iOS 14에 잡힌 틱톡의 '은밀한 접근' 과연 괜찮을까

[비즈한국] 전 세계 20억 다운로드의 무서운 인기를 자랑하는 중국의 숏폼 영상 제작 앱 ‘틱톡’이 애플의 ‘iOS 14’의 등장과 동시에 이용자 정보 접근 문제로 집중 비난을 받고 있다. 틱톡이 아이폰 이용자의 클립보드에 접근한다고 iOS 14가 아이폰 이용자에게 알려주는 모습이 담긴 동영상이 공개됐기 때문이다.

iOS 14는 지난 6월 22일(현지시각) 온라인으로 진행된 애플의 연례 최대 컨퍼런스인 세계개발자회의 2020(WWDC 2020)에서 공개된 애플의 모바일 OS 새 버전이다. 이번 컨퍼런스에서 애플은 iOS 14 외에도 맥용 OS 새 버전 ‘빅 서(Big Sur)’, 애플 지도 신기능, 애플워치 신기능, 자체 개발 반도체 적용 맥 등 주목할 만한 업데이트를 쏟아냈다. 특히 자사 제품의 전반적인 프라이버시 보호 강화를 내세웠다. iOS 14의 경우 아이폰에 탑재된 앱들이 클립보드와 같은 이용자 정보에 접근할 때마다 알려주는 기능이 있다.

클립보드는 스마트폰 이용자가 텍스트나 사진 등의 정보를 복사한 것을 임시로 저장해두는 곳이다. 가령 어떤 앱이나 웹사이트에서 어떤 단어를 복사해두면 다른 앱이나 웹, 메모장 등의 입력 창에 해당 단어를 붙여넣기 할 수 있는데, 그 단어가 임시로 저장되는 곳이 클립보드다. 이곳이 외부에 노출된다는 것은 정말 무서운 일일까. 그리고 그건 틱톡만의 문제일까.

#클립보드 접근, 틱톡 외에도 많다

이번 틱톡 논란은 이모지피디아(Emojipedia)의 창립자 제레미 버그(Jeremy Burge)가 아이폰으로 iOS 14 베타버전을 시연하는 동영상을 자신의 트위터에 올린 이후 불거졌다. 이 동영상에는 제레미가 앱을 사용하는 중에 문자를 입력할 때마다 틱톡이 해당 내용에 접근한다는 알림이 아이폰 상단에 실시간으로 표시되는 모습이 담겼다. 이에 국내외 언론 및 SNS 상에서 ‘스누핑(네트워크상에서 이용자 정보를 염탐하고 불법으로 수집하는 행위)’이 아니냐는 의혹이 이어지고 있다.

제레미 버그가 트위터에 올린 iOS 14 시연 동영상. 틱톡이 클립보드에 접근하는 모습. 사진=제레미 버그 트위터 캡처

이처럼 틱톡이 선봉에서 돌을 맞고 있지만, 틱톡 외에도 비슷한 문제에 연루된 앱들이 한둘이 아니다. 라이언 존스(Ryan Jones)라는 유튜버가 올린 동영상을 보면, 이용자가 아이메시지 상에서 사진 하나를 복사하자 월스트리트저널, 폭스뉴스, 뉴욕타임스 등 유명 뉴스 앱들을 비롯해 알리익스프레스 같은 쇼핑 앱, 어큐웨더 같은 날씨 앱 등 꽤 많은 앱들이 같은 클립보드에 접근하는 것을 iOS 14가 잡아내는 모습을 볼 수 있다. 이외에도 국내 개발자들이 iOS 14 베타를 시연한 결과 국내 주요 포털 앱과 인기 게임 앱들을 포함한 상당수의 국내외 앱들 역시 마찬가지인 것으로 나타났다.

iOS 14가 뉴스 앱의 클립보드 접근을 이용자에게 알려주는 모습. 사진=라이언 존스 유튜브 동영상 캡처

#무슨 목적일까? 악의적 활용 정황은 아직

앞서 지난 3월 개발자 토미 미스크(Tommy Mysk)와 탈랄 하즈 바크리(Talal Haj Bakry)는 테크 블로그 ‘미스크(Mysk)’를 통해 iOS 13.3 탑재 아이폰에서 틱톡 및 여러 뉴스 앱을 비롯한 50여 앱들이 동의 없이 이용자의 클립보드에 접근한다며 애플에게 조치를 취할 것을 촉구한 바 있다.

