매일 스마트폰에 4000개 광고 접근… 사생활이 기록된다 [이슈&탐사]

[AI 시대, 위태로운 프라이버시] ⑤ 당신의 하루가 수집되는 방법

‘알람몬’ 앱으로 알람을 끄자 발생한 광고성 접근이 빨간색으로, 그 밖의 로그기록은 하얀색으로 표시돼 있다. 알람을 끄는 10여초 동안 4개 광고사에서 스마트폰에 접근을 시도했다.

오전 7시 ‘알람몬’ 앱이 울렸다. 스마트폰을 열어 정지버튼을 눌렀다. 10여 초, 방에서 알람앱을 켜고 끄는 사소한 행동조차 기업들이 심어 놓은 프로그램에 즉각 감지됐다. 분석 프로그램을 가동하자 모바일 앱 광고를 중개하는 탭조이 트래커(추적 프로그램)가 기자 스마트폰으로 침투한 흔적이 보였다. 맞춤형 광고를 제공하는 모펍과 더블클릭, 앱 운영사 애드엑스까지 총 4개사가 보낸 84건의 광고성 접근이 발생했다.

우리는 스마트폰 앱으로 대화하고, 업무를 보고, 의식주에 필요한 상품을 주문한다. 앱 이용은 대체로 무료지만, 사실 공짜가 아니다. 이용자들은 일상을 공유하는 방식으로 데이터를 지불하고 있다. 업체는 이용자 데이터를 팔아 광고비를 벌고, 서비스를 개발해 수익 창출에 나선다. 세분화해 수집한 정보일수록 돈이 된다.

기업이 가져가는 사생활 데이터는 어느 정도일까. 알람을 끄는 짧은 순간 앱은 페이스북과 구글에 스마트폰 쿠키 정보를 제공했고, 운영사 애드엑스에 로그 기록을 전송했다. 운영사는 광고사 32곳이 광고식별자 및 행태정보를 수집하도록 허용했다. 앱 실행 때 생성된 모든 데이터가 자동 수집·전송된다. 앱에는 이를 위해 트래커 19개가 심겨 있었다.

국민일보는 스마트폰을 이용한 하루 일상을 분석해 이용자 데이터가 공유되는 현장을 추적했다. 스마트폰 데이터가 어떤 기업에 기록·제공되고, 외부에서의 접근은 얼마나 발생하는지 살펴봤다.

개발자 프로그램 ‘안드로이드 스튜디오’와 패킷 캡처 프로그램, 로그 기록을 추적해 광고를 차단하는 ‘애드가드’ 프로그램 등을 활용했다. 하루 18시간, 직장인 생활 필수 앱 중 이용률 상위 35개를 사용하는 것으로 설계했다. 각 앱을 하루 한 번씩만 켠다고 가정했다.

오전 8시 출근

네이버 지도 앱으로 버스 정보를 찾아봤다. 즐겨찾기에 등록해둔 회사와 집 주소는 이미 네이버 서버에 저장돼 있다. 앱을 켜는 순간 로그 기록이 초 단위로 네이버에 옮겨졌다.

카카오맵을 켜자 위치 정보가 21개 업체에 넘어갔다. 이 정보는 카카오페이에도 전송됐는데, 목적은 ‘맞춤형 서비스 제공’이다. 손해보험사와 광고대행사에도 같은 이유로 위치 정보 등 이용기록이 공유됐다. 카카오맵은 비대면 호텔서비스 업체, 레스토랑 예약 관리 업체, 카페 마케팅 플랫폼 업체 등과도 기자 데이터를 공유했다.

오전 9시 업무 시작
사무실 책상에 앉아 뉴스를 찾아봤다. 네이버 앱 뉴스‧콘텐츠로 이동, 기사 4개를 클릭해 읽는 2분 동안 260개의 광고성 접속이 포착됐다. 어떤 뉴스를 클릭했는지, 해당 페이지에 얼마나 머물렀는지 등의 행동 데이터를 추적하고 광고를 심는 접근이 260개나 됐다는 의미다.

네이버는 앱에서 수집한 데이터를 22개 위탁사에 전송한다. 앱 사용 시 생성되는 유저 기록과 필수로 수집된 유저 개인정보 역시 이들 업체에 제공되고 있다.

