구글 前 개발자가 밝힌 ‘페북·인스타 링크 누르면 안 되는 이유’

"사용자 주소, 신용카드 번호 등 추적 가능”

인터넷입력 :2022/08/14 10:56    수정: 2022/08/16 13:00

구글 전 개발자가 ‘페이스북’과 ‘인스타그램’의 과도한 이용자 추적 문제를 짚어 이목이 쏠린다. 페이스북, 인스타그램 이용자들은 게시물에 포함된 링크를 누를 때 주의가 필요하다.

더 가디언·기가진 등 IT전문 매체에 따르면, 메타가 제공하는 페이스북과 인스타그램 앱은 게시물에 포함된 외부 링크를 사용자가 누를 경우 앱 내 브라우저에서 링크를 연다.

구글 전 사생활 연구원인 펠릭스 클라우스 개발자는 “인스타그램은 광고를 클릭한 시간을 포함한 앱 내 브라우저로 표시되는 모든 웹 사이트에 추적 코드를 삽입함으로써 사용자가 어떤 버튼이나 링크를 탭하고 텍스트를 선택해 스크린샷을 촬영했는지, 비밀번호와 같은 폼 입력을 실시했는지 등 모든 사용자 조작을 감시한다”면서 “추적 가능한 정보에는 사용자의 주소와 신용카드 번호 등도 포함된다”고 주장했다.

감시 자료사진(제공=이미지투데이)

클라우스 개발자는 브라우저가 웹 사이트에 추가하는 모든 코드를 열거할 수 있는 툴을 구축, 메타가 실행하는 추적 코드 삽입을 검출했다. 통상적인 브라우저 앱에서는 검출된 코드가 없었지만 페이스북, 인스타그램 앱에서는 최대 18개의 코드가 검출됐다는 것이 그의 설명이다.

이에 클라우스는 “특정의 크로스 플랫폼 트래킹 키트처럼 보인다”고 말했다. 페이스북, 인스타그램 같은 앱이 설치되지 않은 경우 메타는 추적 코드인 ‘픽셀’을 호출함으로써 웹사이트상에서 사용자가 어떤 조작을 하고 있는지 추적한다. 메타의 픽셀은 웹 사이트에 설치하는 코드다. 이를 설치하면 웹 사이트에서 실행된 행동을 파악하고 광고 효과를 측정할 수 있다. 이로써 메타는 모든 이용자가 ‘어떤 것에 흥미와 관심이 있는가’를 정확하게 추적할 수 있게 되는 셈이다.

클라우스 조사에 따르면 메타는 페이스북과 인스타그램 2개 앱에 추적 코드를 삽입하고 있음을 이용자에게 공개하지 않고 있다. 반면 메타가 소유한 또 다른 앱인 왓츠앱에는 비슷한 추적 코드가 삽입되지 않은 것으로 확인됐다.

페북 픽셀(제공=메타 페이스북)

웹 페이지가 사용자 단말기 상에 표시되기 전 일련의 코드를 추가하는 행위는 ‘자바스크립트인젝션’으로 불리는데, 이는 사악한 공격의 일종으로 간주되기도 한다. 예를 들면 사이버 보안 업체 페룻(Feroot)은 자바스크립트인젝션을 “공격자가 웹사이트 또는 웹 앱을 조작하고, 개인 식별 정보나 지불 정보 등 기밀 데이터를 수집할 수 있게 하는 것”이라고 설명했다.

관련기사

지난해 애플은 광고 목적의 사용자 추적을 허용할지 이용자 스스로 선택할 수 있는 ‘App Tracking Transparency’(ATT) 정책을 시행하면서 광고주들은 이전과 같은 타깃 광고를 하기 어려워졌다. 이에 광고 매출이 주 수익원인 페이스북의 주가는 20% 이상 하락했다. 외신은 이 사태에 대처할 수 있도록 메타가 자사의 주력 앱 2개에 추적 코드를 삽입했을 가능성이 있다고 밝혔다.

이에 메타 홍보 담당자는 “이 코드는 우리 플랫폼에서 사용자가 추적 허용을 선택했을 때 기능하도록 의도적으로 개발한 것”이라면서 “이 코드로 타깃 광고 및 측정 목적으로 데이터를 사용하기 전 단계에서 사용자의 데이터를 집계할 수 있다. 앱 내 브라우저를 통해 상품을 구입할 경우는 자동 입력 목적으로 지불 정보를 저장할 수 있도록 사용자 동의를 구하고 있다”고 해명했다.