CWN(CHANGE WITH NEWS) - 틱톡 iOS 앱, 사용자 모든 움직임 추적 가능해…프라이버시 적신호

인기 숏폼 영상 플랫폼 틱톡을 iOS 기기로 실행하면, 사용자의 스마트폰 활동 모두 앱의 감시 대상이 될 수 있다는 사실이 밝혀졌다.

영국 일간지 가디언은 소프트웨어 엔지니어 펠릭스 크라우스(Felix Krause)의 신규 연구를 인용, 사용자가 틱톡 iOS 앱으로 서드파티 사이트에 접속하면 사용자의 모든 활동을 추적할 수 있다는 경고를 전했다.

크라우스는 자바스크립트 코드를 적용한 SNS 플랫폼에 사용자의 모든 활동을 추적할 수 있는 서드파티 웹사이트를 주입한 결과를 담은 보고서를 발행했다.

크라우스는 인앱브라우저(InAppBrowser)라는 보안 툴을 이용해, 틱톡 iOS 앱이 사용자의 키패드 입력 내용과 텍스트 입력, 화면 탭 활동을 모두 추적할 수 있다는 사실을 밝혀냈다. 크라우스는 틱톡 iOS 앱이 신용카드 정보, 계정 패스워드 등 각종 민감 정보 유출 피해로 이어질 수 있다고 경고했다.

크라우스는 틱톡 이외에도 인스타그램과 페이스북, 페이스북 메신저, 아마존, 스냅챗, 로빈후드의 iOS 앱 보안도 똑같이 검증했다. 크라우스는 조사 결과, 틱톡 앱이 유일하게 사용자가 서드파티 웹사이트 접속 시 인앱 브라우저를 외부 브라우저 연결 전환을 지원하지 않는다는 사실을 확인했다.

크라우스의 보고서를 본 시드니공과대학교 전자 및 데이터공학부 교수 프리야다시 난다(Priyadarsi Nanda) 교수는 “어떤 웹사이트에 접속하든 사용자가 입력한 값을 얻는다. 사용자의 프라이버시를 우려할 수밖에 없는 문제이다”라고 설명했다.

그러나 틱톡 대변인은 매체에 “크라우스의 보고서가 제시한 결과는 정확하지 않으며, 대중의 오해를 유발할 수 있다”라며, 사용자 활동 추적 가능성을 부인했다.

이어서 “크라우스는 자바스크립트 코드가 틱톡의 악의적인 활동을 개시할 의도를 의미하지 않는다고 언급했다. 그리고 인앱 브라우저로 수집하는 데이터 종류를 100% 알 수 없다는 점도 인정했다. 틱톡은 크라우스의 보고서가 주장하는 바와 달리 키패드 입력 내용이나 텍스트 입력값을 일절 수집하지 않는다. 자바스크립트 코드는 디버깅과 앱 문제 퇴치, 성능 모니터링 목적으로만 사용한다”라며, 크라우스의 주장에 반박했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]