[머니투데이 백지수 기자]

틱톡 /사진=로이터

<이미지를 클릭하시면 크게 보실 수 있습니다>

중국 기업 바이트댄스의 동영상 공유 앱 틱톡(TikTok)이 최소 15개월 이상 이용자들의 맥 주소(MAC Address)를 무단 수집한 정황이 있다는 WSJ 보도에 12일 보안 전문가들은 "'맥 주소는 다른 정보와 결합하면 사용패턴이 드러나는 만큼 무단 수집은 문제의 소지가 있다"는 견해를 나타냈다. 다만 맥 주소 자체를 개인정보로 보기엔 무리가 있다는 반응도 나온다.

━
틱톡이 수집했다는 '맥 주소'…개인정보 아니지만 개인 식별 가능

━
맥 주소는 PC나 스마트폰 등 인터넷이 가능한 단말 기기마다 부여되는 12자리 고유 식별 정보다. 맥 주소 자체만으로는 개인을 식별할 수 없다. 하지만 기기별 로그 기록 등과 결합하면 해당 기기 사용자의 사용 패턴이나 이용자의 관심사, 배경 등을 특정할 여지가 있다.

현재 기업이나 정부 기관 등이 이용자들 편의를 위한 서비스나 마케팅에 맥 주소를 활용하기도 한다. 예를 들면 은행 로그인 기기를 특정 기기로 제한할 때도 이용자 동의를 받아 수집한 맥 주소를 활용한다. 특정 검색어를 검색하거나 사이트를 방문한 뒤 계속 관련 광고가 뜨는 것이나 인스타그램, 유튜브 알고리즘에 따라 콘텐츠가 추천되는 것도 이용자가 남긴 흔적(로그 기록)과 맥 주소가 함께 활용되기 때문이다.

다만 이렇게 활용할 때에는 현행법상 개인정보 수집 동의를 이용자로부터 받아야 한다. 국내 개인정보보호법도 '해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보'는 개인정보로 정의한다. 따라서 맥 주소, IP주소 등 통신을 위해 자동으로 생성되는 정보를 통신 이외 다른 용도로 이용하기 위해 수집할 때는 동의를 받아야 하는 것으로 해석된다.

이때문에 맥 주소는 디지털 범죄 수사나 디지털포렌식에서도 네트워크 로그 기록과 결합해 중요한 개인 식별 증거로 쓰인다. 가령 디지털 성범죄 피의자가 스마트폰으로 특정 사이트에 접속해 '성폭행' 등을 검색한 로그 기록이 수사 기관에서 파악됐고 해당 사이트에 접속한 IP 주소와 기기 맥 주소 등을 대조해 보면 피의자를 특정할 수도 있다. 역으로 마케팅 등의 목적으로 수집된 맥 주소를 가지고 이용자의 생활 패턴이나 직업, 주요 활동지 등을 충분히 특정할 수 있다는 얘기도 된다.

━
국내 전문가들 "이용자 고지 없는 맥 주소 수집, 사실이라면 문제"
━
이 때문에 국내 보안 전문가들은 틱톡이 국내에서도 맥 주소를 무단 수집한 증거가 발견된다면 문제가 될 수 있다는 입장이다. 이용자 동의를 받지 않은 정보는 이후 어떻게 관리되는지 알 수 없고 유출될 경우 해커들에게 악용될 가능성도 배제할 수 없다는 설명이다.

문종현 이스트시큐리티 ESRC(시큐리티대응센터) 센터장은 본지와의 통화에서 "일반적으로 맥 주소 데이터가 유출되는 경우 해커들이 정부 기관에 속한 사람 등 특정 부류 인사들을 목표로 공격할 여지가 있다"며 "수집 데이터가 어떤 목적으로 활용되는지, 관리가 잘 되고 있는지 이용자들에게 충분히 고지되지 않았다면 문제가 될 수 있다"고 말했다.

맥 주소를 활용하는 목적이나 방법도 기업마다 다르고 기업들이 이를 영업기밀처럼 다루기 때문에 어떻게 활용되는지도 이용자들로선 알 수가 없다. 거꾸로 맥 주소를 수집했다고 꼭 악의적으로 활용한다고 보기도 어렵다. 실제 애플과 구글 등도 2011년 맥 주소 무단 수집 논란에 휩싸인 적이 있다.

틱톡도 이날 공식 성명문에서 "틱톡의 현재 버전에서는 사용자의 맥 주소를 수집하지 않는다"며 "중국 정부에 미국 사용자 데이터를 절대 제공한 적이 없고 만약 요청이 오더라도 제공하지 않는다"고 해명했다.

김승주 고려대 정보보호학과 교수는 "맥 주소를 동의 없이 수집한 것 자체는 문제가 있다"면서도 "중국이 다른 국가보다 개인정보 규정이 소홀하다는 근거가 없고 구글과 애플 등도 2011년 맥 주소 유출 논란이 있던 만큼 틱톡에 대해서도 (유출여부를) 속단하기엔 이르다"고 말했다.

백지수 기자 100jsb@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>