러시아 최대 인터넷 기업이 사용자 개인정보를 수집한 사실이 뒤늦게 알려졌다.

Ars테크니카, 비즈니스인사이더 등 복수 외신은 ‘러시아의 구글’이라는 수식어로 유명한 인터넷 기업 얀덱스(Yandex)가 모바일 앱의 삽입 코드를 이용해 사용자 수백만 명의 정보를 러시아 서버로 전송한 소식을 전했다.

현재 얀덱스는 소프트웨어 개발 키트(SDK) 형태의 소프트웨어인 ‘앱메트리카(AppMetrica)’를 보유했다. 개발자가 앱 제작 시 블록을 생성하는 SDK 상당수가 무료로 제공되나 그 대신 맞춤 광고를 위해 여러 외부 기업에 사용자 데이터 접근 권한을 부여한다.

지금까지 앱메트리카를 사용해 개발된 앱 중에는 게임과 메시지 앱, 위치 공유 툴, VPN 등 그 종류가 다양하다. 특히, 앱메트리카로 제작된 VPN 앱 중 7개는 우크라이나 사용자 전용으로 개발된 것으로 드러났다.

얀덱스도 자사 소프트웨어가 핀란드와 러시아 서버에 저장하는 기기, 네트워크, IP 주소 정보를 수집한다는 사실을 인정했다. 그러나 사용자 데이터 수집 범위는 개인을 식별할 수 없을 정도로 매우 제한적이라고 주장했다.

얀덱스가 오랫동안 러시아 정부의 인터넷 통제 명령을 위반하지 않는 선에서 서비스를 제공해왔다는 점에서 다수 전문가가 이번 소식에 주목했다.

얀덱스의 모바일 앱 삽입 코드를 동원한 사용자 데이터 수집 관행을 최초로 알린 보안 연구원 잭 에드워드(Zach Edwards)는 “앱메트리카는 적절한 서비스를 제공한다고 주장하면서도 개인 정보 침해 수준이 심각한 메타데이터를 포함해 러시아 내에서 개인 정보를 공유한다. 얀덱스의 메타데이터는 웹사이트와 앱 전반에 걸쳐 사용자를 추적할 수 있다”라고 설명했다.

전직 애플 글로벌 보안 수석 소프트웨어 엔지니어인 체르 스칼렛(Cher Scarlett)은 러시아 서버로 사용자 정보를 한 번 수집하면, 얀덱스가 러시아 법률에 따라 정부에 사용자 데이터를 모두 제출해야 할 의무가 있다는 사실을 지적했다.

또, 다수 보안 전문가가 얀덱스가 수집한 것과 같은 메타데이터는 사용자 식별 작업에 동원된다고 입을 모아 경고했다.

얀덱스의 개인 정보 수집 관행이 알려지자 미국 정치권에서는 구글과 애플을 향한 비판의 목소리가 등장했다. 론 와이든(Ron Wyden) 상원 의원은 자체 운영체제를 실행하는 스마트폰의 얀덱스 소프트웨어 보안 작업에 소홀해, 앱메트리카로 개발한 모바일 앱 5만 2,000여 개의 사용자 수백만 명의 개인 정보 노출 위험성이 심각해지도록 한 사실을 두고 구글과 애플을 질타했다.

와이든 의원은 “구글과 애플이 유지하는 독점과 다를 바 없는 앱스토어 통제 권한은 사용자 안전 유지에 반드시 필요하다. 구글 플레이스토어와 애플 앱스토어에 배포된 앱메트리카로 제작한 모든 앱은 구글, 애플이 주장하는 사용자 안전 증명 주장이 거짓이라는 사실을 입증했다”라고 말했다.

얀덱스는 앱메트라카 사용이 문제가 되자 “구글 파이어베이스(Google Firebase)를 포함한 업계의 비슷한 서비스와 같은 방식으로 서비스를 제공한다. 얀덱스는 안드로이드와 iOS 앱으로 사용자의 동의를 얻었을 때만 사용자 데이터를 수집한다”라며, 앱메트리카의 사용자 개인 정보 무단 수집 논란을 부인했다.

이어, “얀덱스는 앱메트리카로 제작한 앱 사용자의 정보는 외부로 일절 공유하지 않는다. 또, 앱메트리카 기반 앱 수집 정보 공유 요청을 받은 적도 없다”라고 강조했다.

그러나 디지털 프라이버시 툴 개발사인 디스코넥트(Disconnect) 최고 기술 관리자인 패트릭 잭슨(Patrick Jackson)은 “SDK가 프라이버시 위험을 유발할 수 있는 이유는 개인 정보 수집 허가 요청을 하지 않기 때문이다. SDK는 사용자가 앱을 통해 동의한 개인 정보 접근 권한 허가를 악용할 뿐 별도로 사용자에게 개인 정보 수집 허용 여부를 묻지 않는다”라고 말했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]