구글이 '몰래' 스마트 폰을 추적(Silently Tracking) 시작, 새로운 방식으로

구글이 '몰래' 스마트 폰을 추적(Silently Tracking) 시작, 새로운 방식으로

구글 크롬(Google Chrome)은 곧 대규모 트래킹(huge tracking) 방식을 변경할 전망이다. 전 세계에서 가장 인기 있는 브라우저 내에서 쿠키를 거부하기 위한 선택지가 제시되기를 전 세계 우리는 기다리고 있지만 새로 도입되는 보호 기능의 일부를 사용하려면 프라이빗 브라우징(private browsing)을 이용해야 한다.

이러한 움직임이 있는 반면, Android 사용자에게는 귀찮은 새로운 문제가 부상하고 있다. 결국 트래킹(추적. tracking)은 계속될 것 같다.

트리니티칼리지 더블린의 새로운 연구에 따르면 구글은 스마트폰을 켠 직후부터 미리 설치된 기본 앱을 통해 쿠키, 식별자, 기타 데이터를 몰래 저장해 사용자를 트래킹(tracking)하기 시작한다. 연구자들은 이 같은 데이터를 저장할 때 사용자의 동의를 구할 수 없으며 옵트아웃도 없다고 경고했다. 덧붙여 「본 연구는, 프리 인스톨 된 구글제 앱이 보존하는 쿠키 등에 처음으로 빛을 맞힌 것이다」라고 말하고 있다.

이 트래킹(tracking)은 앱을 열지 않아도 시작된다고 하며 보고서에 따르면 옵트아웃(Opt-out. 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 것) 방법은 존재하지 않는다고 한다. 이것은 Chrome의 Tracking Cookie에 관해 진행되고 있는 방향성과 모순된다. 문제시되고 있는 디폴트 앱(기본 앱)에는 구글 플레이 스토어와 구글 플레이 서비스가 포함된다. 최근 몇 달간에 거의 모든 Android 단말기에 「몰래 설치된」 것으로 보이는 사진 스캔 앱 「Android System Safetycore」를 둘러싼 소동을 생각하면, 이번도 마찬가지로 「투명성」이 논점이 되고 있다.

더욱 골치 아픈 것은 연구자들에 따르면 안드로이드 시스템 Safetycore와 달리 이를 완전히 멈출 방법이 존재하지 않는다는 점이다.

광고 ID를 정기적으로 리셋 또는 비활성화하고 앱 권한을 꼼꼼히 체크하면 트래킹(tracking)을 어느 정도 제한할 수 있지만 완전히 멈출 수는 없다. 근본적으로 배제하려면 OS 그 자체를 전환하는 것 이외에 수단은 없다고 한다.

트리니티의 연구에서는, 광고의 열람 회수나 클릭수를 카운트하는 쿠키 외에 Android ID라고 하는 「영속적인 디바이스 및 사용자 식별기」도 검출되고 있다. 종래부터 「광고 ID를 재설정 또는 무효화하라」라는 경고는 많이 알려 주지만, 통상의 트래킹 쿠키도 이용되고 있다.

연구팀은 「이들 Cookie나 그 외의 데이터를 보존할 때에 동의는 요구되지 않고, 목적도 명시되지 않고, 데이터 보존으로부터의 옵트 아웃(Opt-out)도 없다. 디바이스를 공장 출하 시 재설정해도 사용자가 구글 앱을 한 번도 열지 않아도 거의 모든 데이터가 저장된다. 즉, 사용자가 명시적으로 요구한 서비스와는 무관하게 설정되어 있다」라고 말하고 있다.

무엇보다 이들 조사 결과를 과대평가해서는 안 된다. 일부 전문가는 이전부터 스마트폰은 우리의 행동을 거의 모두 트래킹(tracking)하도록 설계됐으며, 사생활을 조금이라도 지키기 위해서는 설정을 변경할 필요가 있다고 경고해왔다. 이번 문제는 사용자 자신이 인식하지 못한 채 트래킹(tracking)되고 있다는 사실에 있다. 또 외부 개발(third party) 앱(스마트폰에서는, 각 OS제조사의 스토어 등지에서 제공하는 소프트웨어 애플리케이션)뿐만 아니라 OS나 핵심 서비스 자체의 트래킹(tracking)을 어떻게 제한할 것인가 하는 근본적인 과제도 떠오르고 있다.

