2020.01.29

어베스트, 무료 안티바이러스 통해 수집한 개인 정보 판매…”옵트인 정보 수집” 반박

Mark Hachman | PCWorld
어베스트와 자회사 AVG는 또 다시 고객 데이터를 자사 기업 고객에게 판매한 것으로 드러났다. 이번에는 사용자가 데이터 수집을 승인한 무료 안티바이러스 프로그램을 사용했다.
 
ⓒ Avast

바이시즈 마더보드(Vice’s Motherboard)와 PC 매거진의 보도는 애드블록 플러스(Adblock Plus) 개발자인 블라디미르 팰런트의 보고서를 기반으로 했다. 팰런트는 2019년 10월 어베스트 온라인 시큐리티 익스텐션와 AVG 시큐어 브라우저가 사용자를 감시하고 관련 정보를 수집한다고 폭로한 바 있다.

팰런트는 사용자 ID와 방문 페이지 등이 포함된 이 정보가 제 3의 업체에 판매될 수 있고, 최종 목적지는 점프샷(Jumpshot)이 될 수 있다고 지적했다. 어베스트가 2013년 인수한 점프샷은 “150곳 이상 사이트의 1,600개 카테고리에 걸쳐 모든 검색과 클릭, 구매를 측정해 고객의 온라인 여정에 대한 인사이트를 제공”한다. 당시 이 뉴스로 구글과 같은 브라우저 업체는 자사 웹스토어에서 이들 앱을 삭제하기도 했다. 현재는 새로운 프라이버시 보호 정책을 적용한 버전이 나와 있다.

두 매체의 보도에 따르면, 어베스트는 어베스트 브라우저 확장 프로그램이 수집하는 데이터는 더 이상 점프샷에 제공하지 않는다고 밝혔다. 하지만 다른 정보원들은 어베스트가 여전히 무료 안티바이러스 프로그램으로부터 동일한 정보를 수집하고 있는 것으로 의심했다. 이렇게 수집한 데이터는 점프샷으로 넘겨지고, 거기서 어베스트의 기업 고객사에 전달된다는 것이다.

바이시즈 마더보드는 “한 내부 문서에 따르면, 브라우저 확장 프로그램을 사용해 데이터를 점프샷으로 전송한다는 것이 발견되고 몇 개월이 지난 지난 주, 어베스트는 기존 무료 안티바이러스 소비자에게 데이터 수집에 대한 동의 여부를 묻기 시작했다”고 전했다.

어베스트는 발표문을 통해 “브라우저의 웹스토어 표준을 만족하기 위해 즉각 대응”했으며, 12월에는 핵심 보안 엔진 개선 외에 다른 어떤 목적으로 브라우저 확장 프로그램으로부터 수집한 데이터를 사용하는 관행을 완전히 중단했다고 밝혔다. 또 “점프샷이 이름이나 이메일 주소, 연락처 상세 정보를 포함한 개인 식별 정보를 취득하지 않도록 확실히 했다”고 강조했다.

발표문은 옵트인 방식과 옵트아웃 방식을 선택할 수 있다며, “2019년 7월 현재 어베스트는 이미 명백한 옵트인 선택권을 모든 안티바이러스 다운로드에 구현하기 시작했고, 또한 기존 무료 사용자에게 옵트인과 옵트아웃 방식을 선택할 수 있도록 알리고 있다. 이 과정은 2020년 2월에 완료될 예정이다”라고 설명했다.

어베스트의 발표문은 또한 자사 관행에 대한 우려를 최소화하고자 자사가 사용자 디바이스를 악성코드로부터 보호해 왔고 사용자 프라이버시와 핵심 보안 제품을 위한 데이터 사용의 균형이 얼마나 중요한지를 잘 알고 있다고 강조했다. 또 자사가 GDPR과 미국 캘리포니아의 소비자 프라이버시 법을 준수하고 있다고 덧붙였다. 어베스트의 프라이버시 정책에 따르면, 어베스트는 식별할 수 없도록 한(De-identified) 데이터 세트로 만드는 데 사용할 수 있는데, 이 데이터는 점프샷에 제공해 트렌드 분석 제품과 서비스를 구축하는 데 사용할 수 있다. 
 
ⓒ Avast

무료 안티바이러스 프로그램을 설치할 때 사용자는 패스워드 저장이나 디스크 청소 등 소프트웨어가 설치하는 모든 모듈을 선택하지 않을 수 있다. 기본값으로 보안 브라우저 확장 프로그램과 세이프프라이스(SafePrice) 브라우저 확장 프로그램은 선택된 상태이다. 

참고로 PCWorld는 모든 항목을 선택하지 않고 어베스트 안티바이러스를 설치해 봤다. 어베스트 소프트웨어는 설치 과정이 완료됐다고 보고했고, 윈도우 보안 역시 어베스트 소프트웨어가 설치됐다고 알려왔다. 하지만 어베스트 소프트웨어 자체를 실행할 수는 없었으며, 대시보드도 마찬가지였다. 이에 대해 어베스트에 문의해 답변을 기다리는 중이다. editor@itworld.co.kr


2020.01.29

어베스트, 무료 안티바이러스 통해 수집한 개인 정보 판매…”옵트인 정보 수집” 반박

Mark Hachman | PCWorld
어베스트와 자회사 AVG는 또 다시 고객 데이터를 자사 기업 고객에게 판매한 것으로 드러났다. 이번에는 사용자가 데이터 수집을 승인한 무료 안티바이러스 프로그램을 사용했다.
 
