박건형의 홀리테크 뉴스레터 구독하기 ☞ https://page.stibee.com/subscriptions/80905

실리콘밸리로 대표되는 거대 테크 회사들의 힘은 데이터에서 나옵니다. 수많은 사용자들의 데이터를 모아 사람들이 어떤 서비스를 좋아하는지를 파악한 뒤 선제적으로 개발하는 식이죠. 구글·페이스북·트위터 같은 업체들의 서비스가 대표적입니다. 이들은 플랫폼 형태의 공짜 서비스를 만들어 억대의 가입자를 모으고, 이를 기반으로 다양한 사업을 펼칩니다. 한국의 네이버와 카카오도 마찬가지입니다. 편리한 서비스를 사용료 없이 쓸 수 있다 보니 별다른 거부감도 없습니다. 그렇게 인식하지 못하는 사이에 검색어, 상품 구매기록, 이동경로 같은 내 개인정보를 실시간으로 퍼주게 됩니다. 애플은 이런 실리콘밸리의 기업들 사이에서 배신자 같은 존재입니다. 애플이 최근 몇 년 간 내세운 핵심 정책은 ‘개인정보 보호’입니다. 애플은 사용자들의 데이터를 기반으로 맞춤형 광고를 하는 구글이나 페이스북의 행태를 비판하면서, 외부 업체에 데이터를 제공할지 말지 사용자 스스로 결정하게 했습니다. 개인정보 보호를 선도하는 도덕적이고 선한 기업으로 스스로를 포장한 겁니다. 애플은 아이폰이나 아이패드 같은 자사 기기에서도 이런 정책을 따른다고 강조합니다. 약관에는 “수집된 정보 중 어느 것도 귀하를 개인적으로 식별하지 못합니다”라고 명시해뒀죠. 데이터를 모으고 사용하기는 하지만, 그건 더 나은 서비스를 만들기 위한 것일 뿐 그 누구도 어느 데이터가 누구의 것인지 알 수 없다는 얘기입니다. 하지만 이게 새빨간 거짓말이라는 전문가들의 실험 결과가 최근 공개됐습니다. 애플은 어떤 방식으로 소비자를 기만하고, 믿음을 배신했을까요.

/연합뉴스 2022년 10월27일 미국 캘리포니아 쿠퍼티노에서 열린 애플 스페셜 이벤트에서 팀 쿡 애플 CEO가 연설하고 있다.

◇애플의 개인보호 정책은 사기극

애플은 지난해 4월 ATT라는 정책을 발표했습니다. 앱 추적 투명성(App Tracking Transparency)으로 불리는 이 정책은 아이폰 앱에 대해 맞춤형 광고를 허용할지, 차단할 지 여부를 아이폰 및 아이패드 사용자가 앱마다 각각 설정할 수 있도록 하는 것이 핵심입니다. ATT를 도입하면서 앱 개발자 및 서비스 제공자들은 사용자에게 수집하는 데이터와 이유를 명확하게 설명하고 이른바 옵트인(정보 제공자가 동의를 해야만 개인정보를 처리할 수 있는 방식) 권한을 획득해야 합니다. 실제로 ATT를 도입하자 4분의3 이상의 가입자들이 정보 제공 동의를 거부하고 있습니다. 애플의 주장대로 ATT는 무분별한 개인정보 사용을 막은 훌륭한 정책인 것처럼 보입니다. 애플은 자신들도 개인보호 정책을 앞장서서 지키고 있는 것처럼 홍보하고 약관에도 써 놓았습니다. 하지만 지난달 21일(현지 시각) 미국 테크 전문 매체 기즈모도는 “이런 애플의 약속은 사실이 아닌 것으로 보인다”고 보도했습니다. 근거는 소프트웨어 회사인 Mysk의 앱 개발자이자 보안 연구원인 토미 미스크와 탈랄 하즈 바크리가 진행한 실험이었습니다. Mysk는 트위터와 블로그를 통해 빅테크들이 어떻게 개인정보를 모으고 있는지, 어떤 소프트웨어나 센서나 무슨 정보를 모으는지에 대한 분석을 올리고 있습니다.