트리니티 칼리지 더블린의 더그 리스 교수는 Irish Tech News에 대해 「웹사이트를 방문할 때 광고나 트래킹(tracking) 쿠키를 저장하기 전에 동의가 필요하다는 것은 주지의 사실입니다. 하지만 앱이 저장하는 쿠키는 웹 쿠키만큼 주목받지 못합니다. 그 원인의 일단은 검출이 어려운 것에 있어, 이러한 상세한 조사는 계속 차일피일 미뤄져 왔습니다」라고 말하고 있다.

이 보고서는 구글이 2019년 금지한 디바이스 핑거프린팅(Device Fingerprinting.  데이터 세트를 수집하며, 이는 해시 함수를 통해 결합되고 제출되는 과정을 포함한다. 이후, 결과값(해시 값)은 각 기기(또는 사용자)의 고유 ID 역할을 할 수 있다)을 다시 허용한다는 물의를 빚는 결정을 내린 지 며칠 만에 공표됐다. 일찍이 구글은 「개발자가, 단말기의 기종이나 인스톨되어 있는 폰트 등, 사용자에 따라서 미묘하게 다른 정보를 조합해 하나의 식별자를 만들어, 웹 사이트간에 사용자를 트래킹하고 있다. 쿠키와 달리 핑거 프린트(Device Fingerprint)는 사용자가 지울 수 없어 정보 수집 컨트롤이 불가능하다. 이것은 사용자의 선택을 뒤집는 부당한 행위라고 생각하고 있다」라고 말하고 있었다.

이러한 경위를 근거로 하면, 이번에도 사용자측이 통제할 수 없다고 하는 점에서 큰 차이는 눈에 띄지 않는다. 예전과 마찬가지로 부당하다고 할 수 있지 않을까. 구글이 핑거프린팅(Device Fingerprinting을 다시 용인한 이유는 새로운 '프라이버시 보호' 기술을 통해 스마트폰의 기능을 사용자가 보다 유연하게 통제할 수 있다는 것인데, 애초에 무엇을 제한해야 하는지를 충분히 이해하는 것이 필수적이다.

이번 트리니티 연구는 데이터 관련 법규 및 규제의 회색지대를 파고들고 있다. 다만 보고서에서는 「이것은 기술적인 연구이며, 법적인 판단을 목적으로 하는 것은 아니다. 우리는 법적인 자격을 갖고 있지 않다」라고 명기하고 있다. 그런데도 「구글이 실시하고 있는 데이터 보존은, EU의 e-프라이버시 지침이나 GDPR(EU 일반 데이터 보호 규칙)에 저촉될 의심이 있다」라고 지적한다. 모든 데이터 측정이 아일랜드에서 이뤄지고 거기서는 이 법들이 적용되기 때문이다.

보고서는 "e-프라이버시 지침은 일명 'Cookie법'이라고도 하며, '전자통신 네트워크 사용자의 디바이스나 거기에 저장된 정보는 사적 영역의 일부로, 보호가 필요하다'고 인정하고 있다"고 설명한다. 이에 따라, 「가입자 또는 사용자의 단말 기기에 보존되는 정보에 접근하는 것 또는 정보를 보존하는 것은, (a)가입자 또는 사용자가 그 사용에 동의해, (b)데이터 보호법에 따라 명확하고 포괄적인 정보가 제공되며, (i)눈에 띄는 형태로 표시되어 간단하게 접근 가능하며, (ii)정보의 처리 목적을 포함하는 경우에 한해 허가된다」고 제한한다. 예외는 「전자통신 네트워크를 통한 통신의 전송만을 목적으로 하는 경우」나 「가입자 또는 사용자가 명시적으로 요구한 정보사회 서비스의 제공에 엄격하게 필요한 경우」에 인정된다.

