글로벌 보안 기업 어베스트(Avast)가 무료 백신 프로그램을 이용해 식별할 수 있는 사용자 개인정보를 다수 기업에 판매했다는 의혹이 불거졌다.
미 IT 전문매체 마더보드(Vice’s Motherboard)와 PC매거진(PCMag)은 27일(현지시각) 공동 조사 결과 어베스트가 무료 백신 프로그램인 ‘어베스트 프리 안티바이러스(Avast Free Antivirus)’로 얻은 사용자 개인정보를 구글과 마이크로소프트(MS) 등에 판매했다고 전했다. 어베스트는 비식별 처리를 마친 개인정보라는 주장을 내놨지만 외신의 조사 결과 식별이 가능하다는 반박이다.
어베스트는 매월 4억3500만명 이상의 사용자 PC와 모바일 기기에 보안 제품을 제공하는 업체다. 어베스트 프리 안티바이러스는 애플 맥(Mac) PC 사용자가 주로 사용할 만큼 대중적인 프로그램이다. 한국에도 해당 프로그램을 제공한다.
데이터 구매자는 ▲구글 ▲MS ▲펩시 ▲맥킨지 ▲세포라 등 다수 기업이었다. 어베스트는 데이터 수집 동의를 사전에 받아 비식별 조치 후 자회사인 ‘점프샷(Jumpshot)’을 통해 데이터를 이들 기업에 판매했다고 주장했다.
하지만 마더보드와 PC매거진은 데이터 사용자의 식별이 가능해 문제가 있다고 반박했다. 자체 조사 결과 브라우징 데이터에서 패턴과 유사성 등으로 사용자 신원을 파악할 수 있다는 내용이다.
점프샷은 어베스트 백신 프로그램의 사용자 데이터를 다양한 패키지 옵션으로 재가공해 판매한다. 데이터 구매 기업이 웹사이트에서의 사용자 데이터 행위와 이동을 추적하도록 제공하는 옵션도 있다.
특히 ‘모든 클릭 피드(All Clicks Feed)'가 포함된 옵션은 사용자 움직임을 정밀히 추적하도록 데이터를 제공해 사용자 식별이 가능하다는 지적이다. 실제 옴니콘 미디어 그룹(Omnicom Media Group)은 2018년 12월 점프샷이 제공하는 ‘모든 클릭 피드' 옵션을 구매했다. 점프샷은 이를 통해 총 650만달러(76억5700만원)의 수익을 얻었다.
어베스트는 논란이 이어지자 "2019년 7월부터 사용자에 데이터 수집 동의를 물어 거부할 수 있도록 안내해오고 있다"며 "점프샷이 이름과 이메일 주소, 연락처 등의 세부 개인정보를 얻지 못하도록 조치했다"고 입장을 내놨다. 미국 캘리포니아주 소비자프라이버시법(CCPA)과 유럽의 개인정보보호법(GDPR)을 준수한다는 내용도 덧붙였다.
하지만 이같은 해명에도 논란은 사그라지지 않는 모양새다. PC매거진은 "더 이상 어베스트의 무료 백신 프로그램을 추천하지 않겠다"고 나섰다.
론 와이든 미 상원의원도 "사용자 동의 없이 수집・공유된 데이터를 삭제하거나 민감한 인터넷 브라우징 데이터 판매를 종료하겠다는 어베스트의 입장이 없어 우려스럽다"는 의견을 내놨다.
한편 IT조선은 한국 사용자 데이터의 문제 여부도 살피려 했으나 파악할 수 없었다. 어베스트 한국 총판인 ‘소프트메일’이 연락을 받지 않았다. 해당 업체는 설 연휴로 2월 6일까지 휴무다. 홈페이지를 살폈으나 별다른 입장도 내놓지 않았다.