WSJ는 모바일 앱 분석 회사에 의뢰해 2018년 4월부터 2020년 1월까지 구글 플레이스토어에 올라와 있는 틱톡 9개 버전을 분석했다. 그 결과 틱톡은 지난해 11월까지 사용자 몰래 민감 정보인 MAC 주소를 수집했다. MAC(Media Access Control Address) 주소는 모바일 기기의 통신 기능을 위해 하드웨어에 저장된 개인의 네트워크 인터페이스 고유 식별 주소다. 인터넷을 활용하는 모든 기기에서 사용자를 구분할 수 있고 바뀌지도 않는다. 주로 맞춤형 광고 목적으로 쓰인다. 미국 연방거래위원회는 MAC 주소를 청소년개인정보보호법에서 정한 개인식별정보로 분류해 보호하고 있다.
"MAC주소와 광고ID 등 번들로 묶어 바이트댄스사 전송"
택틱이 주소를 모으는 방식은 사용자들의 동의를 구하지도, 사용자들이 알 수 없기 때문에 문제가 된다고 WSJ는 설명했다. 다만 현재 배포된 틱톡의 최신 버전에서는 이런 문제가 발견되지는 않았다. WSJ는 틱톡 측에 민감한 개인정보를 모아 본사에 전송한 의혹과 관련해 문의했지만, 틱톡 측은 현재까지 답변을 하지 않고 있다고 전했다. 다만 틱톡 측은 공식 성명을 통해 "사용자들의 정보를 지키기 위해 노력 중이며 이를 위해 앱을 지속적으로 발전시키고 있다"고 밝혔다. 또 현재 시중에 있는 버전은 MAC주소를 수집하지 않는다고도 덧붙였다.
애플사는 이미 2013년 아이폰의 MAC주소를 보안화해 타사의 앱이 이를 식별하지 못하게 했다. 2년 뒤 구글도 안드로이드 체제에서 MAC 주소 보안 조치를 했지만, 문제는 틱톡이 안드로이드의 보안 체제를 우회했다는 데 있다. 안드로이드에 난 '보안 구멍'에 관해 구글 측도 답변을 내놓지 않았다고 WSJ은 전했다.
"한번 유출되면 깨끗한 상태로 돌아갈 수 없어"
2018년 모바일 앱 분석 회사 앱센서스의 분석에 따르면 안드로이드에 등록된 앱의 1%가 사용자들의 MAC 주소를 수집한 것으로 나타났다. WSJ는 대부분의 주요 모바일 앱들은 사용자들의 데이터를 광범위하게 수집한다고 꼬집었다. 이런 우려에 대해 기술 기업들은 개인 맞춤형 광고를 위해 수집된 데이터일 뿐이라는 입장이다. 틱톡은 올해 초 자사의 앱이 미국의 페이스북이나 알파벳(구글 모회사)보다 사용자들의 개인 정보를 덜 모은다고 주장하기도 했다.
정은혜 기자 jeong.eunhye1@joongang.co.kr