켓컬리 측이 저장한다. 마켓컬리 채팅 솔루션을 제공하는 회사에도 대화 내용이 함께 넘어갔다.

당근마켓에서 판매자와 나눈 대화 내용도 마찬가지였다. 채팅에서 판매자와 이름, 연락처, 주소, 계좌번호 등을 공유했는데, 이 내용은 고스란히 서버에 저장되고 있었다.

배달의민족 앱에서 채팅을 나눈 3분간 앱스플라이어, 브레이즈, 페이스북이 광고 접속 목록에 올라왔다. 마켓컬리에서 주문과 문의를 하는 2분간 광고성 접속은 132건 확인됐고, 당근마켓에서 채팅 거래를 하는 5분 동안에는 광고성 접속이 294건 확인됐다. 앰플리튜드, 구글, 페이스북, 다음과 함께 데이터 분석 플랫폼 뉴렐릭의 접속도 나타났다.

기업과 공유한 하루
집계해 보니 하루 동안 최소 590개 업체가 기자 일상을 공유하고 있었다. 앱 가입 시 입력한 개인정보, 앱을 사용하면서 만들어진 클릭 기록 등은 157개 업체에 제공되고 433개에 위탁처리되고 있었다.

페이스북, 유튜브, 넷플릭스, 블라인드 등 8개 앱 운영사는 위탁사와 3자 제공사를 제대로 밝히지 않아 통계에서 제외했다. 등록 중개사무소 수백 곳, 등록 판매자 1000여 곳을 개인정보 3자 제공사로 넣은 부동산 중개 앱 직방과 다방, 인테리어 쇼핑앱 오늘의집 등도 관련 집계에서 뺐다. 이들을 포함하면 개인정보를 가져가는 업체 수가 수천 단위로 올라간다.

광고사 접속은 더욱 광범위 했다. 35개의 앱을 이용하는 동안 50개의 광고 및 데이터 분석 업체 접근 기록이 확인됐다. 로그 기록을 추적하는 18시간 동안 총 4000여 개 광고성 접근이 이뤄졌다. 최소 50개 업체에서 하루 4000번 기자 스마트폰으로 접근했다는 의미다. 35개 앱 중 15개는 위치 정보를, 9곳은 대화 내용을 필수 수집하고 있었다.

온종일 정보를 추적하는 테크 기업들
구글이 수집한 위치 정보. 하루동안 방문한 장소와 시각, 이동수단, 머무른 시간이 모두 기록돼있다.

구글은 10분 단위로 스마트폰에 침투해 위치정보과 행태정보를 수집하고 있다. 앱 사용 행태정보는 별도로 실시간 수집됐다.

‘구글 테이크아웃’ 기능을 활용해 구글이 수집해 놓은 위치 정보 전체를 추출했더니 2014년부터 이날까지 기자의 위치 정보가 10분 단위로 기록돼 있었다. 방문한 식당의 이름과 해당 장소로 이동할 때 이용한 교통수단도 적혀 있었다. 머문 시간은 밀리초(1000분의 1초) 단위로 나와 있었다. 데이터를 종합하면 7년간의 동선이 지도에 빼곡히 그려진다. 구글은 개인정보처리방침에 이 같은 정보를 ‘계열사 혹은 신뢰하는 업체들에 제공하기도 한다’고만 설명하고 있다.

페이스북과 인스타그램 역시 수집하는 개인정보가 광범위하다. 가입 정보, 작성 및 공유 콘텐츠, 전송 메시지 모두를 가져간다. 인스타그램 다이렉트 메시지(DM)와 페이스북 메시지로 친구들에게 전송한 사적인 대화까지 모두 수집한다.

페이스북 측은 “관련성 높은 광고를 보여주기 위해 개인정보를 활용한다”고 했다. 페이스북은 연간 800만 곳 이상의 기업들로부터 700억 달러 규모의 광고수익을 벌어들인다.

데이터 수집과 사생활 보호의 경계
“상품을 위해 돈을 지불하고 있지 않다면, 당신이 상품이다.”

전직 구글 기술 디자이너 트리스탄 해리스는 다큐멘터리 ‘소셜딜레마’에서 이렇게 지적했다. 기업은 앱을 통해 이용자를 데이터 상품으로 만들고, 광고주에게 팔고 있다.

이용자 데이터를 추적하는 기술은 더 발전하고 있다. 수집한 데이터가 결합하면 개인 식별 가능성도 커져 사생활 감시 우려가 커진다.

이광석 서울과학기술대 IT정책전문대학원 교수는 “인공지능(AI)이나 데이터 알고리즘 사회에 맞는 데이터 인권보호 법안을 만들어내는 게 시급하다”며 “수집한 데이터를 자극적인 방식으로 활용하지 못하도록 하는 제도적 장치와 안전망을 마련하는 게 중요하다”고 말했다.

강은성 이화여대 사이버보안전공 교수는 “‘무료로 앱을 쓰려면 이 정도까지 개인정보를 넘겨줘야 하느냐’ ‘최소한 어떤 내용을 가져가는지 알리고 동의는 받아야 하는 것 아니냐’ 등의 문제가 제기되고 있다”며 “이제는 데이터 수집과 사생활 보호의 문제가 공론의 장으로 나와야 한다”고 말했다.

전웅빈 문동성 박세원 기자 imung@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지

국민일보 신문구독
트위터페이스북구글플러스