[뉴스스페이스=김정영 기자] 국제 연구진이 페이스북·인스타그램 등 메타와 러시아 IT기업 얀덱스의 안드로이드 앱이 사용자의 웹 브라우징 이력을 비밀리에 추적해온 사실을 밝혀냈다. 이 추적 방식은 기존의 사생활 보호 기능을 무력화하며, 전 세계 20억명에 달하는 안드로이드 이용자들이 영향을 받은 것으로 드러났다.

Ars Technica의 6월 6일(현지시간) 보도에 따르면, 이번에 밝혀진 기법은 안드로이드 스마트폰에 페이스북, 인스타그램, 얀덱스 등 앱이 설치된 상태에서 웹사이트를 방문할 때 작동한다. 약 20%의 인기 웹사이트에 삽입된 '메타 픽셀(Meta Pixel)'과 '얀덱스 메트리카(Yandex Metrica)' 추적 스크립트가, 스마트폰 내 앱과 로컬호스트(localhost) 포트를 통해 직접 통신한다.

앱-웹 연동 통한 추적…사생활 보호 기능 무력화
 

이 방식은 안드로이드의 앱 샌드박싱, 시크릿 모드, VPN 등 기존의 사생활 보호 장치를 우회한다. 연구진은 "이로 인해 웹 쿠키와 브라우징 이력이 광고 ID 등 기기 식별자와 연동돼, 사용자의 온라인 활동이 사실상 익명성을 잃는다"고 지적했다. 메타는 2024년 9월부터, 얀덱스는 2017년부터 이 방식을 사용해온 것으로 조사됐다.

업계·규제기관, 즉각 조사 착수

구글과 모질라는 각각 "플레이 마켓의 서비스 약관 및 안드로이드 이용자의 사생활 기대를 위반한 행위"라며 조사에 착수했다. 모질라는 파이어폭스 안드로이드 버전에 대한 보호조치 개발에 들어갔다. 메타와 얀덱스는 언론의 질의에 답하지 않았다.

연구 결과가 공개된 직후, 메타의 추적 통신이 즉각 중단된 것으로 확인됐다. 연구진은 "관련 추적 코드가 대부분 삭제됐다"고 밝혔다.

악성 앱 통한 2차 피해 우려

연구진은 이 방식이 단순한 추적을 넘어, 악성 앱이 같은 로컬호스트 포트에 접근해 사용자의 브라우징 이력을 탈취할 수 있는 보안 취약점도 내포하고 있다고 경고했다. 실제로 크롬, 파이어폭스, 엣지 등 주요 브라우저에서 이 취약점이 재현됐다.

모질라는 "이 방식은 이용자의 사생활 기대를 명백히 위반한다"고 강조했다. 이번 사태는 빅테크 기업의 데이터 수집 관행에 대한 규제와, 이용자 프라이버시 보호 요구가 높아지는 시점에 터져 파장이 예상된다.