2021.10.08

IDG 블로그 | 크롬 브라우저 ‘기기 사용 여부’ 설정, 구글만 몰랐던 부작용

Evan Schuman | Computerworld
구글이 지난달 안드로이드 및 데스크톱용 크롬 94 버전을 배포하면서 ‘기기 사용 여부(Idle Detection)’라는 사악한 API를 탑재했다. 
 
ⓒ Thinkstock

구글에 따르면, 기기 사용 여부 설정은 개발자에게 사용자가 현재 기기를 사용 중인지 알려준다. 개발자가 정의한 임계값을 바탕으로 사용자의 키보드나 마우스, 모니터 사용 여부와 화면 보호기 활성화, 화면 잠금, 화면 전환 등을 확인할 수 있다. 구글은 “기존 메커니즘에서는 애플리케이션 자체와의 상호작용만 고려하지만, 협업 애플리케이션에는 사용자가 자리 비움 상태인지 아닌지에 대한 보다 종합적인 신호가 필요하다”라고 설명했다. 

기기 사용 여부 설정이 어떤 면에서 악영향을 미치는지 살펴보자. 포스포스(FossForce)는 구글과 같은 모바일 솔루션 업체가 왜 항상 사용자를 염두에 두지 않는지를 설득력 있게 분석한 두 명의 소식통을 인용했다.

모질라 웹 표준 책임자 탄텍 셀릭은 “기기 사용 여부 기능은 웹사이트가 사용자의 물리적인 사생활을 침해하도록 함으로써 감시 자본주의로 이끈다. 사용자의 하드웨어 이용 양상을 장기적으로 기록하고 점심시간 등 생활 규칙을 파악할 수 있으며, 사용자의 능동적인 행동을 심리학적으로 조작할 수 있다”라고 우려했다.

또한, 셀릭은 “개별 사이트가 사용자의 대략적인 행동 패턴을 바탕으로 동의 없이 암호화폐 채굴에 컴퓨팅 자원을 최대치로 배정하고 전력을 낭비하며 탄소배출량을 높일 위험이 있다. 사용자가 이를 의식하지 못하는 경우도 있을 수 있다”라고 강조했다.

사생활 보호에 특화된 비발디 브라우저에서는 기기 사용 여부 설정을 기본 비활성화 기능으로 탑재했다. 비발디 테크놀로지 대표 욘 폰 테츠너는 ”비발디에서는 사용자가 컴퓨터 앞에 있는지 없는지 실제로 관찰한다는 개념을 사생활 문제이자 보안 문제로 간주한다. 누군가는 ‘컴퓨터 앞에 아무도 없는 동안 컴퓨터를 좀 망가뜨려 볼까’라고 생각하며 암호화폐 채굴 등에 사용할 가능성이 있다”라고 설명했다.

문제는 여기에 있다. 구글은 오직 수익과 사업 파트너에만 초점을 맞출 만큼 순진하지 않다. 구글은 광고주나 광고 업체, 혹은 게임 개발자가 가치 있게 여기는 데이터가 있을 경우 모두와 공유하면 된다고 합리화한다.

구글이나 애플과 같은 업체는 모바일 플랫폼을 개발할 때 '악의를 품은 사람이 이 정보로 저지를 수 있는 최악의 범죄가 무엇인지' 생각해볼 필요가 있다. 보안이나 프라이버시 전문가처럼 생각해야 한다는 의미다.

구글 개발자들이 기기 사용 여부 설정에 대해 논의할 당시 사이버보안 담당 임원을 불러야겠다고 생각하기는 했을까? 프라이버시팀이 회의에 참여하기는 했을까? 혹은 사이버보안이나 프라이버시팀에게 메모를 남기거나 참조 이메일을 보냈을까?

이 설정의 최종 승인자는 알 수 없지만, 사이버보안 혹은 프라이버시 담당자가 아닌 것은 확실하다. 이런 결정은 전적으로 개인이 아니라 부서 단위로 도출된 결과에 근거한다. 다른 업체였다면 필자는 프라이버시와 보안 담당자의 조언이 회의에서 무시됐거나 기각됐다고 짐작했을 것이다. 하지만 구글에서는 분명 보안 및 프라이버시 담당자가 틀림없이 참조 메일을 받지 않았거나 회의에 참석하지 않았을 것이다.

모든 새로운 제품과 기능을 출시하기 전에는 프라이버시와 보안을 매우 정밀하게 검토해야 한다. 사실 고칠 수 있는 문제만 검토해도 무방하다. 때문에 구글 개발진이 프라이버시와 보안 문제가 분명히 존재하는데도 인식하지 못한 것도 문제다. 소프트웨어를 바라보는 방식이 다른 것이다. 구글 개발진은 프로그램을 구성하는 코드를 시장 점유율을 높이는 이익 수단으로만 여긴 셈이다.

