보안 기업, “지구상에서 데이터 가장 많이 훔치는 건 메타와 틱톡”

지구상에서 가장 많은 데이터를 훔치는 조직은 그 어떤 해킹 조직이 아니라 메타와 틱톡이라는 주장이 나왔다. 보안 기업 제이스크램블러(Jscrambler)가 발표한 내용으로, “이 두 회사는 광고 추적 픽셀을 활용해 방대한 개인정보를 수집하고 있다”고 한다. “심지어 사용자가 옵션을 통해 ‘데이터 공유를 하지 않는다’고 명시했어도 이런 행위는 이어집니다. 사실상 인포스틸러를 버젓이 켜놓고 사업하는 겁니다.”

어떤 정보 가져가는가

제이스크램블러의 주장에 의하면 두 회사가 훔쳐가는 정보는 다음과 같다.
1) 개인 식별 정보 : 이름과 성, 이메일 주소, 전화번호, 위치 정보 등
2) 신용카드 관련 정보 : 카드 번호 마지막 4자리, 카드 만료일, 카드 소유자 이름
3) 구매 이력 : 구매 상품 이름, 가격, 수량, 사용된 통화, 장바구니 총 금액, 결제 정보, 결제 과정 중 했던 여러 가지 행동
4) 웹사이트 결제 구조(메타의 경우) : 웹사이트 내 결제 양식, 버튼 구조, 인터페이스 구성

‘광고 추적 픽셀’은 무엇인가?

이 두 기업의 정보 탈취 행위의 배경에는 ‘광고 추적 픽셀’이라는 게 있다고 제이스크램블러는 설명한다. ‘광고 추적 픽셀’은 ‘픽셀 추적(pixel tracking)’이라는 개념에서 나온 것으로, 웹 페이지나 이메일에 맨눈으로 볼 수 없는 1픽셀 이미지나 스크립트를 넣어서 사용자의 행동을 기록하는 기술을 의미한다. 보통 이 이미지는 1x1픽셀 크기로 투명하며, 페이지가 로딩될 때 자동으로 실행된다. 또한 사용자 정보를 서버로 전송한다.

이 작은 픽셀은 페이지 방문 여부, 방문 시간, IP 주소, 브라우저 종류, 페이지 URL 등과 같은 정보를 수집한다. “누가 언제 무엇을 열었는지 기록하는 거라고 요약할 수 있습니다.” 이런 정보는 물론 광고 업체들이 선호하는 게 사실이지만, 이메일 열람 확인이나 웹사이트 방문 통계, 사용자 행동 분석, 보안 로그 등에 사용되기도 한다. 즉 ‘픽셀 추적’이라는 게 광고용으로만 고안된 게 아니라는 것이다. 여러 활용처가 존재한다.

이렇게 다양한 활용처를 가진 ‘픽셀 추적’ 기술을 광고용으로 활용했을 때, 그 픽셀을 ‘광고 추적 픽셀’이라고 부른다. 이를 통해 광고주나 플랫폼 사업자들은 사용자가 광고를 보고 해당 사이트를 방문했는지, 상품 구매를 했는지, 어떤 방식의 광고가 주로 효과를 나타내는지 등을 파악할 수 있다. 이 때 이름, 이메일, 전화번호, 위치, 장바구니 상품, 결제 금액과 같은 정보가 수집될 수 있다고 제이스크램블러는 설명한다.

이런 설명을 들으면 ‘정보 탈취 멀웨어인 ‘인포스틸러’와 뭐가 다르지?’라는 의문이 자동으로 든다. 인포스틸러도 개인 식별 정보나 신용카드 정보 등 여러 가지 데이터를 사용자의 동의 없이 훔친다는 면에서는 같다. 하지만 둘 사이에는 분명한 차이가 존재한다. 추적 픽셀은 방문 페이지, 클릭 여부, 장바구니 관련 정보 등 피해자가 입력하거나 행동을 했을 때 생성되는 정보를 훔치지만, 인포스틸러는 브라우저에 저장된 비밀번호나 암호화폐 지갑 정보, 각종 파일 등 컴퓨터 내부 깊은 곳에 있는 정보에까지 손을 댄다. 즉 ‘침투의 깊이’에 결정적 차이가 있다는 것이다.

제이스크램블러 측은 “추적용 픽셀은 스크립트로 만들어져 있으며, 그 안에 개인정보 보호 정책 등 몇 가지 설정 옵션이 존재하기 때문에 인포스틸러와 다르다”고 지적한다. 인포스틸러는 프로그램인 경우가 많다. 프로그램은 컴파일링을 거쳐서 실행되고 스크립트는 그렇지 않다. 이 말은 추적 픽셀이 아무리 인포스틸러와 비슷하다 해도 결국 브라우저 바깥에 위치한 것들에는 접근하기 어렵다는 걸 의미한다. 프로그램 형태로 구성된 인포스틸러는 OS단에도 영향을 미친다.