Mysk의 트윗. 애플이 어떤 방식으로 어느 수준까지 아이폰의 개인 정보를 얻어내는지에 대한 실험을 구체적으로 담고 있다.

◇애플 신은 모든 것을 보고 있다

Mysk는 iOS 14.6을 설치한 탈옥한 아이폰과 최신 운영 체제인 iOS 16을 설치한 일반 아이폰을 비교해 분석하는 방식으로 실험을 진행했습니다. 탈옥은 제조사가 제한한 여러가지 기능을 사용하기 위해 기기의 시스템에 손을 대는 행위를 말합니다. 애플이 허용하지 않는 소프트웨어를 설치할 수 있는 것은 물론 내부 소프트웨어와 데이터 처리 방식도 상당 부분 들여다 볼 수 있습니다. 물론 일단 탈옥을 하고 나면 애플의 애프터서비스를 받을 수 없을 뿐더러, 보안에 문제가 생기거나 고장이 날 확률도 높아지죠. 여기서 다시 말씀 드리면, 애플은 ‘수집된 정보 중 어느 것도 귀하를 개인적으로 식별하지 못합니다’라고 주장합니다. 하지만 Mysk는 아이폰이 애플에 전송하는 데이터 가운데 DSID(directory Services Identifier)라는 ID 번호가 포함돼 있는 것을 발견했습니다. 그런데 이 DSID는 한번 만들어지면 고정적으로 사용되고 변경이 되지 않습니다. 게다가 애플 ID와 연결돼 있습니다. 결국 DSID를 안다는 것은 애플 ID가 알고 있는 이름, 전화번호, 생년월일, 이메일 주소를 안다는 것과 같은 뜻입니다. Mysk측은 기즈모도에 “DSID를 아는 것은 이름을 아는 것과 같다”고 했습니다. DSID는 아이폰 사용과 관련된 모든 움직임의 세부 정보가 포함돼 있습니다. Mysk의 테스트에 따르면 앱스토어에서 탭한 항목, 검색한 앱, 시청한 광고, 특정 앱을 본 시간도 DSID 정보에 포함됩니다. 사실상 전세계 아이폰과 아이패드 사용자들이 하는 모든 일을 애플이 거의 실시간으로 보고 있다는 뜻입니다.

아이폰 탈옥 프로그램을 제공하는 인터넷 사이트. 애플은 끊임없이 탈옥을 막기 위해 소프트웨어를 업데이트하고 있지만, 개발자들 역시 이에 대응하는 수단을 업데이트하고 있다.

◇설정 공유 꺼도 소용없어

Mysk는 지난달 초에도 애플의 장난질을 밝혀낸 바 있습니다. 스마트폰이나 노트북 등을 초기 세팅하다보면 ‘기기 분석이나 문제 해결 리포트를 제조사에 전송하시겠습니까. 이는 더 나은 서비스를 개발하는데 도움이 됩니다’ 같은 문구를 보게 됩니다. 아이폰과 아이패드 역시 마찬가지입니다. 하지만 Mysk는 애플이 사용자가 아이폰에서 기기 분석을 애플과 공유하는 설정을 끄더라도 분석 정보를 계속 수집해왔다는 사실을 알아냈습니다. 상식적으로 공유 설정을 끄면 사용자의 기기에서 애플로 전송되는 데이터의 양이 줄어야 합니다. 하지만 설정 여부와 상관없이 애플로 전송되는 데이터의 양은 변하지 않았습니다. 심지어 개인화 광고를 보지 않겠다고 설정하거나, 추천을 받지 않겠다고 설정하더라도 데이터의 양은 그대로였습니다. Mysk가 구체적으로 들여다보니 주식 앱의 경우 사용자가 본 주식 목록, 검색한 주식의 이름, 어떤 주식을 언제 얼마나 오래 봤는지, 또 주식 앱에서 읽어본 관련 기사 리스트까지 애플에 전송했습니다. 음악, 애플TV, 책, 아이튠스 스토어도 마찬가지였습니다. 물론 설정 여부와 관계없이 애플에 데이터를 전송하지 않는 앱도 있었습니다. 대표적인 것이 월렛(지갑)과 건강 앱이었습니다. 애플은 Mysk의 실험에 대해 아직까지 아무런 입장을 내놓지 않고 있습니다. 하지만 사용자들은 분노하고 있습니다. 이미 캘리포니아 법원에 집단 소송이 제기됐습니다.

