앱 © AFP=뉴스1

애플 앱스토어에서 내려받은 몇몇 주요 기업들의 앱(어플리케이션)이 사용자의 허락은 물론 사용자가 인식도 못하는 중에 앱 사용 기록을 캡처하고 있었던 것으로 밝혀졌다. 7일(현지시간) 미국 기술 전문 매체인 테크크런치의 보도에 따르면 호텔스닷컴(Hotels.com)을 비롯해 호텔, 여행 사이트, 소매업체 분야 인기 있는 아이폰 앱들이 이같은 '세션 재생'(session replay) 기능을 보유하고 이 기능을 사용 중이었다. 이 기능을 이용하면 사용자의 활동뿐 아니라 민감한 데이터도 캡처가 가능해 유출되거나 잘못 사용될 경우 심각한 피해를 입힐 위험성이 높았다.

테크크런치 보도에 따르면 호텔스닷컴, 에어 캐나다, 아베크롬비앤피치(A&F) 등의 앱 개발자들은 '글래스박스'를 이용해 '세션 재생' 기술을 앱에 내장시켰다. 글래스박스는 세션재생 기술에 특화된 크로스플랫폼(교차사용 가능) 분석툴이다.

테크크런치는 이를 통해 모든 탭, 버튼 누르기, 키보드 입력 내용이 스크린샷으로 기록되고 앱 개발자에게 다시 전송된다고 밝혔다. 하지만 이들 앱 가운데 사용자에게 화면을 녹화한다고 하거나, 기업에 정보를 다시 송신하고 있다고 밝힌 앱은 없었다. 앱 분석가는 앱이 사용자의 어떤 화면을 녹화하고 있는지 확인하기 위해 앱 별로 모든 데이터를 분석해야 할 것이라고 밝혔다.

하지만 앱 분석가는 이메일 주소, 우편번호, 여권번호, 심지어는 신용카드 번호가 보이는 화면도 볼 수 있다고 밝혔다. 아베크롬비는 글래스박스 사용을 인정했다. 에어캐나다는 "고객의 여행 관련 요구사항을 지원하는 등의 이유로 모바일 앱에 입력되는 사용자 정보를 사용할 수 있다"면서도 "그러나 에어 캐나다는 에어캐나다 앱 밖에서는 화면을 캡처하지 않으며 캡처할 수도 없다"고 밝혔다.

글래스박스 측은 자신들이 수집한 자료는 제3자와 공유되지 않으며 화면 캡처가 '고도로 안전하며 암호화되었고 온전히 고객의 것'이라고 말했다. 

애플은 사용자의 허락 없이 은밀하게 데이터를 수집하는 앱을 명시적으로 금지하고 있다. 애플 대변인은 테크크런치에 보낸 이메일에서 "애플 생태계에서는 사용자의 프라이버시를 보호하는 것이 가장 중요하다. 우리의 앱스토어 리뷰 지침에서는 앱이 사용자 활동을 기록, 로그인 또는 녹화할 때 명시적으로 사용자 동의를 요청할 것을 요구한다"고 강조했다.

대변인은 이어 "이러한 엄격한 사생활 보호 조항과 지침을 위반한 개발자에게 위반 사실을 통보했고 필요하다면 즉각 조치를 취할 것"이라고 덧붙였다.

글래스박스는 안드로이드 앱 개발자들도 이용할 수 있다. 구글플레이 역시 앱이 기기 사용 정보를 몰래 수집하는 것을 명시적으로 금하고 있다.


ungaungae@