흐려지는 경계

하지만 이런 기술적 차이 때문에 ‘추적 픽셀은 인포스틸러가 아니다’라고만 말하기는 어렵다. “법적이나 기술적으로는 둘의 차이가 명확합니다. 광고 추적 픽셀을 인포스틸러라고 규정할 수는 없습니다. 그러므로 메타와 픽셀이 인포스틸러를 운영했다고 말하는 건 오류입니다. 두 회사가 운영하는 광고 추적 픽셀은 사용자 컴퓨터 깊숙한 곳까지 침투해 은밀한 정보를 빼내지는 않았거든요. 이 점은 분명히 해 두어야 합니다.”

하지만 이는 법과 기술의 측면에 제한된 이야기다. 프라이버시 측면에서는 둘의 차이가 불분명할 수 있다고 제이스크램블러는 설명을 잇는다. “이런 픽셀들이 빼돌리는 정보(이름, 위치, 신용카드 번호, 행동 패턴 등)도 충분히 ‘민감한’ 정보로 분류될 수 있습니다. 게다가 사용자들의 동의를 구하지도 않고, 심지어 사용자가 ‘참여 거부’ 의사를 표명해도 무시하고 빼갑니다. 동의 없이 민감 정보를 빼간다는 맥락에서는 이런 픽셀들이 인포스틸러와 다를 게 없죠. 심지어 훔쳐가는 정보의 범위가 광범위하니, 더 말 할 게 있을까요?”

제이스크램블러가 가장 강력히 비판하는 건 메타와 틱톡이 ‘사용자 의견을 무시한다’는 것이다. 프라이버시나 보안에 대해 배운 사용자가 설정까지 애써 조정하더라도 소용이 없다는 것. 이에 대해 메타의 대변인은 근거 없는 주장이며 제이스크램블러가 스스로 인지도 높이기 위해 무리수를 두고 있다고 반박했다. 제이스크램블러는 정말 근거 없이 위험한 발언을 한 것일까?

제이스크램블러의 논리는 크게 두 가지 기술적 사실에 기반을 두고 있다. 첫째는 광고 추적 픽셀 스크립트 자체가 페이지 내부 구조 전체(DOM)에 접근할 수 있다는 것이다. “사용자가 양식 내 기입하는 내용, 체크박스 선택, 자동완성 데이터, 쿠키 등에 접근할 수 있다는 것으로, 이런 데이터는 사용자가 양식을 제출하기 전에도 읽어들일 수 있습니다. 양식을 기입하는 와중에도 데이터 수집이 발동될 수 있다는 것이죠. 이런 구조 자체를 두 회사가 악용했으리라 봅니다.” 다만 이것은 ‘정황 증거’일 뿐 메타와 틱톡이 실제로 정보를 빼돌렸다는 결정적 증거가 되지는 못한다.

둘째는 ‘픽셀 실행과 사용자 승인 및 거부 선택의 순서가 뒤집혀 있는 경우가 있다’는 것이다. 제이스크램블러의 설명에 따르면 많은 사이트의 구성 요소들이 다음과 같은 순서로 실행된다고 한다. 1) 페이지 로딩, 2) 추적 스크립트 실행, 3) 사용자 동의 및 거부 옵션 표시, 4) 사용자 선택. 즉 사용자가 선택을 어떻게 하든 추적 스크립트가 먼저 실행되기 때문에 사용자 의사 표명이 무용지물이 되는 경우가 빈번하다는 것인데, 이 역시 정황 증거는 될지 몰라도 두 회사가 실제로 피해자 정보를 동의 없이 빼돌렸다는 결정적 증거가 되지는 못한다.

“하지만 틱톡 픽셀이 ‘암 환자들이 선택한 체크박스 내용’이나 ‘이메일 주소’ 등을 수집해 어디론가 전송했다는 사실을 BBC 등이 조사로 밝혀낸 적도 있습니다.” 즉 정황 증거뿐 아니라 실제적인 과거 전적이 있다는 것인데, 이 역시 ‘메타와 틱톡이 사용자 정보를 무단으로 빼돌린다’는 주장을 뒷받침하기에는 다소 모자란 감이 있다.

추적 픽셀, 어떻게 활성화 되는가?

문제가 되고 있는 ‘광고 추적 픽셀’이 일종의 스크립트라면, 메타와 틱톡은 아무 사이트에나 원하는 대로 심어둘 수 있는 걸까? 아니다. 사이트 운영진이 이를 허용해야 한다. 허용하는 이유는 간단하다. 광고 효율을 높임으로써 매출을 극대화 하는 데 도움이 되기 때문이다. 사이트에 걸어둔 광고가 실제 얼마나 높은 효과를 가져가는지 알고, 그것을 바탕으로 실제 효과가 높은 광고만 걸어둘 수 있다는 건 모든 사이트 운영자와 광고주들이 원하는 바다. 

