최근 애플은 캘리포니아 소비자 프라이버시법(California Invasion of Privacy Act) 위반 혐의로 집단 소송을 당했다. 후속 조치로 공개된 자료에 따르면, 상황은 애플에 더욱 좋지 않은 방향으로 흘러갈 것으로 보인다. 애플에 전송된 사용 데이터에서 고유 ID 번호가 발견된 것이다. 사용자 데이터를 익명으로 보관한다는 애플의 주장과 모순된다. ⓒ Foundry
자신을 iOS 개발자이자 사이버보안 연구원이라고 밝힌 트위터 계정 미스크(Mysk)는 “애플의 애널리틱스 데이터에 ‘dsld’라는 ID가 포함되어 있다. 아이클라우드 계정을 고유하게 식별하는 ID로, 애플의 애널리틱스가 사용자를 개별적으로 식별할 수 있다는 의미”라고 주장했다. 6개 부분으로 구성된 쓰레드에서 수집한 데이터에서 일관적으로 발견된 DSID(Directory Service Identifier) 번호를 그 증거로 제시했다.
???? New Findings:
???? 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you ???? pic.twitter.com/3DSUFwX3nV
미스크는 DSID가 “사용자 이름, 이메일 및 아이클라우드 계정의 모든 데이터”와 연결되어 있다고 설명했다. 즉, 애플과 이론적으로 서드파티 광고 파트너는 사용자가 클릭하는 앱과 보는 광고를 구체적으로 연결 지을 수 있다. 물론 애플이 실제로는 DSID를 보지 않고 데이터를 익명으로 유지하고 있을 수도 있지만, 애널리틱스 데이터에 DSID가 포함되어 있다는 사실 자체가 문제다.
또한 “수집되는 정보는 사용자 개인의 신원을 나타내지 않는다”라고 명시한 애플의 기기 분석 및 개인정보 보호 정책과도 상충된다. 애플은 이 정책의 뒷부분에서 “종단간 암호화 기술을 사용한 동기화를 통해 해당 기기에서 애플 앱에 관한 일부 사용 데이터를 연관시킬 수 있다”라고 언급했지만, “이 과정은 사용자 개인의 신원을 애플에 나타내지 않는 방식으로 이뤄진다”라고 덧붙였다.
하지만 버지가 지적한 것처럼 애플이 별도로 마련한 앱 스토어 개인정보 보호 약관은 다소 모순되고 모호하다. 해당 약관에서 애플은 “앱 스토어 기능을 향상하기 위해 사용자의 브라우징, 구입, 검색 및 다운로드에 관한 정보가 사용된다. 이 기록은 IP 주소, 임의 고유 식별자 및 사용자가 앱 스토어 또는 기타 애플 온라인 스토어에 로그인할 때의 애플 ID와 함께 저장된다”라고 설명한다.
미스크에 따르면, 애플에 전송된 세부 정보는 ‘아이폰 분석 공유’ 옵션을 비활성화의 영향을 받지 않는 것으로 나타났다. 앱 스토어 및 기타 iOS 앱을 사용하지 않는 것 외에는 DSID 전송을 막을 뚜렷한 방법은 없는 셈이다. 미스크가 이달 초 처음 제기한 이런 주장에 대해 애플은 아직 답변을 내놓지 않았다.
미스크의 조사 결과는 명시적인 약속에 대한 모순처럼 보일 뿐 아니라 그동안 개인정보 보호를 꾸준히 주장해오던 애플에 좋지 않은 영향을 미칠 수 있다. 또한 애플이 그동안 고수하던 개인정보 보호 원칙은 이제 상세한 사용자 데이터 유입으로 이익을 얻는 광고 사업과도 충돌할 우려가 있다.
editor@itworld.co.kr
넘버스
넘버스
Tags
추천기사