프라이버시·보안은 나중에 생각할 문제가 아니다. 물론 나중에 생각할 수도 있겠지만, 기기 사용 여부 설정이라는 끔찍한 기능은 프라이버시와 보안을 미뤄도 되는 문제로 여긴 결과다. editor@itworld.co.kr
 


2021.10.08

IDG 블로그 | 크롬 브라우저 ‘기기 사용 여부’ 설정, 구글만 몰랐던 부작용

Evan Schuman | Computerworld
구글이 지난달 안드로이드 및 데스크톱용 크롬 94 버전을 배포하면서 ‘기기 사용 여부(Idle Detection)’라는 사악한 API를 탑재했다. 
 
ⓒ Thinkstock

구글에 따르면, 기기 사용 여부 설정은 개발자에게 사용자가 현재 기기를 사용 중인지 알려준다. 개발자가 정의한 임계값을 바탕으로 사용자의 키보드나 마우스, 모니터 사용 여부와 화면 보호기 활성화, 화면 잠금, 화면 전환 등을 확인할 수 있다. 구글은 “기존 메커니즘에서는 애플리케이션 자체와의 상호작용만 고려하지만, 협업 애플리케이션에는 사용자가 자리 비움 상태인지 아닌지에 대한 보다 종합적인 신호가 필요하다”라고 설명했다. 

기기 사용 여부 설정이 어떤 면에서 악영향을 미치는지 살펴보자. 포스포스(FossForce)는 구글과 같은 모바일 솔루션 업체가 왜 항상 사용자를 염두에 두지 않는지를 설득력 있게 분석한 두 명의 소식통을 인용했다.

모질라 웹 표준 책임자 탄텍 셀릭은 “기기 사용 여부 기능은 웹사이트가 사용자의 물리적인 사생활을 침해하도록 함으로써 감시 자본주의로 이끈다. 사용자의 하드웨어 이용 양상을 장기적으로 기록하고 점심시간 등 생활 규칙을 파악할 수 있으며, 사용자의 능동적인 행동을 심리학적으로 조작할 수 있다”라고 우려했다.

또한, 셀릭은 “개별 사이트가 사용자의 대략적인 행동 패턴을 바탕으로 동의 없이 암호화폐 채굴에 컴퓨팅 자원을 최대치로 배정하고 전력을 낭비하며 탄소배출량을 높일 위험이 있다. 사용자가 이를 의식하지 못하는 경우도 있을 수 있다”라고 강조했다.

사생활 보호에 특화된 비발디 브라우저에서는 기기 사용 여부 설정을 기본 비활성화 기능으로 탑재했다. 비발디 테크놀로지 대표 욘 폰 테츠너는 ”비발디에서는 사용자가 컴퓨터 앞에 있는지 없는지 실제로 관찰한다는 개념을 사생활 문제이자 보안 문제로 간주한다. 누군가는 ‘컴퓨터 앞에 아무도 없는 동안 컴퓨터를 좀 망가뜨려 볼까’라고 생각하며 암호화폐 채굴 등에 사용할 가능성이 있다”라고 설명했다.

문제는 여기에 있다. 구글은 오직 수익과 사업 파트너에만 초점을 맞출 만큼 순진하지 않다. 구글은 광고주나 광고 업체, 혹은 게임 개발자가 가치 있게 여기는 데이터가 있을 경우 모두와 공유하면 된다고 합리화한다.

구글이나 애플과 같은 업체는 모바일 플랫폼을 개발할 때 '악의를 품은 사람이 이 정보로 저지를 수 있는 최악의 범죄가 무엇인지' 생각해볼 필요가 있다. 보안이나 프라이버시 전문가처럼 생각해야 한다는 의미다.

구글 개발자들이 기기 사용 여부 설정에 대해 논의할 당시 사이버보안 담당 임원을 불러야겠다고 생각하기는 했을까? 프라이버시팀이 회의에 참여하기는 했을까? 혹은 사이버보안이나 프라이버시팀에게 메모를 남기거나 참조 이메일을 보냈을까?

이 설정의 최종 승인자는 알 수 없지만, 사이버보안 혹은 프라이버시 담당자가 아닌 것은 확실하다. 이런 결정은 전적으로 개인이 아니라 부서 단위로 도출된 결과에 근거한다. 다른 업체였다면 필자는 프라이버시와 보안 담당자의 조언이 회의에서 무시됐거나 기각됐다고 짐작했을 것이다. 하지만 구글에서는 분명 보안 및 프라이버시 담당자가 틀림없이 참조 메일을 받지 않았거나 회의에 참석하지 않았을 것이다.

모든 새로운 제품과 기능을 출시하기 전에는 프라이버시와 보안을 매우 정밀하게 검토해야 한다. 사실 고칠 수 있는 문제만 검토해도 무방하다. 때문에 구글 개발진이 프라이버시와 보안 문제가 분명히 존재하는데도 인식하지 못한 것도 문제다. 소프트웨어를 바라보는 방식이 다른 것이다. 구글 개발진은 프로그램을 구성하는 코드를 시장 점유율을 높이는 이익 수단으로만 여긴 셈이다.

프라이버시·보안은 나중에 생각할 문제가 아니다. 물론 나중에 생각할 수도 있겠지만, 기기 사용 여부 설정이라는 끔찍한 기능은 프라이버시와 보안을 미뤄도 되는 문제로 여긴 결과다. editor@itworld.co.kr
 


X