애플의 아이폰 시리즈. Mysk에 따르면 최신 iOS인 iOS 16에서도 이전 제품과 마찬가지로 개인정보 보호가 제대로 이뤄지지 않고 있다.

◇가속도계로 모든 것을 들여다본다

스마트폰은 끊임없이 진화했고, 이제 우리의 생활은 스마트폰 하나만 있으면 모든 것이 가능할 정도가 됐습니다. 다시 말하면 특정인의 스마트폰이 있다면 그 사람에 대한 모든 것을 알 수 있다는 뜻이기도 합니다. 애플 뿐만 아니라 안드로이드를 운영하는 구글도 마찬가지입니다. 그렇다면 이들의 모니터링은 얼마나 구체적일까요. Mysk의 블로그에서 가속도계 분석 글을 찾아봤습니다. 고도·회전 속도·방향성 등을 측정하는 스마트폰의 가속도계는 게임의 컨트롤러, 걸음 수 계산, 낙상 감지 같은 다양한 용도로 쓰입니다. 그런데 가속도계는 개인정보 보호 대상에서 완전히 빠져 있습니다. 애플의 경우 모든 앱이 별도 허가 없이 기기의 가속도계 데이터에 접근할 수 있습니다. 무엇보다 가속도계 데이터는 우리 생각보다 훨씬 많은 개인정보를 담고 있습니다. 우선 가속도계 데이터로 휴대전화를 잡는 방식과 움직이는 방식을 알 수 있습니다. 누워 있는지, 앉아 있는지, 걷는지 뛰는지도 압니다. 자전거나 수영, 골프 같은 운동을 언제 어떤 방식으로 하는지도 기록합니다. 최신 아이폰에는 고도계와 기압계도 들어 있습니다. 가속도계 데이터와 고도계·기압계 데이터를 조합하면 사용자가 버스, 기차, 비행기 중에 뭘 타고 있는지 어디에서 어디로 가는지도 알 수 있습니다.

가속도계의 일종인 자이로스코프. 이 조그마한 센서 하나만 있으면 사용자의 모든 생활패턴을 파악할 수 있다.

◇이론적으로는 도청까지 가능

여기서 끝이 아닙니다. 가속도계 데이터를 읽으면 스마트폰을 들고 있는 손과 몸의 움직임을 감지해 심박수와 호흡수도 파악할 수 있습니다. 이런 데이터가 많아지면 누가 특정한 질병이 있다는 것도 구분할 수 있습니다. 이론적으로는 도청도 가능합니다. 스마트폰으로 전화를 하면 음파로 인해 스마트폰에 진동이 생깁니다. 모든 소리는 고유한 진동이 있습니다. 결국 이 진동 데이터를 거꾸로 재구성하면 원래 어떤 소리가 있었는지도 파악할 수 있다는 얘기이죠. 물론 아직까지 이런 실험이 성공했다는 소식은 없었지만 시간 문제일 가능성이 높습니다. 특히 가속도계 문제는 애플이나 구글만의 문제가 아닙니다. 위에서 말했듯 가속도계 데이터에 접근하는 것은 모든 앱에 허용돼 있습니다. 실제로 Mysk의 분석 결과 페이스북 메신저, 슬랙, 텔레그램, 틱톡, 트위터, 위챗 같은 소셜미디어 앱들은 명확한 이유없이 가속도계 데이터에 접근하고 있습니다.

