‘스파이 앱’ 의혹을 받고 있는 중국의 동영상 소셜미디어 틱톡이 구글의 개인정보 보호정책을 어기고 몰래 사용자 정보를 수집한 정황이 확인됐다.

11일(현지시간) 월스트리트저널(WSJ)에 따르면 틱톡은 최소 15개월 이상 모바일기기 이용자들의 개인 정보인 맥 주소를 사용자 동의 없이 수집해 본사인 바이트댄스 서버로 보낸 것으로 알려졌다. 맥 주소는 네트워크 기기에 부여되는 12자리 고유식별번호로 기기를 교체해야 초기화되거나 수정된다. 미국 아동온라인사생활보호법은 맥 주소를 고유식별정보로 규정하고 있다.

WSJ는 “재작년 4월부터 올해 1월까지 구글플레이스토어에 출시된 9개 버전의 틱톡을 설치해본 결과 틱톡의 모회사인 바이트댄스로 맥 주소를 비롯한 개인정보들이 전송되는 것을 확인했다”고 보도했다. 계정을 만들고 서비스 약관에 동의하지 않더라도 스마트폰에 틱톡을 설치하면 유출됐다. 맥 주소 수집은 구글 플레이스토어의 개인정보 정책을 위반하는 것이다. 구글은 앱 개발자들이 이용자의 동의 없이 맥 주소 등을 수집하지 못하도록 규제하고 있다.

틱톡의 모회사인 바이트댄스가 수집한 맥 주소를 숨기기 위해 취한 방식에도 문제가 있다고 WSJ는 지적했다. 계정관리업체 옥타의 마크 로저스 부회장은 “틱톡은 일반적으로 경쟁자의 모방을 막기 위해 사용되는 암호화 규칙을 구글이나 애플의 감시를 피해가기 위해 추가로 사용한 것으로 보인다”고 말했다.

도널드 트럼프 미국 대통령은 국가안보 위협 및 개인정보 유출 등을 이유로 미국 내 틱톡 사용 금지 방침을 밝혔다가 오는 9월 15일까지 틱톡의 미국 사업부를 매각하라고 통보했다. 마이크로소프트와 트위터 등이 틱톡 인수에 뛰어들었다.

김정은 기자 likesmile@hankyung.com