제이스크램블러의 주장인 “메타와 틱톡이 사실상 인포스틸러 사업을 벌이고 있다”가 매우 위험하지만 반쪽짜리 주장에 불과한 건 이러한 관계성 때문이다. A라는 피해자가 B라는 사이트에 들어가는 바람에 민감 정보를 메타와 틱톡이 개발한 도구(추적 픽셀)를 통해 빼앗겼다면, 그것이 메타와 틱톡만의 잘못이라고 할 수 없다는 것이다. 결국 그들은 도구만을 제공했을 뿐, 그걸 사이트에 심어 운영한 건 사이트 운영자다. 도구를 만들어 제공한 쪽과, 그 도구를 이용(혹은 ‘활용’ 혹은 ‘악용’)한 쪽, 잘못은 누가 저지른 것일까? 

게다가 메타의 광고 추적 픽셀인 ‘메타 픽셀’이나 틱톡의 광고 추적 픽셀인 ‘틱톡 픽셀’이 명백한 악의적 도구인 것도 아니다. 오히려 정상적인 분석 도구 중 하나로 분류된다. 현실적으로 사이트 광고를 통해 수익을 내려는 사람들에게 있어 이런 픽셀은 ‘필수’에 가깝다. 수많은 쇼핑몰이 광고 픽셀을 사용하며, 전 세계 웹사이트 중 10% 가까이가 메타 픽셀을 쓴다는 통계도 존재할 정도다. ‘픽셀 추적’은 이미 광고 산업의 핵심 기술인 것이다. 그래서 ‘범인을 지목’하는 것 자체가 더욱 까다로워진다.

광고 업계의 오랜 난제

광고 산업이 최대한 효율적으로 이윤을 추구하려면 ‘분석’은 반드시 있어야 한다. 이것은 나쁜 행위가 아니다. 하지만 ‘분석’을 위해서는 민감 정보가 어느 정도 수집돼야 한다. 이것은 ‘피수집자의 동의’가 전제된다는 조건 하에 나쁜 행위가 아니다. 분석을 위한 기술을 제공하는 것도, 그 기술을 받아 쓰는 것도, 나쁜 행위가 아니다. 하지만 그 ‘나쁘지 않은 행위’가 연결되면서 누군가는 프라이버시 침해라는 피해를 입는다. 이건 나쁘다.

왜 이런 결과로 이어지는 것일까? ‘동의’라는 전제가 사실 매우 부실하기 때문이다. 피수집자들 모두가 자신들이 어떤 것에 동의하는지 정확히 이해하지 못한다. 동의를 위해 읽어야 하는 설명문(약관 등)이 지나치게 길거나 복잡할 때 대부분의 사람들은 덮어놓고 ‘동의’나 ‘거부’를 누른다. 서비스 이용을 위해서 사실상 ‘동의’가 강제되는 경우가 아직도 빈번하다. 즉 ‘동의를 구한다’고 하고, 실제 그러한 행위가 행해지지만 ‘실제 동의’는 없다는 것이다. 껍질만 있고 알맹이는 텅 빈, 그런 형국이다. 이런 불균형 속에서 ‘피해’가 발생한다.

또 하나 생각해 봐야 할 것은 아무리 제대로 된 동의를 기반으로 데이터 수집이 이뤄지는 것이라도, 그것이 누적된다면 전혀 다른 상황이 전개될 수 있다는 것이다. 즉 특정 서비스를 위해 내 민감 정보가 수집되는 걸 흔쾌히 허락한 사용자는, 사실 무의식적으로 ‘그 한 번의 수집’을 허락한 것이다. 그 서비스를 이용할 때마다 새 정보가 수집된다는 것까지 생각하지 못한다. 

그렇다면 정보를 수집해가는 입장에서는 어떤가? ‘그 한 번의 수집’이 이뤄질 때는 그저 단편적이고 파편적인 정보를 가져가는 것 뿐이지만, 그 동의자가 백 번, 천 번 서비스에 접속해 정보를 내놓으면 전혀 다른 지식까지 가져가게 된다. 소비 성향이나 패턴을 파악할 수도 있고, 정치 성향이나 건강 상태, 심리 상태까지 추정할 수 있게 된다. 이런 것까지 가져가도 된다고 동의한 사용자는 거의 없을 것이다. 시간이 쌓이면서 자연스럽게 사용자가 동의하지 않은 정보가 어디선가 축적 및 생성되는 것인데, 이를 동의서 한 장에 표현해 이해시키는 건 복잡한 일이 된다.

