◈틱톡, 위챗 퇴출
최근 15초짜리 짧은 동영상을 제작 및 공유하는 애플리케이션 틱톡을 둘러싼 논란이 있었습니다. 도널드 트럼프 미국 대통령은 중국 대표 소셜 네트워크 서비스(SNS)인 위챗 운영사 텐센트와 틱톡 개발사 바이트 댄스와 거래를 중단하라는 행정명령에 서명하였습니다. 이렇게 중국 앱 퇴출 근거로 삼은 이유는 ‘보안’ 문제였습니다. 트럼프 대통령은 “틱톡은 중국 공산당의 허위정보 캠페인에 이용될 가능성이 있고, 위챗은 미국인 개인정보가 유출될 수 있다”라고 말했습니다.
전 세계 20억 다운로드의 엄청난 인기를 받고 있는 중국의 영상 제작 앱 ‘틱톡’이 애플의 ‘iOS 14’ 등장과 함께 이용자 정보 접근 문제로 집중 비난 받고 있습니다. 온라인으로 진행되는 애플의 연례 최대 행사인 세계 개발자 회의 2020(WWDC 2020)에서 애플의 모바일 OS 새 버전을 공개했습니다. 이번 컨퍼런스에서 애플은 iOS 14 외에도 맥용 OS의 새 버전 ‘빅 서’, 애플 지도 신기능, 애플 워치 신기능, 자체 개발 반도체 적용 맥 등 이목을 집중받을 업데이트를 발표하면서 특히 애플의 프라이버시 보호 강화를 내세웠습니다. iOS 14의 경우 아이폰에 탑재하고 있는 어플들이 클립보드와 같은 복사된 정보에 접근할 때마다 알려주는 기능을 발표하고 이모지피디아(Emojipedia)의 창립자 제레미 버지(Jeremy Burge)가 iOS 14 베타 버전을 시연하였습니다.
그런데 뭔가 이상한 점을 발견했습니다. 제레미가 스마트폰으로 문자를 입력할 때마다 특정 앱이 텍스트를 긁어 간다는 알림이 아이폰 상단에 실시간으로 표시가 된 것입니다. 그 앱은 무엇이었을까요? 바로 중국산 앱 ‘틱톡’이었습니다.
◈스스로 움직이는 날씨어플
지난 2019년 말에 이스라엘에서 공개된 영상이 있습니다. 스마트폰에 평범한 날씨 어플을 설치하고 얼마 뒤에 놀라운 광경이 벌어집니다. 스마트폰이 원격으로 조종되어 영상 촬영, 사용자의 위치 전송, 통화내역 녹음까지 모두 스스로 움직인 것입니다. 이 평범한 날씨 앱이 스마트폰의 보안을 순식간에 무너뜨렸습니다.
◈어떻게 한 걸까?
비밀은 바로 ‘동의’ 버튼입니다. 어플 설치 과정에서 흔히 볼 수 있는 ‘저장소 접근 권한‘ 동의를 얻고 나면 스마트폰의 모든 기능을 자유자재로 조종할 수 있다는 사실이 드러난 것입니다. 이스라엘의 보안회사 체크막스가 밝혀낸 CVE-2019-2234(Common Vulnerabilities and Exposures ID) 보안 결함은 구글과 삼성 등의 안드로이드를 기반으로 한 스마트폰에서도 동일하게 발견되었습니다.
워싱턴포스트는 전문가와 함께 틱톡이 어디까지 개인정보를 수집하는지 실험해보았습니다. 그 결과 틱톡 앱을 실행하면 단 9초 만에 210개의 네트워크 요청이 들어왔고 125페이지 분량에 달하는 데이터가 전송될 수 있는 것으로 확인되었습니다. 위치정보, 이메일 주소, 친구 목록, 나이, 전화번호 등 신상정보가 다수 포함되어 있었습니다. 초거대 글로벌 플랫폼인 틱톡은 전 세계 사용자들로부터 하루 2PB(2 PETABYTE= 2,000,000 GB)의 데이터를 수집한다고 알려졌습니다.
◈얼마나 위험할까?
클립보드를 이용하여 사용자가 입력한 내용을 엿보는 것은 악의를 가지고 있지 않다면 크게 치명적이지 않다고 개발연구원 토미 미스크(Tommy Mysk)와 탈랄 하즈 바크리(Talal Haj Bakry)가 밝혔습니다. 실제로 이 개발연구원이 인터뷰한 내용에 따르면 클립보드를 통해 내용을 엿본 수십여 개의 앱들은 이용자가 복사한 것들 중에 주로 ‘텍스트’를 들여다보는 것에만 집중했을 뿐이라고 합니다. 틱톡 역시 접근한 클립보드 정보를 이용한 성향 분석, 타깃 광고 등에 이용한 정황은 드러난 바가 없습니다. 그렇다고 안심할 수 없습니다. 클립보드 접근으로 상업적 목적은 마음만 먹으면 기술적으로 불가능하지 않습니다. 무엇보다 우려되는 부분은 이용자들의 비밀번호 노출 가능성이 개발연구원들의 설명입니다. 주식거래나 인터넷 뱅킹 같은 금융 활동 시 비밀번호를 복사, 붙여넣기 과정에서 누군가 클립보드를 통해 사용자의 비밀번호를 알아낼 수 있습니다.
◈Tictok(틱톡)의 입장
틱톡은 메커니즘을 트리거한 스팸과 봇을 막기 위한 기능이었다고 해명하였습니다. 그리고 App Store(앱스토어)의 승인을 받기 위해 업데이트 버전에서 이 클립보드 복사하는 스누핑(snooping: 네트워크 상에 남의 정보를 염탐하여 불법으로 가로채는 행위)를 제거했다고 밝혔습니다. 이제는 공개적으로 클립보드의 내용을 가져오는 행위를 안한다고 합니다.
◈그러나…
Ars Technica의 보고서에 연구원 토미 미스크(Tommy Mysk)와 탈랄 하즈 바크리(Tala Haj Bakry)는 틱톡의 스누핑 폭로 이후 조치를 약속했지만 스누핑을 중지시키지 않았습니다. 이번 건에 대해 또다시 틱톡 측에 추궁하자 iOS 업데이트 오류라고 해명했습니다. 그리고 틱톡 외 54개의 앱에서도 클립보드 염탐이 이루어지고 있습니다. 여전히 스누핑을 하고 있다는 뜻이죠. 특히 눈에 띄는 앱은 Weibo(소셜 앱), NPR(뉴스앱), Fruit Ninja(게임앱), Hotels.com(호텔 예약 앱) 등에서 클립보드를 훔쳐가고 있습니다.