구글과 마이크로소프트(MS)가 사용자의 비밀번호 같은 민감 정보를 몰래 가져간다는 주장이 제기됐다. 자사 인터넷 브라우저의 철자 확인 기능을 통해서다.
오토자바스크립트시큐리티는 자체 실험 결과도 공개했다. 정보 유출 방식 설명을 위해서다. 실험 대상은 많은 사람이 이용하는 웹사이트 중 개인식별정보에 접근하는 사이트 30곳이다. 오토자바스크립트시큐리티는 실험 결과 30개 웹사이트 중 96.7%가 개인식별정보를 포함한 데이터를 구글과 MS에 전송했다고 밝혔다. 또 ‘비밀번호 표시’를 활성화하면 구글·MS에 비밀번호를 전송하는 웹사이트는 73.3%에 달했다. 나머지는 ‘비밀번호 표시’ 기능이 없었을 뿐 비밀번호를 보호하는 것은 아니었다.
조쉬 서밋 오토자바스크립트시큐리티 최고기술책임자(CTO) 겸 공동창립자는 "브라우저 데이터 유출을 조사하던 중 구글이나 MS 같은 제3자에 기밀정보가 불필요하게 노출되는 여러 기능 조합을 발견했다"며 "뒤에서 무슨 일이 일어나고 있는지 제대로 인식하지 못하고 이런 기능을 사용할 수 있다는 점이 우려된다"고 밝혔다.
앞서 구글 등 빅테크 기업은 개인식별정보, 비밀번호 같은 민감정보 외에도 각종 정보를 무단으로 수집한다는 논란에 직면한 상태다. 애플의 경우 iOS에 광고주 식별자(IDFA)가 활성화돼 있었다. 앱 사용자가 개인정보 수집을 동의하지 않는다는 의사표시를 하지 않으면 광고주는 동의한 것으로 간주했다. 이로 인해 이용자 반발에 직면한 애플은 지난해 이를 개선하는 ATT 정책을 내놨다. ATT 정책은 앱에서 사용자의 개인정보를 추적할 때 반드시 동의를 얻어야 한다는 내용을 담고 있다.
맞춤형 광고를 진행하는 구글과 메타는 ‘행태정보’로 불리는 데이터를 웹사이트·앱의 접속·사용·구매기록 등을 통해 수집하다가 개인정보위로부터 과징금 1000억원과 시정명령을 받았다.
이에 전문가들은 개인의 정보는 스스로 지켜야 한다고 입을 모은다. 인터넷 브라우저의 철자 확인 기능을 전부 비활성화시키거나 개인정보 동의와 관련 내용을 꼼꼼히 확인해야 한다는 것이다.
업계 한 관계자는 "빅테크 기업은 우리가 상상하는 것보다 훨씬 방대한 양의 민감한 정보에 접근하고 있다"며 "개인 스스로가 개인정보 유출에 보다 신경을 기울여야 한다"고 말했다.
변인호 기자 jubar@chosunbiz.com