‘동의를 구한다’는 기본 전제가 이런 여러 현실적 이유 때문에 성립되지 않을 때 책임을 질 주체가 분명하지 않다는 것도 문제다. 이번 경우 메타나 픽셀은 ‘우리는 분석 도구만 제공했을 뿐’이라는 입장을 취한다. 틀린 말은 아니다. 이런 픽셀을 받아다가 심은 각 사이트 운영자들의 경우, 수익성 극대화를 위해 노력했을 뿐이라고 하며 픽셀이 어떤 정보를 어떻게 가져가는지 기술적으로 상세히 이해하지 못했다고 하면 된다. 이게 대부분 사실이기도 하다. 광고주들은 ‘이런 저런 복잡한 사정은 모르고 우리 광고만 잘 걸어주면 되니까 문제를 제기하지 않았다’고 하면 끝이다. 역시 맞는 말이다.

모두가 맞는 말을 하고, 모두가 정당한 일을 하는데도 나쁜 결론에 도달하는 것이 현재 온라인 광고 산업이 겪고 있는 딜레마라고 할 수 있다. 그런데 피해는 개별 사용자들이 입는다. 메타, 틱톡 같은 플랫폼 기업이나, 각 사이트 운영자나, 광고주들이나 아쉬울 게 없다. 그렇기에 이런 식의 이상한 피해 발생 구조는 당분간 명맥을 이어갈 수 있을 것으로 보인다. 개인이 스스로를 보호하기 위해 할 수 있는 일은 거의 없다. 광고 차단 프로그램이나 플러그인을 브라우저에 적용하고, 덕덕고와 같은 프라이버시 위주의 검색엔진을 사용하는 게 최선이다. 가능하면 로그인 가능한 계정을 줄이는 것도 도움이 된다. 온라인에서 로그인만 덜해도 추적자들이 알아갈 수 있는 정보는 한정적이라는 게 전문가들의 설명이다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• TikTok Pixel과 Meta Pixel이 단순 광고 성과 측정을 넘어, 체크아웃 단계에서 상품명·수량·가격·장바구니 총액·주소·연락처 등 ‘상업 정보(Commerce Intelligence)’와 민감한 개인 정보를 세션 단위로 수집하며, 사용자 동의 이전 또는 ‘모두 거부’ 선택 이후에도 실행될 수 있어 GDPR·CCPA 위반 및 데이터 유출 위험을 초래한다고 강하게 비판한 분석 보고서 「The Collection of Commercial Intelligence: TikTok & Meta Ad Pixels」 - Jscrambler , 2024년[1]
• 픽셀 트래킹 기술이 마케팅 도구를 넘어 무단 PII 전송·제3자 서버로의 데이터 유출·피싱 정찰 등에 악용될 수 있으며, Meta Pixel 같은 서드파티 스크립트가 잘못 구성될 경우 기업이 인지하지 못한 채 민감 데이터를 노출할 수 있다고 지적하면서, 이러한 리스크에 대응하기 위한 스크립트 거버넌스 필요성을 강조한 「Tracking Pixel Security and the Data Protection Battle」 - Jscrambler , 2024년[6]
• 병원·의료 포털에 삽입된 Meta Pixel 등 온라인 트래킹 코드가 진료 내역, 예약 정보, 진단명 등 PHI를 무단 전송해 HIPAA 위반을 초래할 수 있다고 경고하고, Jscrambler Webpage Integrity로 이러한 픽셀을 탐지·차단해 환자 데이터가 메타·틱톡 등 제3자에게 넘어가지 않도록 해야 한다고 비판한 「Secure HIPAA Compliance for Online Tracking」 - Jscrambler , 2023년[3]
• Jscrambler 연구를 인용해, Meta Pixel과 TikTok Pixel이 동의 배너의 수락·거부 선택과 관계없이 실행되며, 광고 클릭만으로도 카드 마지막 자리, 유효기간, 이름, 배송 주소 등 민감한 PII와 세부 구매 행동 데이터를 수집해가는 ‘조용한 데이터 수집’ 문제를 다루면서, 이들 픽셀 기술이 기업·사용자 모두에게 심각한 개인정보 보호·보안 리스크를 만든다고 지적한 기사 「Researchers: Meta, TikTok Steal Personal Info via Ad Clicks」 - Dark Reading , 2024년[10]

광고주 필독 : 온라인 광고 사기의 전말

💡Editor’s Pick - 너무 복잡해진 온라인 광고 생태계 - 그 복잡한 틈을 파고든 사기꾼들의 교묘한 행각 - 진짜와 가짜가 뒤섞여 분간 어려워...클릭 수에 집착하는 문화가 만든 일 ‘온라인 광고’라는 산업은 오래 전부터 병을 앓고 있다. 바로 ‘광고 사기’다. 기업이 거대 광고 대행사를 찾아가 광고를 의뢰하고, 대행사가 광고를

더테크엣지(The Tech Edge)문가용 기자