애플이 iOS14에서 개인정보보호를 위한 모니터링 기능을 업데이트하면서 중국 바이트댄스의 SNS 애플리케이션(앱) ‘틱톡’의 개인정보 유출관련 의혹들이 재조명되고 있다.

28일(현지시간) 미국 IT매체 핫하드웨어는 “이번 iOS14 업데이트에서 추가된 클립보드 복사 알림 기능을 통해 알려진 틱톡의 개인정보 정보접근과 유사한 사례가 지난 4월쯤에도 지적됐다”고 보도했다.

앞서 지난 26일 ‘클립보드 앱 접근 알림’ 기능이 추가된 애플 iOS14 베타버전이 공개됐다. 해당 기능을 통해 틱톡이 그동안 명확한 목적을 고지한 적 없이 사용자의 클립보드의 내용을 복사해갔다는 사실이 폭로됐다.

◇“iOS·안드로이드 앱들, 그동안 권한 요청없이 클립보드 접근 가능”

지난 4월 미국 커뮤니티 ‘레딧’의 한 이용자 뱅오어롤(Bangorlol)은 “틱톡 앱을 역 엔지니어링 해봤다”라는 글을 게재했다. 뱅오어롤에 따르면 틱톡은 Δ전화 하드웨어 Δ설치된 앱 ΔIP 등 네트워크 접속 정보 등의 데이터를 수집해 갔다.

같은 날 미국 IT·보안매체 아스테크니카 역시 “누라로직스(NuraLogix) 소속 앱개발자 탈랄 하즈 바크리와 토미 마이스크가 지난 3월에도 틱톡을 포함한 53개 앱들이 사용자의 클립보드에 무단 접속하고 있었다는 사실이 공개됐다”고 보도했다.

당시 이들이 공개한 클립보드 접근 목적을 밝히지 않고 무단으로 접근한 앱은 Δ틱톡 Δ웨이보 Δ비주얼드 Δ프루트 닌자 등이다.

이에 대해 탈랄 하즈 바크리는 “iOS13.3부터 클립보드에 복사한 내용에 접근하기 위해서는 앱 권한이 따로 필요하지 않았다”며 “개인의 데이터가 의심스러운 앱에 노출될 위험이 있다”고 지적했다.

안드로이드 역시 안전하지 않다. 이들은 “안드로이드 스마트폰은 더 상황이 나쁘다”라며 “안드로이드10까지는 백그라운드에서 실행중인 앱까지 클립보드를 읽을 수 있도록 허용됐다”며 우려를 표했다.

◇‘개인정보 침해 사실무근’ 강조하던 틱톡, 클립보드 접속 여부 묻자 “확인 중”

이번 논란에 대해 틱톡 측은 명확한 입장을 밝히지 못한 채 ‘오락가락’하는 상황이다.

당초 틱톡의 국내 홍보대행사 관계자는 “틱톡이 클립보드에서 이용자가 입력한 내용을 복사해갔다”는 지난 26일 <뉴스1>의 보도에 대해 “해당 내용은 사실무근”이라고 해명했다. 이는 “(틱톡이 아닌) iOS의 업데이트 버그로, 안티스팸 기능의 오류로 촉발된 것”이라고 주장했다.

그러나 이날 사용자 클립보드 접속 및 복사가 실제로 이뤄졌는지 여부를 묻자 “해외 본사에 확인해보겠다”고 했지만 사흘이 지난 29일 현재까지도 “아직 해외 본사에서 답변이 오지 않았다”며 함구하고 있다.

◇“클립보드 역시 카메라·마이크처럼 사용자에 권한 허용 여부 맡겨야”

해외 IT매체들에 따르면 틱톡 본사 측은 “틱톡 앱의 클립보드 접속은 이용자의 ‘스팸성 행동’을 식별하기 위해 만들어진 기능”이라며 “스팸 방지 기능을 제거한 업데이트 버전을 애플 앱스토어에 제출한 상태”라며 국내 대행사에서 밝힌 것과 다른 입장을 공개했다.

한 보안업계 관계자는 이번 개인정보 침해 논란에 대해 “애플과 구글 측에서 ‘클립보드’ 역시 마이크나 카메라 사용권한 허가처럼 앱들이 접근할 때 목적을 명확히 밝히고 사용자에게 권한 허용 여부를 맡겨야 한다”고 강조했다.

이어 “이번 사안이 터지기 전까진 이용자들은 계좌번호, ID, 비밀번호, 전화번호 등 다양한 개인정보를 클립보드에 복사하는데 클립보드에 앱들이 접속한다는 사실조차 몰랐을 것”이라고 지적했다.

틱톡은 지난해 2월에는 아동 개인정보 불법 수집 위반으로 미국 연방거래위원회(FTO)으로부터 과징금 570만달러(약 68억원)를 부과받은 바 있다. 미국 내에서는 틱톡이 중국 정부의 ‘스파이앱’이라는 논란까지 일었었다.

현재 틱톡은 1분 안쪽의 짧은 동영상인 ‘숏폼 콘텐츠’를 선호하는 10대와 20대를 중심으로 국내에도 다수의 이용자를 보유하고 있다. 시장조사업체 랭키닷컴에 따르면 지난해 10월 기준 틱톡의 국내 월평균이용자(MAU)는 266만명이다.


(서울=뉴스1)