애플의 이번 iOS 14의 클립보드 보안 기능 강화는 두 개발자가 폭로한 이 같은 내용을 내심 염두에 둔 조치인 것으로 해석된다. 두 개발자의 폭로 후 3개월이 지난 지금까지도 이들의 클립보드 염탐이 지속되고 있음이 드러난 셈이다.

이 클립보드에 접근해 이용자가 입력한 내용을 엿보는 것은 얼마나 위험한 일일까? 전문가들에 따르면, 접근자가 악의를 가지고 있지 않다면 크게 치명적인 것은 아니다. 실제로 앞서 언급한 두 개발자가 외신과 인터뷰한 내용에 따르면 클립보드를 엿본 해당 수십여 앱들은 이용자가 복사한 것들 중 주로 ‘텍스트’를 들여다보는 것에 집중했을 뿐이다. 틱톡 역시 접근한 클립보드 정보를 이용자 성향 분석, 타깃 광고 등에 이용한 정황은 드러난 바 없다.

#‘클립보드 하이재킹’ 같은 치명적 위험 존재

그렇다고 안심하기엔 이르다. 클립보드 접근을 통한 상업적 목적의 정보 이용은 기업들이 마음만 먹으면 기술적으로 불가능하지 않다. 무엇보다 이용자들의 비밀번호 노출 가능성이 가장 우려되는 부분이라는 게 개발자들의 설명이다. 특히 뱅킹이나 주식 거래 같은 금융 활동 시 비밀번호를 복사하고 붙여넣기 하는 과정에서 누군가가 클립보드를 통해 이용자의 비밀번호를 알아낼 수 있다.

실제로 클립보드 무단 접근이 이용자의 심각한 금전적 피해 위험으로 이어진 사례도 있다. 지난 2018년 등장한 악성 프로그램 ‘클립보드 하이재커’가 대표적이다. 당시 이 프로그램은 암호화폐 거래자들이 길고 복잡한 전자지갑 주소를 외우지 않고 주로 복사-붙여넣기 방식으로 입력한다는 점을 노려 이용자가 모르는 사이에 클립보드에 저장된 주소를 다른 주소로 바꿔놓았다. 즉 이용자들은 암호화폐 거래 시 자신의 전자지갑으로 가야 할 암호화폐가 엉뚱한 지갑으로 가는 피해 등을 입게 된다. 당시 클립보드 하이재커는 무려 230만 명에게 퍼진 것으로 알려져 암호화폐 거래자들을 경악케 했다.

이처럼 높은 위험으로 이어질 수 있기 때문에 클립보드 무단 접근에 대한 대비책이 필요하다는 목소리가 나온다. 애플이 WWDC 2020에서 야심차게 강조한 프라이버시 보호를 계기로 업계에 관련 움직임이 가속화될지 기대된다. 이 가운데 구글도 WWDC 2020 행사 후 3일 뒤인 6월 25일(현지시각) 블로그 공지를 통해 이용자의 웹 또는 앱에서의 활동을 18개월 후에 자동 삭제해주는 기능을 오픈했다고 발표했다.

#틱톡 해명 “iOS 업데이트 오류”

한편 틱톡 측은 이번 건에 대해 “iOS의 업데이트 오류이며 틱톡의 사용자 데이터는 틱톡 앱을 통해 전송되지 않는다”라고 해명했다. 하지만 중국 기업에 대한 미국의 전방위적 압박이 지속돼 틱톡이 이와 관련해 부정적 이미지를 말끔히 해소하기에는 불리한 상황으로 보인다.

앞서 미국 연방거래위원회(FTC)는 지난해 틱톡이 13세 이하 미성년 이용자들의 정보를 보호자 동의 없이 수집한다며 아동 온라인 사생활 보호법 위반으로 570만 달러(약 68억 원)의 벌금을 부과한 사례도 있다. 이어 미국 정치권은 지난 5월에도 틱톡이 여전히 이 법을 위반하는 것으로 의심된다며 FTC에 재조사를 요구한 바 있다.

강현주 칼럼니스트 writer@bizhankook.com