낮 12시 산책


이동 정보는 삼성헬스가 기록했다. 성별, 생년월일, 키, 몸무게, 걸음수를 모두 수집했다. 수면기록, 활동시간, 섭취한 음식 등 이용자가 입력한 추가 정보도 가져간다. 업체는 ‘통계작성, 학술연구나 시장조사를 위해 특정 개인을 식별할 수 없는 형태로 가공하는 경우’ 데이터를 외부에도 제공한다고 했다.

추가 서비스 ‘투게더’를 이용하면 음식 섭취정보, 생리주기, 성관계 여부와 같은 민감 정보까지 수집된다. 민감 정보 수집에 동의하지 않으면 서비스 이용이 불가능했다.

삼성헬스는 민감 정보를 제3자 업체에 주고 활용토록 했다. 일일 걸음수, 물 섭취량, 사용자 프로필 등은 삼성웰스토리가 받아 사용한다. 혈당, 혈압, 일일 걸음수 정보는 디지털 헬스케어 전문기업 메디에이지가 제공받아 신규 서비스 개발에 쓴다. 생체나이 분석과 영양관리 솔루션 등을 개발해 수익을 얻는 업체에 개인정보가 넘어가고 있는 셈이다.

오후 7시 쇼핑


퇴근길 버스에서 사야 할 물건을 살펴봤다. 앱 ‘오늘의집’에서 인테리어 상품을 살펴보는 1분 동안 광고성 접근 128건이 확인됐다. 앱에서 클릭한 제품, 로그 기록, 특정 페이지에 머문 시간 등이 광고업체와 데이터 분석업체 9곳에 넘어갔다.

기자 스마트폰에 가장 많이 접근한 곳은 앱스플라이어였다. 광고 유입을 분석해 마케팅 성과 기여도를 측정해주는 업체다. 이용자 광고 성향을 분석해 주는 앰플리튜드, 이용자 앱 사용 시간을 분석해 활용하는 브레이즈, 타기팅 광고 업체 크리테오 프로그램도 즉각 반응했다.

오늘의집은 브레이즈에 모바일 사용자 자동수집정보, 모바일 알림서비스 제공, 앱 푸시 발송 업무를 위탁하고 있다. 회원 이메일, 휴대전화 번호와 휴대전화 고유식별번호가 브레이즈로 이전된다.

이용자의 웹사이트 방문 이력을 추적하는 행동분석회사 핫자르와 메가데이터 이름도 확인됐다. 팝업광고 제공회사 와이더플래닛, 유입경로와 방문자 로그를 분석해 활용하는 애드인사이트도 기자 스마트폰에 침투했다.

오후 8시 식사

배달의민족 앱으로 음식을 주문했다. 영수증을 받지 못해 챗봇 상담에 접속했다. 상담사에게 영수증 받는 방법과 쿠폰 사용법을 물어봤다. 채팅 내역은 실시간 센드버드 서버로 옮겨졌다.

마켓컬리에서도 대화가 수집됐다. 장보기 주문을 하고 일대일 카카오톡 채팅 상담을 시작했다. 이렇게 나눈 대화는 모두 마켓컬리 측이 저장했다. 마켓컬리 채팅 솔루션을 제공하는 회사 ‘해피톡’(운영사 엠비아이솔루션)에도 대화 내용이 함께 넘어갔다.

당근마켓에서 판매자와 나눈 대화 내용도 마찬가지였다. 채팅에서 판매자와 이름, 연락처, 주소, 계좌번호 등을 공유했는데, 이 내용 역시 고스란히 서버에 저장되고 있었다.

배달의민족 앱에서 채팅을 나눈 3분간 앱스플라이어, 브레이즈, 페이스북이 광고 접속 목록에 올라왔다. 마켓컬리에서 주문과 문의를 하는 2분간 광고성 접속은 132건 확인됐고, 당근마켓에서 채팅 거래를 하는 5분 동안에는 광고성 접속이 294건 확인됐다. 앰플리튜드, 구글, 페이스북, 다음과 함께 데이터 분석 플랫폼 뉴렐릭 접속도 나타났다.

기업과 공유한 하루


집계해 보니 하루 최소 590개 업체가 기자 일상을 공유하고 있었다. 앱 가입 정보, 앱을 사용하면서 만들어진 클릭 기록 등은 157개 업체에 제공되고 433개 업체에 위탁처리되고 있었다.

