딴짓하면 적발? 크롬 새 기능에 프라이버시 논란

기기 사용 여부 확인…모질라·애플 "검열·암호화폐 채굴 악용 가능성"

컴퓨팅입력 :2021/10/03 10:01    수정: 2021/10/04 13:12

구글 브라우저 '크롬'이 사용자의 기기 사용 여부를 실시간으로 탐지하는 기능을 내놓자 타 브라우저 운영사들이 프라이버시를 과도하게 침해한다는 비판을 제기했다.

이는 지난달 배포된 크롬 94 버전에 탑재된 기능 '아이들 디텍션(Idle detection)'을 두고 나타난 논란이다.

구글은 이 기능이 여러 사용자가 상호작용하는 서비스에서 유용할 수 있다는 입장이지만, 브라우저 업계에서는 자칫 해당 기능이 사용자 검열로 이어질 수 있다고 우려하고 있다.

■구글 "자리 비움·복귀 상황별 서비스 구현 가능"

아이들 디텍션은 웹사이트가 사용자의 현재 기기 사용 여부를 알 수 있게 해준다. 사용자가 웹사이트를 열어두지 않았더라도 마우스·키보드 사용 및 화면 전환 등 여부를 살핀다. 일정 시간 조작이 없어 화면 보호기가 활성화되거나, 스마트폰 화면 꺼짐 등의 상태 변화를 인지해 웹 애플리케이션에 알려준다.

구글은 아이들 디텍션이 회의나 채팅, 온라인 게임 등 사용자가 여럿인 애플리케이션을 위한 기능이라고 설명했다.

가령 자리를 비운 사용자가 복귀한 시점에 환영 메시지를 띄우거나, 기기가 유휴 상태로 전환되면 재생되던 미디어를 일시중지할 수 있다. 키오스크 앱의 경우, 조작하는 사용자가 없으면 홈 화면으로 돌아가게 하는 등의 설정도 고려할 수 있다.

고성능 컴퓨팅을 요하는 작업의 경우 기기가 유휴 상태로 파악되면 이를 중단하면 통신 데이터 및 에너지를 절약하는 효과도 볼 수 있다.

(제공=이미지투데이)

■모질라·애플 "사용자 감시 돕는 기능" 비판

웹사이트가 임의로 아이들 디텍션 기능을 사용할 수 있는 건 아니다. 크롬 94 버전 사용자는 설정 메뉴에서 기능 활성화 여부를 결정할 수 있다. 웹캠, 마이크에 접근하는 경우와 마찬가지로 웹사이트가 이 기능을 사용하려 할 때 사용자에게 권한 부여 여부를 묻는 메시지가 나타난다.

그럼에도 사용자가 완전히 자율적으로 행동하긴 어려울 수 있다는 부정적 전망도 있다.  IT 매체 더레지스터는 "사이트가 해당 권한을 부여하지 않는 사용자에게는 특정한 콘텐츠를 차단해 권한 부여를 강제하게 할 가능성이 있다"고 우려했다.

경쟁 서비스들은 보다 강한 비판을 했다. 브라우저 '파이어폭스'를 운영하는 모질라의 웹 표준 책임자인 탄텍 셀릭은 아이들 디텍션 API 관련 깃허브 페이지에서 "사용자를 감시하고자 하는 웹사이트에게 너무나 유혹적인 기능"이라고 지적했다. 웹사이트가 사용자의 프라이버시를 침범, 물리적 행동 내용을 장기간 관찰해 일별 생활 패턴을 식별하고 더 나아가 이런 정보를 사용자 심리 조작에 사용하려 할 수 있다는 것이다.

아울러 웹사이트가 이런 작업을 수행함으로서 사용자 몰래 로컬 컴퓨팅 자원 사용량을 최대화해 전기를 낭비하게 만드는 결과를 초래할 수도 있다며, 해당 API보다 프라이버시를 침해하지 않는 접근 방식을 모색해야 한다고 덧붙였다.

애플의 경우 자사 기기를 지원하는 브라우저에 대해 자사 웹 엔진 '웹킷'을 사용하도록 하는 상황이다. 이에 구글 크롬 팀 소프트웨어 엔지니어인 레일리 그랜트는 웹킷 팀에 아이들 디텍션에 대한 공식 입장을 요청했다. 이같은 요청에 애플은 모질라와 유사한 입장을 밝혔다. 

애플의 니와 료스케는 답변 메일을 통해 "이 API를 사용하면 웹사이트가 사람이 기기 근처에 있는지 알 수 있다는 명백한 개인정보 보호 문제가 있다"며 "사용자가 기기 주변에 없을 경우, 암호화폐 채굴을 하거나 취약점 공격을 유포하는 데 악용될 가능성이 있다"고 언급했다.

사진=씨넷

기능이 악용될 가능성을 차단하기 위해 구글은 웹사이트가 백그라운드에서 수행할 수 있는 활동을 정의하고, 암호화폐 채굴 공격을 막으려 준비하고 있다는 입장이다. 또 비활성화된 기기에는 API가 알림을 표시하지 않게 하는 조치가 사용자에게 도움이 될 것으로 전망하고 있다.

관련기사

그러나 니와는 "구글이 제시한 API 사용 사례 중 설득력 있는 것이 없으며, 개인정보 보호 및 보안 문제 완화 방안도 적절치 않다"고 봤다.

웹표준화 단체 월드와이드웹컨소시엄(W3C)은 아이들 디텍션 API를 '잠정적 결과물(tentative deliverable)'로 언급하고 있다. 이는 업계 상황에 따라 권장사항이 될 수 있다는 뜻을 담고 있으며, 바꿔 말하면 아직까지는 해당 내용이 업계 권장사항으로 합의되지 못했다는 것을 뜻한다.