정보 · 테크 틱톡 앱 클립보드 무단 접근 논란
10억명이 넘는 사용자들이 짧고 유쾌한 비디오 클립을 올리거나 공유하는 앱인 틱톡은 이미 우리나라에서도 청소년들을 중심으로 사용자 수를 넓히고 있습니다. 코로나19의 확산으로 사회적 거리두기가 강조되면서 틱톡으로 만든 재치있는 영상들이 온라인에서 많은 주목을 받기도 했습니다. 그러나 틱톡 사용자들에게는 유쾌하지 않은 소식이 최근에 알려진 바 있습니다.
지난 25일, 틱톡이 사용자의 클립보드에 무단으로 접근한다는 사실이 트위터에 공개되었습니다.[1]
iOS 14의 개인정보 보호를 위해 추가된 보안 기능중 하나는 앱이 사용자 정보를 무단으로 가져가는 것을 방지하기 위해 클립보드에 접근할 경우 사용자에게 알림을 띄워주는 것인데요, 이 기능으로 인해 틱톡앱이 사용자의 클립보드에 무단으로 접근한다는 사실이 알려졌다는 것입니다. 실제로 트위터에 공개된 영상을 보면, 사용자가 키입력을 할 때마다 ‘틱톡이 클립보드로 복사했다’는 알림이 뜨는 것을 확인할 수 있습니다.
틱톡을 향한 의심의 눈초리들
사실 틱톡이 개인정보를 불법으로 수집한다는 의혹을 받아온 것은 이번이 처음이 아닙니다.
작년 10월, 미국 상원의원들은 ‘틱톡이 이용자의 개인정보 및 기기에 대한 메타데이터 등을 중국 정부에 넘길 수 있다’며 위험 여부를 조사할 것을 정보 당국에 요청한 바 있습니다 [2]. 이는 ‘틱톡 서비스를 운영하는 바이트댄스가 중국 회사이며, 중국 정부가 데이터 제공을 요청할 경우 이를 거부할 법령이 없으며 오히려 이를 거부할 시 법에 의해 기업이 처벌받을 수 있다’는 우려에서 나타난 조치입니다. 실제로 이와 같은 근거를 들어 많은 국가들이 화웨이로 대표되는 중국산 통신장비에 대한 의심의 눈초리를 거두지 않고 있습니다. 인도 정부는 이를 근거로 틱톡을 비롯해 59개의 중국산 모바일 어플리케이션들을 차단하는 정책을 내놓기도 했습니다.
‘틱톡이 정말 개인정보를 무단으로 수집하는가?'에 대한 관심이 커져가면서, 올해 초 CheckPoint에서는 틱톡 앱에서 영상의 무단 업로드 및 삭제, 개인정보 유출 등의 취약점이 발견되었다는 보고서를 발행하기도 했습니다 [3].
다른 앱들은 그런 적이 없었나?
화두가 된 ‘클립보드 무단 접근’ 문제는 비단 틱톡만의 문제가 아닙니다.
틱톡 뿐만 아니라 ABC News, Fox News, NPR 등의 미국 내 유수의 언론사 앱, Accuweather 등 널리 쓰이는 앱들까지 53개의 앱들이 클립보드에 접근한다는 사실이 알려지면서, 마이크나 카메라 접근권한 등과 같이 클립보드 접근권한도 사용자의 허가를 받아야만 가능하도록 제한적인 접근을 해야 한다는 목소리도 나오고 있습니다 [4]. 다른 한편으로는 틱톡의 클립보드 접근이 오픈소스 라이브러리에서 비롯된 것이며, 클립보드에 접근한 이후로는 간단히 UIState를 바꿀 뿐 사람들이 우려하는 개인정보 무단 유출 등의 문제와는 무관하다는 주장도 나왔습니다 [5][6].
앞서 CheckPoint에서 진행한 것과 같은 모바일앱의 보안 취약점 문제는 WhatsApp에서도 보고된 바 있고 [7], 취약한 라이브러리로 인해 다수의 앱이 동일한 취약점에 노출되기도 합니다 [8].
그래서 틱톡은 범인인가 아닌가
틱톡이 의심을 받는 내용은 1)앱 차원에서 개인정보를 무단으로 수집하는지, 2)서버에 쌓이는 정보가 유저들이 원치 않는 방향으로 쓰일 수 있을지로 요약될 수 있습니다.
가장 먼저 1)의 경우, 앱을 대상으로 한 분석이 이뤄진다면 알아낼 수 있는 문제이긴 합니다. 클라이언트 단에서 이뤄질 수 있는 위협적인 행위라면 문제의 ‘클립보드 무단 접근’을 비롯해서 기기 정보 무단 수집, 틱톡 외 다른 앱에 대한 정보 수집, 네트워크 AP 및 위치정보 수집 등이 포함될 수 있습니다. 이러한 행위가 만약 정교하게 이뤄질 경우 (위치태그 등의) 정상적인 앱 동작이나 크래시 리포트 등의 납득가능한 동작과 구분하기 어려울 수 있다는 문제점이 있지만, 심층적인 분석이 이뤄진다면 알아내기가 전혀 불가능한 것은 아닙니다.
그러나 2)의 경우는 여전히 논란의 여지가 남습니다. 정책이나 법령으로 이용자 개인정보에 대한 무단 이용을 제한할 수는 있다고 하지만, 여기서부터는 국제법과 정치의 복잡한 문제가 얽혀들지 않을 수 없기 때문입니다.
우리가 사용하는 모든 서비스들이 필연적으로 서비스 제공자에게 이용자 정보를 위탁하는 것을 수반할 수 밖에 없다는 점에서 이러한 문제점은 비단 틱톡뿐만 아니라 많은 서비스들에서 나타나는 문제로 보입니다. 시야를 조금 더 넓히자면 쿠키 등을 이용한 개인정보 수집도 이 문제에서 자유로울 수 없기 때문입니다. 이 문제는 입법의 영역으로 차치해두고, 1)의 관점에서 봤을때 현재까지 나온 리포트를 보자면 틱톡은 조금 억울한(?) 의심을 사고 있는 것으로 보입니다. 이것이 ‘의도된 취약점’이 아니라는 점을 전제한다면요. 여느 제조사나 서비스 제공자들과 마찬가지로 틱톡 역시도 버그바운티를 운영하고 있는데요 [9], 보다 후한 바운티 보상과 제보된 취약점 공개까지의 투명성이 보장된다면 논란이 조금 가라앉지 않을까 하는 생각이 듭니다.
https://twitter.com/jeremyburge/status/1275832600146391042 ↩︎
https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/ ↩︎
https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-still-snoop-your-sensitive-clipboard-data/ ↩︎
https://www.cnbc.com/2019/05/22/whatsapp-messaging-app-cybersecurity-vulnerability.html ↩︎
https://www.forbes.com/sites/zakdoffman/2019/11/21/google-security-failure-2-billion-facebook-wechat-apps-at-risk-from-hackers-report/#e6251f569b25 ↩︎
https://support.tiktok.com/en/privacy-safety/reportsecurityvulnerabilities-default ↩︎