이에 대해 구글은 「이 보고서는, 사용자에게 도움이 되는 제품이나 서비스를 제공하는데 있어서 빼놓을 수 없는 구글의 기술이나 툴을 몇개 다루고 있습니다. 연구자들은 법적인 자격을 가지고 있지 않다고 인정하며, 당사는 그들의 법적 분석에는 동의하지 않습니다. Android에 있어서 사용자의 프라이버시는 최우선 사항이며, 당사는 적용되는 모든 프라이버시 법규나 규제를 준수하고 있습니다」라고 회답하였다.

또한 트리니티와 리스 교수가 구글의 데이터 수집방법을 보고하는 것은 이번이 처음이 아니다. 2022년에는 「Google 메시지와 Google의 전화 앱이 송신하는 데이터에 의해, 발신과 착신 타이밍 등이 구글에 전달되어 통화와 관계되는 복수의 단말기를 연결시키는 것이 가능하게 된다. 전화번호도 전송된다」고 경고했다.

더욱이 2021년에는 「최신의 iOS와 Android 단말기에서 애플 및 구글의 서버로 보내지는 텔레메트리(이용 상황 데이터)를 분석했는데, Android는 iOS와 비교해 약 20배의 데이터를 송신하고 있다」라고 하는 결과를 보고하고 있다. 당시 The Record가 전한 바에 따르면, 「사용자가 명시적으로 옵트 아웃(Opt-out) 하고 있어도, iOS와 Android 양쪽 모두 텔레메트리를 송신하고 있다」라고 한다.

이번 연구에 대해 리스 교수는 「Google Play 서비스나 Google Play 스토어는 수억의 사용자가 이용하고 있습니다. 우리는 이 조사 결과를 구글에 전달하고 코멘트 시간을 마련하기 위해 공표를 늦췄습니다. 그들은 간단한 답변을 보내, 법적 측면에는 코멘트하지 않는다고 말했습니다(우리도 거기를 물어본 것은 아니다). 그들은 오류나 부정확한 기술이 있으면 지적해 달라는 요청에는 응하지 않았고, 소프트웨어가 저장하는 쿠키 등을 바꿀 예정이 있느냐는 질문에도 대답하지 않았다고 말했다.

현재는 구글에 트래킹과 관련해 미묘한 시기로, 이번 보고서는 우리가 일상적으로 사용하고 있는 단말기나 플랫폼 뒤편에서 무슨 일이 일어나고 있는지를 재인식하게 하는 내용이다. 전문가가 여러 차례 지적해 온 것처럼 구글이나 다른 주요 플랫폼 제공 기업들은 정보공개를 더욱 투명화할 필요가 있다. 프라이버시 보호는 한때 진전을 보이고 있었지만, 최근 들어 밸런스가 역방향으로 흔들려 가고 있는 것 같다. 그것은 결코 구글만의 이야기가 아니다.

리스 교수는 「이 연구는, 데이터 규제당국에 있어서 Android 단말기의 사용자를 제대로 보호하기 위한 경고가 될 것입니다. Google Play 서비스와 Google Play 스토어는 거의 모든 Android 단말기에 사전 설치되어 있으며, 이번 조사를 통해 그것들이 사람들의 스마트폰에 광고 및 기타 트래킹용 쿠키와 데이터를 몰래 저장하고 있음을 보여주었습니다. 구글은 이와 관련해 이용자의 동의를 받지 않고 있으며 쿠키를 차단할 수단도 없습니다」라고 경고한 바 있다.

(출처) Google Starts ‘Silently’ Tracking Your Phone—How To Stop It
https://www.forbes.com/sites/zakdoffman/2025/03/04/forget-chrome-google-apps-start-tracking-your-phone-no-opt-out/

*재미있거나 도움이 되셨다면 '구독' 꾹 눌러 주시기를 부탁드립니다. 늘 행복하세요.