틱톡이 쏴올린 클릭보드 무단 접근, 업계 관행이었나

입력 2020.06.30 17:39 | 수정 2020.07.01 11:37

틱톡이 스마트폰 사용자 클립보드(정보를 복사해 붙여넣기 할 때 쓰이는 임시 저장 공간)에 무단으로 접근한 것으로 드러났다. 이는 비단 틱톡만의 문제가 아니었다. 뉴스와 게임, 소셜미디어 등 53개 앱에서도 같은 문제가 발견됐다. 이에 애플과 구글 등 정보기술(IT) 업계는 각각 개인정보 보호 조치 강화를 내놨다.

틱톡 페이스북 계정 갈무리
30일 아스테크니카 등 외신은 애플리케이션(앱) 개발자인 탈랄 하즈 바크리와 토미 마이스크 등의 주장을 인용해 틱톡이 앱 사용자를 대상으로 클립보드 데이터에 지속해서 무단 접근했다고 보도했다.

앞서 바크리와 마이스크 연구원은 3월 연구 보고서를 통해 틱톡을 포함한 여러 iOS 앱에 개인정보보호 문제가 있다고 지적했다. 보고서에 따르면 틱톡은 앱 사용자 클립보드에서 텍스트에 접근하기 위해 iOS 프로그래밍 인터페이스라는 명칭으로 기능을 활성화했다. 클립보드 권한 허용 없이 무단으로 접근하는 기능이지만 틱톡은 일반 기능인 것처럼 보이도록 한 셈이다.

틱톡이 접근한 데이터는 비밀번호와 메시지, 계정 재설정 링크, 암호화폐 지갑 주소 등이다. 마이스크 연구원은 "클립보드 무단 접근은 스누핑(Snooping, 네트워크상에서 이용자 정보를 염탐해 불법으로 수집하는 행위), 사이버 범죄 등에 활용될 수 있어 매우 위험하다"며 "그렇게 할 이유가 없다"고 비판했다.

당시 틱톡은 즉시 해당 문제를 개선하겠다는 입장을 내놨다. 하지만 틱톡은 3개월이 지난 최근까지 문제를 해결하지 하지 않았다. 이는 애플이 iOS 14 베타 버전을 내놓으면서 클립보드 무단 접근 앱을 경고하는 기능을 추가하면서 문제가 다시 불거져 공론화 됐다.

제러미 버지 이모지피디아(Emojipedia) 최고경영자(CEO)는 25일(현지시각) 트위터에 iOS 14 베타 버전 시연 영상을 게재하며 틱톡 앱 실행시 클립보드에 접근한다는 알림 배너가 뜬다고 지적했다.

틱톡은 문제가 확산하자 스팸 방지 기능 차원에서 사용자 클립보드에 접근했다고 해명했다. 사용자의 스팸성 행동을 식별하고자 내놓은 기능일 뿐 다른 목적은 없었다는 설명이다. 애플 앱스토어에 제출한 틱톡 새 업데이트 버전에는 해당 기능을 제거했다고도 밝혔다.

"틱톡뿐 아니다"…뉴스, 게임, 소셜미디어 등 다수 앱에서 클립보드 무단 접근

앱 제조사의 사용자 클립보드 무단 접근 사례는 비단 틱톡에서만 벌어지는 게 아니었다. 틱톡을 포함한 54개에 달하는 iOS와 안드로이드 앱이 클립보드에 무단 접근한 것으로 드러났다. 최근 iOS 14 베타 버전을 시연한 국내외 개발자들도 여러 앱에서 같은 문제가 발생한다고 입을 모은다.

바크리와 마이스크 연구원의 연구 보고서에 따르면 17개 뉴스 앱(ABC뉴스·CBS 뉴스·CNBC·뉴욕타임스·월스트리트저널·로이터 등)을 비롯해 19개 게임 앱(펍지모바일·프루트닌자·블록퍼즐·워터마블링 등), 소셜미디어 앱 6개(틱톡·웨이보·바이버 등) 등이 무단으로 접근했다. 그밖에도 12개 앱(알리익스프레스 쇼핑과 호텔스닷컴, 스카이티켓 등)이 포함됐다.

마이스크 연구원은 현재 2개 앱만이 문제를 개선했을 뿐 나머지는 클립보드에 여전히 접근하고 있다고 주장했다. 개선한 2개 앱은 밝히지 않았다.

iOS 14 베타 버전에서 폭스뉴스 앱을 실행하면 해당 앱이 클립보드에 무단으로 접근한다는 알림 배너가 나온다. / 유튜브 갈무리
클립보드 무단 접근으로 스누핑, 사이버 범죄 활용될 수 있어

전문가들은 클립보드 무단 접근이 스누핑으로 이어질 수 있는 만큼 반드시 제재해야 한다고 지적한다. 일부 앱에서 사용자 클립보드에 불법으로 접근해 개인정보를 얻은 뒤 광고에 활용하는 등의 사례가 발생하고 있기 때문이다. 또 클립보드에 민감 정보가 담기는 만큼 사이버 공격에 악용될 여지도 많다는 지적이다.

성준영 NSHC 이사는 "클립보드 내용에 접근할 수 있다고 모두 문제가 되는 것은 아니다"라면서도 "클립보드에 주민번호나 계좌번호, 비밀번호 등 기밀 정보가 담겼을 때는 문제가 발생할 수 있다"고 말했다. 사용자가 알지 못한 채 민감 정보가 유출됐을 경우는 2차, 3차 피해가 발생할 수 있다는 설명이다.

실제 2018년 암호화폐 거래자들이 길고 복잡한 전자지갑 주소를 외우는 대신 복사·붙여넣기를 하는 관행을 악용한 사이버 범죄가 발생했다. 당시 해커는 악성 프로그램 ‘클립보드 하이재커’를 통해 거래자 몰래 클립보드에 저장된 주소를 다른 주소로 바꿔치기 했다. 거래자들은 암호화폐가 자신의 전자지갑 대신 모르는 전자지갑으로 가는 피해를 입었다. 피해 규모만 230만명 정도다.

애플이 23일 열린 연례 세계개발자회의(WWDC)에서 iOS 업데이트 기능으로 클립보드 무단 접근 알림 기능을 내놓은 배경에는 이같은 문제를 방지하기 위함이라는 게 업계 중론이다. 구글 역시 애플 발표 직후 블로그에 공지해 웹이나 앱 활동 기록을 18개월 후 자동 삭제하는 기능을 발표했다.

김평화 기자 peaceit@chosunbiz.com

키워드