틱톡이 영국에서 1600만 달러라는 큰 벌금을 물게 됐다. 아동의 온라인 프라이버시를 보호하지 않았기 때문이다. 그런데 뚜껑을 열어 보니 틱톡처럼 아동들을 보호하지 않는 앱이 수두룩했다.

[보안뉴스 문가용 기자] 논란의 중심에 있는 소셜미디어 틱톡이 영국에서 아동 개인정보 보호 규정을 위반해 1600만 달러의 벌금형을 받았다. 영국의 개인정보 보호 위원회인 ICO는 틱톡이 지난 2020년 13세 이하의 영국 청소년 140만 명의 계정 생성을 허용했다는 이유로 이 같은 판결을 내렸다. 13세 이하 청소년의 틱톡 계정 생성은 틱톡이 자체적으로 금지시켜 놓은 규정이기도 하다.


영국에서는 아동들의 개인정보를 사용할 때 반드시 부모의 동의를 얻어야 한다. 법적 의무 사항이다. ICO는 틱톡이 이를 어겼다고 발표했다. “틱톡은 자신들의 플랫폼에 어린 청소년들이 등록하는 걸 스스로 금지시키고 있으면서, 이를 기술적으로는 제대로 구현하지 않았습니다. 틱톡 내부에서 이 부분을 개선해야 한다는 우려의 목소리들이 나오기도 했지만 회사는 이를 무시한 것으로 조사됐습니다.”

아동 프라이버시
하지만 이런 문제를 가진 건 틱톡만이 아니다. 픽셀레이트(Pixalate)가 분석하여 발표한 자료에 의하면 애플 앱 스토어에 등록된 아동용 앱의 54%가 아동온라인사생활보호법(COPPA)을 위반하고 있다고 한다. COPPA는 1998년부터 시행된 US 연방법으로, 13세 이하의 어린이들이 안전하게 인터넷을 사용할 수 있도록 하는 내용을 담고 있다. 13세 이하 사용자들의 정보를 수집하는 웹사이트와 온라인 서비스들에 모두 적용된다. COPPA가 중요하게 강조하는 것은 프라이버시와 관련된 규정과 정책을 명확하고 이해하기 쉽게 설명해 놓는 것과, 자녀의 개인정보를 부모가 삭제할 수 있도록 선택권을 제공하는 것이다.

아동들과 청소년들의 온라인 활동이 급증하면서 어린 자녀들의 온라인 프라이버시와 정보를 보호하는 일은 2023년 가장 뜨거운 주제 중 하나로 떠오르고 있다. 미국의 바이든 행정부는 의회에 아동 프라이버시 보호 방법을 강화할 것과, 아동들을 대상으로 한 표적 광고를 금지시킬 것을 요구하고 있고, 기술 기업들에 아동 개인정보 수집 중단을 촉구하는 중이다. 연방거래위원회도 COPPA를 어기는 플랫폼들에 강력한 벌금형을 부여하는 편이다.

위반하는 앱들이 너무 많다
하지만 픽셀레이트의 보고서에 의하면 애플의 앱스토어에 등록된 앱들 중 21%는 아예 프라이버시 관련 정책 자체가 없다고 한다. 애플은 자사 플랫폼에 앱을 등록시키려면 반드시 프라이버시 정책이 있어야 한다고 주장하는데 말이다. 어딘가 구멍이 존재한다는 뜻이다.

미국에서 등록된 아동용 앱들 중 프라이버시 정책을 보유한 것들을 모아서 분석했을 때에도 부족한 부분이 많이 발견됐다. 34%는 프라이버시 관련 현황을 사용자가 검색하거나 찾아보게 하는 기능을 갖추지 못하고 있었고, 13%는 연락처 정보를 빠트렸다.

픽셀레이트의 CEO인 잘랄 나시르(Jalal Nasir)는 “한 마디로 규정을 무시하고 개발을 하는 건데, 여기에는 큰 리스크가 뒤따른다”고 강조한다. “가장 먼저는 연방거래위원회의 무시무시한 벌금이 큰 리스크로서 작용하고, 법적 분쟁에 휘말릴 리스크 역시 만만치 않습니다. 아동 프라이버시를 보호하지 않는다는 이야기가 나오면 광고주들도 떨어지고, 광고 단가도 떨어집니다. 그리고 사용자가 줄어들죠.”