페이스북, 유튜브, 넷플릭스, 블라인드 등 8개 앱 운영사는 위탁사와 3자 제공사를 제대로 밝히지 않아 통계에서 제외했다. 등록 중개사무소 수백 곳, 등록 판매자 1000여 곳을 개인정보 3자 제공사로 넣은 직방과 다방, 오늘의집 등도 집계에서 뺐다. 이들을 포함하면 데이터를 가져가는 업체 수가 수천 단위로 올라간다.

35개 앱을 이용하는 동안 광고 및 데이터 분석 업체 50곳의 접근 기록이 확인됐다. 로그 기록을 추적하는 18시간 동안 총 4000여 개 광고성 접근이 이뤄졌다. 최소 50개 업체에서 하루 4000번 기자 스마트폰에 접근했다는 의미다. 35개 앱 중 15개는 위치 정보를, 9곳은 대화 내용을 필수 수집하고 있었다.

온종일 정보를 추적하는 기업들

구글이 수집한 하루 위치 정보. 하루 동안 방문한 장소, 이동수단, 머무른 시간이 모두 기록돼 있다.

구글은 10분 단위로 스마트폰에 침투해 위치와 행태정보를 수집했다. 앱 사용 행태정보는 별도로 실시간 가져갔다.

‘구글 테이크아웃’ 기능을 이용해 수집해 놓은 위치 정보 전체를 추출했더니 2014년부터의 행적이 10분 단위로 기록돼 있었다. 방문한 식당 이름과 이용한 교통수단까지 적혀 있었다. 머문 시간은 밀리초(1000분의 1초) 단위로 나와 있다. 구글은 이런 정보를 ‘계열사 혹은 신뢰하는 업체들에 제공하기도 한다’고만 설명했다.

페이스북·인스타그램도 하루 종일 스마트폰에 접근했다. 앱에서의 작성 및 공유 콘텐츠, 전송 메시지 모두를 가져간다. 사적인 메신저 대화까지 수집했다. 페이스북 측은 “관련성 높은 광고를 보여주려고 개인정보를 활용한다”고 했다. 지난해 페이스북은 800만곳 이상 기업에서 700억 달러 규모 광고수익을 올렸다.

데이터 수집과 사생활 보호의 경계

“상품을 위해 돈을 지불하고 있지 않다면, 당신이 상품이다.”

전직 구글 기술 디자이너 트리스탄 해리스는 다큐멘터리 ‘소셜딜레마’에서 지적했다. 기업은 이용자를 데이터 상품으로 만들고, 광고주에게 팔고 있다.

강은성 이화여대 사이버보안전공 교수는 “‘무료로 앱을 쓰려면 이 정도까지 개인정보를 넘겨줘야 하느냐’ ‘최소한 어떤 내용을 가져가는지 알리고 동의를 받아야 하는 것 아니냐’ 등의 문제가 제기되고 있다”며 “데이터 수집과 사생활 보호의 문제가 공론의 장으로 나와야 한다”고 말했다.

이용자 데이터 추적 기술도 계속 발전하고 있다. 수집 데이터를 결합하면 개인 식별 가능성이 높아져 사생활 감시 우려가 커진다.

이광석 서울과학기술대 IT정책전문대학원 교수는 “수집한 데이터를 자극적인 방식으로 활용하지 못하도록 하는 안전망 마련이 중요하다. 인공지능(AI)이나 데이터 알고리즘 사회에 맞는 데이터 인권보호 법안을 만들어내는 게 시급하다”고 말했다.

전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
▶①당신 몰래… 당신의 대화가 수집되고 있다 [이슈&탐사]
▶②[단독] 정오의 데이트·아만다 등 20여 곳도 허락없이 채팅 수집 [이슈&탐사]
▶③830억원 챙겨놓고… 몰래 트래커까지 심은 데이팅앱들 [이슈&탐사]
▶④[단독] 유명 데이팅앱 ‘아마시아’, 회원 개인정보 돌려썼다 [이슈&탐사]
▶⑥대화 내용이 개인정보? 라인은 O, 카톡은 X… 기준 제각각 [이슈&탐사]
▶⑦개인정보침해신고에 ‘동문서답’… 정보 보호 손 놓은 정부 [이슈&탐사]


GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지
트위터페이스북구글플러스