스카이스캐너, 트립어드바이저, 마이피트니스팔 등
ID, 앱 열린 횟수 등 정보 공유…GDPR 위반 가능성
【서울=뉴시스】 안호균 기자 = 스카이스캐너, 트립어드바이저, 마이피트니스팔 등 20여개의 인기 앱들이 사용자들의 동의를 받지 않고 페이스북과 개인 데이터를 공유했다고 파이낸셜타임스(FT)가 30일(현지시간) 보도했다.
국제 인권단체 '프라이버시 인터내셔널'이 34개 인기 안드로이드앱을 대상으로 연구한 결과 20여개 앱이 사용자가 스마트폰에서 앱을 실행 하는 순간 페이스북으로 특정 데이터를 보낸 것으로 학인됐다.
즉시 전송되는 정보는 앱 이름, 사용자 ID, 다운로드 이후 앱이 열리거나 닫힌 횟수 등이었다. 카약(Kayak)과 같은 일부 여행 사이트들은 이용자들의 자녀가 있는지, 어떤 항공기와 목적지를 검색했는지 등에 대한 자세한 정보도 페이스북에 전송했다.
해당 앱들은 대부분 무료 서비스여서 광고와 데이터 공유 등으로 수익을 낸다. 이 때문에 페이스북에 의존할 수 밖에 없는 구조다.
FT는 이같은 데이터 공유가 지난 5월부터 시행된 유럽연합(EU)의 새 개인정보보호규정(GDPR)을 위반한 것일 수 있다고 지적했다. 이 법은 모바일 앱들이 사용자의 개인 정보를 수집하기 전에 명시적인 동의를 얻도록 하고 있다. 위반할 경우 최대 매출의 4% 또는 2000만 유로(약 255억원)의 벌금을 내야 한다.
프라이버시 인터내셔널의 연구자들은 규정을 준수할 책임은 앱 개발자들에게 있지만 페이스북의 '소프트웨어 개발 키트(SDK)'가 사용자 동의를 구할 수 있는 선택권을 주지 않았다고 설명했다.
프레데리케 칼트호너 연구원은 "GDPR이 도입된지 최소 4주 뒤에도 페이스북의 SDK의 설정 때문에 사용자들의 동의를 받는 것은 불가능했다"며 "이는 앱이 열리는 순간 데이터가 자동으로 공유된다는 것을 의미한다"고 말했다.
일부 앱 개발자들은 이 문제에 불만을 표시하며 페이스북의 개발자 플랫폼에 버그 리스트를 제공했다고 밝혔다.
페이스북은 이같은 불만이 접수되자 새로운 업그레이드를 내놨지만 문제가 확실히 해결됐는지는 불확실하다.
프라이버시 인터내셔널은 "이 기능이 출시된지 6개월이 지났지만 우리는 여전히 개발자들이 그것(사용자 동의)을 구현하고 있다는 증거를 확인하지 못하고 있다"며 "우리가 시험한 앱들 중 67.7%는 앱이 시작되는 순간 페이스북에 데이터를 전송한다"고 지적했다.
[email protected]