보안 업체 짐페리움(Zimperium)의 부회장 크리슈나 비슈눕호틀라(Krishna Vishnubhotla)는 “COPPA 위반하다 걸리면 치명적인 수준의 벌금형을 받을 수 있다”고 강조한다. “현재 연방거래위원회는 COPPA 위반 항목마다 최대 43,280 달러의 벌금을 부과할 수 있는 권한을 가지고 있습니다. 한 마디로 잘못 걸리면 큰일나는 겁니다. 게다가 이런 벌금을 받았다는 게 발표되면 고객들도 다 경쟁사로 옮겨갑니다. 이걸 견뎌낼 수 있는 앱 개발사는 그리 많지 않습니다.”

애플의 감독에도 구멍이 있어
나시르는 아동용 앱 개발사들 중 중소 규모 기업들이 COPPA를 준수하지 않는 것에는 크게 두 가지 이유가 있다고 강조한다. “하나는 몰라서이고, 다른 하나는 자원이 없어서입니다.” 하지만 앱스토어 생태계에 규정을 어기는 앱이 절반 이상인 건 애플이 앱을 제대로 감독하지 않고 있다는 뜻이라고 나시르는 강조한다.

“애플은 앱스토어에 등록되는 모든 앱들을 검사하는 수문장과 같은 존재입니다. 보다 제대로 된 앱들이 스토어의 문을 통과할 수 있도록 강력한 지킴이가 되어야 합니다. 모든 앱 개발사들로부터 프라이버시 정책을 요구한다고 애플은 주장하지만 현실은 과반 넘게 규정을 위반하고 있다는 것이죠. 문제가 존재한다는 것이고, 반드시 찾아내 수정해야 할 것입니다.”

나시르는 애플도 고충이 있을 것이라고 말한다. “등록 신청한 앱이 많아도 너무 많을 겁니다. 매일처럼 세기도 힘든 수의 앱들이 등록해 달라고 요청서를 보내는데, 그걸 어떻게 빠짐없이 다 검사하겠습니까. 그래도 해내야 하지만, 어려운 것 역시 사실이겠지요. 어쩌면 앱스토어 모니터링에 있어 가장 큰 구멍이 되는 건 애플 생태계의 인기가 너무나 많다는 것일 수도 있겠습니다. 하지만 이것이 애플을 변호할 수 있는 건 아닙니다.”

앱 개발사들의 기술 부채
보안 업체 태니엄(Tanium)의 엔드포인트 연구 국장인 멜리사 비쇼핑(Melissa Bischoping)은 “앱을 개발할 때 기술적인 것과 경쟁사 제품에만 신경 쓰지 관련 규정들이나 정책에 대한 연구는 소홀히 하는 경향이 짙다”고 지적한다. “사용자 프라이버시를 최우선으로 생각해야 한다는 건 아닙니다만, 지금은 그런 고려가 지나치게 최하위로 가 있습니다.”

그러면서 비쇼핑은 규정 준수의 관점에서 제품이나 서비스를 평가할 수 있는 내부 검사 단계와 인력을 마련하는 게 좋다고 강조한다. “지금 앱 개발사들은 비행기를 제작하고 일단 사람을 태워서 날아가는 와중에 안전 점검을 하는 것처럼 사업을 운영하고 있습니다. 앱을 통해 많은 정보가 수집되고 어디론가 전송된다는 것을 가볍게 여기지 않는 마인드가 장착되어야 합니다.”

3줄 요약
1. 틱톡, 최근 영국에서 아동 프라이버시 보호 규정 위반해 큰 벌금형 받음.
2. 하지만 아동 프라이버시 규정을 위배하는 앱은 수없이 많음.
3. 개발사와 스토어 운영사들이 제대로 자기 할 일을 하지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>