8일(현지시간) 테크크런치에 따르면 애플은 일부 아이폰 앱에서 사용자의 화면 데이터를 수집하는 코드를 몰래 심은 개발자에게 사용자의 동의를 받거나 해당 코드를 완전히 삭제해야 한다는 취지의 공문을 보낸 것으로 확인됐다.
애플은 이에 대해 "애플의 생태계를 보호하는데 있어 사용자의 프라이버시를 보호하는 것은 매우 중요하다"며 "앱 스토어 가이드라인에 따르면 앱은 사용자 활동 기록 또는 기타 활동을 기록하고 이를 제 3자에 전송할 때 명확한 시각적 표시를 제공하고 명시적으로 사용자의 동의를 요청해야 한다"고 강조 했다.
이어 "우리는 엄격한 사생활 보호 조항과 가이드 라인을 위반하는 개발자들에게 이미 통보했으며, 필요한 경우 즉각적인 조치를 취할 것"이라고 강조했다.
테크크런치와 앱 분석매체 앱애널리스트에 따르면 항공사인 에어캐나다(Air Canada), 싱가포르 에어라인(Singapore Airlines), 의류업체 애버크롬비(Abercrombie), 홀리스터(Hollister), 여행·숙박 앱 익스페디아(Expedia), 호텔스닷컴(Hotels.com) 등은 데이터 분석회사 글래스박스(Glassbox)의 '세션 재생(session replay)' 기술을 이용해 사용자의 스마트폰 화면을 기록하는 대표적인 앱으로 꼽힌다.
실제 앱애널리스트가 몇몇 업체의 앱을 테스트한 결과 사용자에게 데이터 수집 동의를 요청하지 않았으며 자체 개인정보보호 정책에서도 사용자의 앱 활동 등을 기록하고 있다고 명시한 회사는 없는 것으로 드러났다.
글래스박스의 '세션 재생' 기술은 스마트폰 사용자가 단말기에 정보를 입력하거나 앱내 버튼을 누를 때마다 사용자의 화면을 녹화하거나 캡처해 서버로 전송한다. 이 소프트웨어는 신용카드 정보나 비밀번호와 같은 민감한 개인정보의 경우 자동 차단돼 수집되는 것을 방지하기는 하지만 앱애널리스트는 이 기능이 항상 차단되는 것으로 아닌 것으로 확인됐다고 지적했다.
앱애널리스트는 특정 소프트웨어를 이용해 글래스박스 서버로 전송되는 데이터를 가로채고 중요한 정보를 스크린 샷으로 캡처하는 해킹 기술을 시연하는 동영상을 유튜브에 공개하기도 했다.
이같은 사실이 공개되자 업체들은 부인하고 나섰다.
에어캐나다는 "고객이 제공한 정보는 사용자의 여행이나 출장에 필요한 요구사항을 파악하기 위해 사용된다"며 "에어캐나다 모바일 앱에서 수집된 데이터에는 사용자 정보가 포함되기는 하지만 화면을 캡처할 수는 없다"고 해명했다.
애버크롬비&피치 역시 글래스박스의 데이터 수집 프로그램을 사용하는 것을 인정하면서도 "고객의 문제를 파악하고 해결함으로써 효율적인 쇼핑 경험을 제공하는데 도움을 주고 있다"고 밝혔다.
구글 안드로이드 역시 글래스박스와 같은 데이터 분석업체 프로그램을 이용하거나 앱 개발자가 자체적으로 사용자 데이터를 수집하는 경우가 비일비재한 것으로 알려졌다.
구글은 이같은 이용자 동의 없이 몰래 데이터를 수집하는 것에 대한 공식 입장을 내놓지는 않았지만 구글플레이 역시 사용자 몰래 데이터 수집을 금지하고 있다. 하지만 전문가들은 애플에 비해 워낙 방대한 규모에다 불확실한 앱들이 많고 심사 규정이 상대적으로 까다롭지 않아 실제 사용자 데이터를 추적하거나 수집하는 앱들에 노출될 가능성이 더 높은 것으로 보고 있다.