美 27개 주정부 웹사이트서 틱톡이용자 추적 SW코드 발견

"틱톡 앱 삭제해도 데이터 수집 활동 지속"

미국 27개 주 정부의 웹사이트 30곳에 바이트댄스가 만든 '트래킹 픽셀'이 존재하는 것으로 나타났다. 사진=월스트리트저널

[오피니언뉴스=이상석 기자] 미국 정부가 중국 바이트댄스의 영상 플랫폼 틱톡을 금지하려는 움직임을 보이는 가운데 미국 20여개 주 정부의 공식 웹사이트에 바이트댄스가 만든 이용자 추적 소프트웨어(SW) 코드가 탑재된 것으로 밝혀졌다.

캐나다 소프트웨어 업체 페루트 시큐리티가 기업, 단체와 정부 기관 3500여곳의 웹사이트를 조사한 결과 미국 27개 주 정부의 웹사이트 30곳에 바이트댄스가 만든 '트래킹 픽셀'이 존재하는 것으로 나타났다고 21일(현지시간) 월스트리트저널(WSJ)이 보도했다.

트래킹 픽셀은 웹사이트로 유입된 사용자를 추적해 기록한 데이터를 통해 맞춤형 디지털 광고와 마케팅을 돕기 위한 소프트웨어 코드다.

'웹 비컨'이라고도 불리는 트래킹 픽셀은 상업용 웹사이트에서는 아주 흔하다. 트래킹 픽셀은 주로 페이스북 모기업 메타나 구글 등에서 만든다.

바이트댄스도 최근 몇 년간 틱톡의 인기가 급상승하자 미국 소셜미디어 기업들과 경쟁하기 위해 트래킹 픽셀을 이용한 맞춤형 광고 사업을 시작했고 코드는 미국 소비자들을 겨냥한 수많은 웹사이트에 탑재됐다.

트래킹 픽셀은 표면적으로는 맞춤형 광고를 목표로 한다고 하지만 개인정보 보호에는 위협이 될 수 있다고 보안 전문가들은 말한다.

트래킹 픽셀은 때로 사용자가 웹사이트에 입력하는 이름, 주소와 다른 민감한 정보들을 수집하도록 설정될 수 있다.

웹사이트에 내장된 트래킹 픽셀로 웹사이트 관리자는 이용자 개개인의 행동을 종합해 이용자 관심사와 온라인상 습관 등 상세한 프로필까지 작성할 수 있다.

이번 조사 결과 심지어 웹사이트에 바이트댄스의 트래킹 픽셀을 탑재하는 주 정부 중에는 최근 틱톡을 금지한 곳도 있었다.

문제의 웹사이트 중 메릴랜드주의 코로나19 대응 웹사이트와 구직자를 돕는 유타주 웹사이트도 포함된 두개 주는 최근 주 정부 소유 기기와 네트워크에서 틱톡 이용을 금지했다.

소비자매체 컨슈머리포트도 지난해 애리조나주 정부와 다른 웹사이트 등에 틱톡의 트래킹 픽셀이 있다는 사실을 밝혔다.

미국 정부가 틱톡을 금지하려는 가운데 정작 주 정부 웹사이트에서는 바이트댄스의 이용자 추적 코드가 여전히 존재한데다 해당 주 정부가 무심코 바이트댄스의 데이터 수집 활동을 돕고 있었다는 뜻이 될 수 있다.

단순히 미국 내 스마트폰에서 틱톡을 삭제해버린다고 해서 바이트댄스의 미국인 이용자 데이터 추적 활동이 중단되지는 않는다는 뜻이라고 WSJ은 진단했다.

틱톡 대변인은 "다른 플랫폼과 마찬가지로 우리가 광고주로부터 받은 데이터는 광고 서비스의 효율성을 개선하는 데 이용된다"며 "약관에 광고주들은 특정 데이터를 우리와 공유하지 못하고 우리는 이러한 데이터가 무심코 전송되지 않도록 파트너와 꾸준히 협업하고 있다"고 말했다.

또 미국 주 정부들의 웹사이트에서 바이트댄스뿐 아니라 또 다른 중국 기업 텐센트와 러시아 사이버보안업체 카스퍼스키의 트래킹 픽셀도 발견됐다.

과거 도널드 트럼프 행정부 시절 미국은 기밀 유출 우려를 이유로 정부 기관에서 카스퍼스키의 컴퓨터 백신 프로그램 사용을 금지했다.

개인정보 전문가들은 어느 기업이 만들었는지와 관계없이 트래킹 픽셀의 확산에 따른 우려를 제기해왔다.

전자프라이버시정보센터(EPIC)의 앨런 버틀러 전무이사는 트래킹 픽셀 데이터가 개인을 식별해 물리적·디지털 방식으로 추적하고 피싱과 허위 정보 등 사이버보안 위험에 처하게 할 수 있다고 말했다.

정부 당국자들과 미 의회는 더 큰 악용 가능성에 대해 우려하고 있다.

관련 전문가들에 따르면 중국과 러시아는 온라인 광고 거래소에서 마케팅·소비자 정보를 빼내기 위해 페이퍼컴퍼니와 대리인들을 일상적으로 동원하는 것으로 알려졌다.

이런 거래소의 광고 관련 소프트웨어 코드는 지구상 거의 모든 휴대전화에서 돌아가고 있기 때문에 이들 중 상당수의 정보를 수집할 수 있다.

많은 경우 이런 데이터는 날씨·게임 앱을 통해 제공된 이용자 위치정보를 바탕으로 정확한 위치정보를 얻는 데 쓰일 수 있다. 또 더 정교한 사이버 공격에 유용한 정보를 빼낼 수도 있다.

WSJ은 각국 당국도 이 같은 시스템을 사용해 표적에 악성코드를 보낼 수 있다고 관련 문서와 전문가들을 인용해 전했다.

미 의회는 정보기관들에 해외 적대 세력의 광고 기술 데이터를 통한 인터넷 이용자 추적 활동에 대해 평가해달라고 요청했으나, 아직 그 결과가 의회에 오지는 않았다고 관계자가 밝혔다.

추쇼우즈(周受資) 틱톡 최고경영자(CEO)는 오는 23일 미 하원 에너지 통상위원회의 청문회에 출석해 틱톡의 미국인 개인정보 관리 관행과 중국 공산당과의 관계 등에 대해 증언할 예정이다.

이상석 기자 다른기사 보기