MONDAIT

이 글은 해외 매체를 번역한 글입니다.

 

중국 바이트댄스의 SNS 틱톡이 아이폰 이용자들의 클립보드 데이터를 무단으로 수집했다는 정황이 밝혀졌다. 이는 최근 iOS 14 보안 강화 조치의 일환으로 앱에서 클립보드를 접근할 경우 팝업을 띄워주는 기능이 추가되면서 표면으로 드러났다. 

틱톡은 주로 Z세대를 타켓으로 하고 있는 SNS 앱으로, 월평균 활성 사용자 수인 MAU 가 10억 명 안팎으로 알려져 있다. 틱톡은 처음 앱을 설치하고 계정을 등록하는 모든 과정에서 클립보드 데이터를 수집해간다는 사실을 이용자에게 명확히 고지한 적이 없다. 각종 커뮤니티에서 이 문제에 대한 논란이 일자 틱톡 측에서는 비정상적인 계정 사용을 식별하기 위한 기능과 관련되어 있으며, 이 문제를 제거하는 업데이트를 즉시 앱스토어에 제출했다고 밝혔다. 

하지만 알려진 기술에 따르면, 클립보드 데이터는 실제로 비정상적인 계정을 식별하는데 거의 도움이 되지 않는다. 소셜 네트워크 앱에서 클립보드 데이터를 수집할 마땅한 이유가 없기 때문에, 이 해명은 '우리는 하지 말아야 할 일을 하다가 들켰기 때문에 서둘러 해결책을 내놓았다' 라고 해석하기 충분해 보인다. 

클립보드 액세스가 밝혀진 앱은 틱톡 뿐만이 아니다. CNBC, AliExpress, Weibo 등 다수의 중국 앱들에서 앱을 실행할 때마다 클립보드 데이터를 수집하고 있는 것으로 확인되었다. 번역, 계좌 이체 등과 관련된 일부 앱들에 대해서도 클립보드 데이터 수집이 확인되었지만 이들은 납득할만한 수준의 근거가 있다. 범용 클립보드에 대한 자유로운 액세스는 이용자 편의 기능을 제공하기 위한 운영체제의 주요한 기능이기에 당장 이를 제한하기는 어려울 것으로 보인다. 

이와 직접적으로 관련된 일은 아니지만, 얼마 전에도 중국의 개인정보 무단 탈취 및 백도어와 관련된 명백한 증거가 드러난 사건이 있었다. 지난주 보안 업체인 Trustwave 는 중국에서 서비스하는 해외 기업이 세금을 내기 위해 필요한 소프트웨어에 GoldenSpy 라는 백도어가 탑재되어 있다는 것을 발견했고, 머지않아 개발사 Aisino 에서 이를 은밀히 제거하는 자동 업데이트를 배포한 정황이 확인되었다. 

Trustwave 사의 부회장 Brian Hussey 는 이러한 급한 움직임에 대해 '의도적인 백도어 탑재의 증거' 라고 추정했다. 다른 보안 업체인 Avant Security 의 수석 클라우드 책임자 Ron Hayman 은 'Aisino 가 신뢰도 하락의 우려를 감수하고 이러한 행위를 할만큼 유의미한 기업이 아니기 때문에, 이 데이터를 필요로 하는 배후가 있을 것' 이라는 생각을 밝혔다. 

Reference

 

https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-still-snoop-your-sensitive-clipboard-data/

https://www.itwire.com/security/trustwave-china-malware-study-appears-to-have-had-favourable-effect.html

https://www.forbes.com/sites/zakdoffman/2020/06/26/warning-apple-suddenly-catches-tiktok-secretly-spying-on-millions-of-iphone-users/

 

20-07-05 추가 : 

이번 틱톡 사건과 관련해서는 iOS 14 Developer Beta 버전과의 클립보드 버그가 큰 관련이 있으며, iOS 13 이하 버전의 사용자와 Android 사용자에 대해서도 클립보드가 수집되는지는 불분명하다고 합니다. iOS 14 베타에서 확인된 증거는 댓글이나 검색 창과 같이 텍스트를 입력하는 경우에만 생기는 문제로 알려져, 데이터 수집의 직접적인 증거로 추정하기 충분하지 않아 보입니다. 

아래는 틱톡 대변인이 The Telegraph 측에 밝힌 원문입니다. 

"Following the beta release of iOS14 on June 22, users saw notifications while using a number of popular apps. For TikTok, this was triggered by a feature designed to identify repetitive, spammy behavior. We have already submitted an updated version of the app to the App Store removing the anti-spam feature to eliminate any potential confusion.

TikTok is committed to protecting users' privacy and being transparent about how our app works. We look forward to welcoming outside experts to our Transparency Center later this year."