◇광고 시장 독점 위한 포장

다시 사악한 애플 얘기로 돌아가 보겠습니다. 애플은 자신들은 지키지도 않을 앱 추적 투명성 정책을 왜 대대적으로 홍보하고 깨끗한 이미지를 구축하려 하는 걸까요. 정확한 건 애플 최고경영자(CEO) 팀 쿡과 애플 내부자들만 알겠지만, 테크 업계에서는 ‘광고 시장을 독식하기 위한 애플의 노림수’라는 분석이 지배적입니다. 디지털 광고의 핵심은 사용자 맞춤형입니다. 이 시장의 강자는 페이스북과 구글이죠. 이들은 스마트폰 사용자들의 데이터를 분석해 어떤 사람이 어떤 광고를 좋아할지를 예측하는 ‘타깃형 광고’로 막대한 돈을 긁어 모았습니다. 하지만 애플이 ATT 정책을 도입하면서 페이스북은 심각한 타격을 입었습니다. 사용자 대부분이 페이스북으로의 ‘개인정보 전송’을 거절했기 때문입니다. 페이스북은 애플의 정책 변경으로 인한 매출 감소가 올해만 100억달러(약 13조원)에 이를 것으로 보고 있습니다. 이 몫은 누구의 것이 됐을까요. 당연히 애플입니다. 모바일 앱 광고 플랫폼인 앱슈머 보고서에 따르면 올 2분기 애플의 앱 검색 광고 시장 점유율은 15%로 전년 동기보다 5%포인트 상승했습니다. 반면 페이스북은 32%에서 28%로 떨어졌습니다. ATT 정책은 애플의 검색 광고에는 적용되지 않습니다. 결국 경쟁자의 시장 진입을 제한하면서 본인들이 사업을 확장하는 꼼수를 부렸고, 그 효과도 제대로 나타나고 있다는 얘기입니다.

◇경쟁 없는 시장은 망한다

트위터를 인수한 일론 머스크 테슬라 CEO. / 그래픽=이은현

현재 실리콘밸리에서는 하루가 멀다하고 애플을 비판하는 거물들의 발언이 나오고 있습니다. 트위터를 인수한 일론 머스크 테슬라 CEO는 지난달 28일 트위터에 “애플이 세금처럼 수수료 30%를 떼어간다”면서 “우리를 앱스토어에서 제외할 수 있다고 위협했다”고 올렸습니다. 다른 경로로 앱을 다운로드 받지 못하게 하고, 앱 결제시에 높은 수수료를 받아 챙기는 애플을 비판한 거죠. 다니엘 에크 스포티파이 CEO, 마크 저커버그 메타(페이스북) CEO도 애플 비판에 앞장서고 있습니다. 애플이 사용자가 어떤 앱이 깔려야 하는지 통제할 수 있는 유일한 회사가 되려 하고 있다는 겁니다. 애플은 현재 세계에서 가장 가치가 높은 기업입니다. 시가총액이 3000조원이 넘습니다. 2021년 기준 우리나라의 명목 GDP(국내총생산)가 2071조원입니다. 아직도 많은 사람들이 아이폰과 아이패드, 애플워치에 열광하면서 신제품 출시만을 기다립니다. 하지만 역사적으로 경쟁이 없는 시장에서 홀로 살아남은 기업은 없습니다. 그래서 각국이 공정거래위원회 같은 조직을 만들어 운영하고 있는 거죠. 아무리 훌륭한 제품과 서비스를 갖고 있다고 해도 거짓과 기만이 반복되면 어느 순간 소비자의 외면을 받을 수밖에 없습니다. 애플도 이를 모를 리는 없을 텐데 말입니다.

박건형의 홀리테크 뉴스레터 구독하기 ☞ https://page.stibee.com/subscriptions/80905