ⓒ Avast

바이시즈 마더보드(Vice’s Motherboard)와 PC 매거진의 보도는 애드블록 플러스(Adblock Plus) 개발자인 블라디미르 팰런트의 보고서를 기반으로 했다. 팰런트는 2019년 10월 어베스트 온라인 시큐리티 익스텐션와 AVG 시큐어 브라우저가 사용자를 감시하고 관련 정보를 수집한다고 폭로한 바 있다.

팰런트는 사용자 ID와 방문 페이지 등이 포함된 이 정보가 제 3의 업체에 판매될 수 있고, 최종 목적지는 점프샷(Jumpshot)이 될 수 있다고 지적했다. 어베스트가 2013년 인수한 점프샷은 “150곳 이상 사이트의 1,600개 카테고리에 걸쳐 모든 검색과 클릭, 구매를 측정해 고객의 온라인 여정에 대한 인사이트를 제공”한다. 당시 이 뉴스로 구글과 같은 브라우저 업체는 자사 웹스토어에서 이들 앱을 삭제하기도 했다. 현재는 새로운 프라이버시 보호 정책을 적용한 버전이 나와 있다.

두 매체의 보도에 따르면, 어베스트는 어베스트 브라우저 확장 프로그램이 수집하는 데이터는 더 이상 점프샷에 제공하지 않는다고 밝혔다. 하지만 다른 정보원들은 어베스트가 여전히 무료 안티바이러스 프로그램으로부터 동일한 정보를 수집하고 있는 것으로 의심했다. 이렇게 수집한 데이터는 점프샷으로 넘겨지고, 거기서 어베스트의 기업 고객사에 전달된다는 것이다.

바이시즈 마더보드는 “한 내부 문서에 따르면, 브라우저 확장 프로그램을 사용해 데이터를 점프샷으로 전송한다는 것이 발견되고 몇 개월이 지난 지난 주, 어베스트는 기존 무료 안티바이러스 소비자에게 데이터 수집에 대한 동의 여부를 묻기 시작했다”고 전했다.

어베스트는 발표문을 통해 “브라우저의 웹스토어 표준을 만족하기 위해 즉각 대응”했으며, 12월에는 핵심 보안 엔진 개선 외에 다른 어떤 목적으로 브라우저 확장 프로그램으로부터 수집한 데이터를 사용하는 관행을 완전히 중단했다고 밝혔다. 또 “점프샷이 이름이나 이메일 주소, 연락처 상세 정보를 포함한 개인 식별 정보를 취득하지 않도록 확실히 했다”고 강조했다.

발표문은 옵트인 방식과 옵트아웃 방식을 선택할 수 있다며, “2019년 7월 현재 어베스트는 이미 명백한 옵트인 선택권을 모든 안티바이러스 다운로드에 구현하기 시작했고, 또한 기존 무료 사용자에게 옵트인과 옵트아웃 방식을 선택할 수 있도록 알리고 있다. 이 과정은 2020년 2월에 완료될 예정이다”라고 설명했다.

어베스트의 발표문은 또한 자사 관행에 대한 우려를 최소화하고자 자사가 사용자 디바이스를 악성코드로부터 보호해 왔고 사용자 프라이버시와 핵심 보안 제품을 위한 데이터 사용의 균형이 얼마나 중요한지를 잘 알고 있다고 강조했다. 또 자사가 GDPR과 미국 캘리포니아의 소비자 프라이버시 법을 준수하고 있다고 덧붙였다. 어베스트의 프라이버시 정책에 따르면, 어베스트는 식별할 수 없도록 한(De-identified) 데이터 세트로 만드는 데 사용할 수 있는데, 이 데이터는 점프샷에 제공해 트렌드 분석 제품과 서비스를 구축하는 데 사용할 수 있다. 
 
ⓒ Avast

무료 안티바이러스 프로그램을 설치할 때 사용자는 패스워드 저장이나 디스크 청소 등 소프트웨어가 설치하는 모든 모듈을 선택하지 않을 수 있다. 기본값으로 보안 브라우저 확장 프로그램과 세이프프라이스(SafePrice) 브라우저 확장 프로그램은 선택된 상태이다. 

참고로 PCWorld는 모든 항목을 선택하지 않고 어베스트 안티바이러스를 설치해 봤다. 어베스트 소프트웨어는 설치 과정이 완료됐다고 보고했고, 윈도우 보안 역시 어베스트 소프트웨어가 설치됐다고 알려왔다. 하지만 어베스트 소프트웨어 자체를 실행할 수는 없었으며, 대시보드도 마찬가지였다. 이에 대해 어베스트에 문의해 답변을 기다리는 중이다. editor@itworld.co.kr


X