2020.01.28

칼럼ㅣ삼성이 당신의 데이터를 팔고 있을 수 있다

JR Raphael | Computerworld
갤럭시 스마트폰에는 구글의 개인정보보호 정책만 적용되진 않는다. 각종 구글 서비스에 의존한다는 것은 (안드로이드 사용자라면 아마 대부분 그렇겠지만) 뚜렷한 대가가 따른다. 큰 비밀은 아니다. 바로 구글이 광고 판매로 돈을 번다는 것이다.

광고는 사용자의 관심사를 만족시킬 때 효과적이다. 관심사는 다음과 같은 정보에서 드러날 수 있다. 이를테면 우리가 검색한 주제들, 구매한 물건(적어도 구글이 그 내역을 알고 있을 때), 그리고 심지어는 위치 추적 기능이 있는 스마트폰을 손에 들고 가는 장소 등이다.

필자가 자주 언급하지만 정보로 대가를 치르는 것은 당연한 일이다. 그 덕분에 구글이 앱을 무료로 제공할 수 있고, 그러한 정보가 없었더라면 불가능했을 기능들이 등장하고 있다.

그런데 여러분이 모를 수 있는 사실이 있다. 만약 순정 OS나 시스템 앱을 상당한 수준으로 수정하는 제조사의 제품을 사용 중이라면 (구글이 만든 픽셀이나 구글과 관련된 안드로이드 원 장치를 제외한 모든 스마트폰이 해당된다) 제조사에 유리한 자체 프로그램이 강제로 깔려 있을 가능성이 크다. 

설령 구글이 사용자의 정보를 누구와도 공유하지 않을지라도 앞서 언급한 그 스마트폰 제조사들은 사용자가 보호되고 있다고 믿는 개인정보에 손을 대고 직접 이익을 취하고 있을 수 있다. 
 
ⓒGetty Images

삼성이 그런 경우인 듯하다. 삼성은 하드웨어 판매로 엄청난 이윤을 남기고 있다. 여기에 삼성은 갤럭시 사용자로부터 각종 정보를 수집한 후 제3자에게 팔아서 추가 매출을 올리거나 혹은 자체 운영하는 광고 네트워크에 활용할 수 있는 시스템을 조용히 만들어낸 것으로 보인다.

누구라도 당혹스러울 만한 일이다. 특히 정보 보호가 우선순위인 기업이라면 경각심을 가질 만한 일이다.

필자는 그동안 삼성이 갤럭시 스마트폰에 각종 구글 서비스와 중복되는 여러 앱을 고집하는 바람에 야기된 복잡함과 혼란에 대해서 꾸준히 불만을 제기해 왔다. 삼성의 이런 정책에 사용자 정보를 이용해 또 다른 수입을 올리기 위한 목적이 있을 것이라곤 전혀 생각지 않았다. 며칠 전 안드로이드 개발자 커뮤니티인 XDA 디벨로퍼스가 삼성페이 앱에 새롭게 생긴 설정을 발견했다는 소식을 듣고서야 비로소 그런 생각이 머리를 스쳤다.
 
ⓒJR

XDA가 발견한 것은 최근 삼성페이 앱 설정에 추가된 ‘판매 금지’ 선택 옵션이다. 위의 그림처럼 사용자가 이 선택 옵션을 찾아 활성화하면(기본적으로 활성화되어 있지 않다) 그제서야 사용자의 결제 관련 정보가 삼성페이 협력업체의 손에 넘어가는 일을 막을 수 있다.
 
ⓒJR

삼성은 ‘판매 금지’ 선택 옵션을 활성화할 경우 삼성페이 기능 중 일부가 제대로 동작하지 않을 것이라고 경고하고 있다. 구체적으로 앱의 어떤 부분을 말하는지는 불명확하다.

이는 미국 캘리포니아주에서 시행된 신규 개인정보보호 규정과 연관된 것으로 보인다. 캘리포니아 소비자 개인정보보호법(CCPA)은 올해 초 발효되었는데, 같은 날 삼성의 개인정보보호 정책도 업데이트됐다. 미국 외 지역의 갤럭시 기기에도 똑같은 삼성페이 ‘판매 금지’ 선택 옵션이 제공되는지는 확실하지 않다. 단, 그전까지는 삼성이 이 옵션을 누구에게도 제공한 적이 없고, 결제 관련 정보를 제3자에게 판매 중인 사실을 명시한 적도 없는 듯하다는 점은 확실하다.

삼성의 개인정보보호 정책을 깊게 파고들면, 이 부분 외에도 개인정보 침해 관행이 이루어지고 있는 듯하다. 삼성은 CCPA에 대응하는 자체 프라이버시 정책에서 다음과 같이 밝히고 있다. (이제는 이러한 내용을 캘리포니아 거주자에게 구체적으로 공개하는 것이 법으로 의무화되어 있다.) 

· 당사는 특정 제3자(예: 광고 협력업체)가 사용자의 개인 정보를 수집하도록 허용할 수 있다. 사용자는 이러한 본인 정보 공개를 거부할 권리가 있다.

또한 이 정책에 의하면 CCPA가 통과되기 전 여러 범주의 정보를 ‘판매했을 수 있다’는 내용을 캘리포니아 거주자에게 경고하고 있다. 그 정보의 예는 다음과 같다.

· 고유 개인 식별자와 같은 식별자(예: 장치 식별자, 쿠키, 비콘, 픽셀 태그, 모바일 광고 식별자 및 유사 기술, 기타 형태의 영구 식별자 또는 확률적 식별자), 온라인 식별자, 인터넷 프로토콜 주소
· 상업적 정보(구매/취득했거나 구매를 고려한 제품/서비스의 기록 또는 기타 구매/소비 이력이나 성향 포함)
· 인터넷 및 다른 네트워크 활동 정보(브라우징 이력, 검색 이력, 웹사이트나 애플리케이션 또는 광고와 사용자 간의 인터랙션 정보 등이 포함되나 여기에 국한되지 않음)
· 선호, 특성, 심리, 성향, 행동, 태도, 지능, 능력, 적성을 반영하는 사용자 프로필을 작성할 목적으로 위에서 파악한 정보에서 도출한 추론들 


맙소사! 그러나 이는 빙산의 일각에 불과하다. 삼성은 이보다 더 민감한 개인 정보를 ‘사업상의 목적’으로 ‘업체들’에게 ‘공개’했었을 수 있다고 밝히고 있다. 공개 대상 정보는 사용자의 이름, 주소, 전화번호부터 서명, 은행 계좌, 신용카드 번호, 구매 이력, 브라우징 이력, 검색 이력, 위치 정보, 그리고 역시 그 모든 정보에서 ‘도출한 추론들’에 이르기까지 모든 것을 망라한다.

여기서 끝이면 좋겠지만 계속 확인할수록 더욱 당황스러운 내용이 드러난다. 삼성의 맞춤형 서비스(갤럭시 기기의 소프트웨어 및 그와 관련된 삼성 브랜드의 앱 전반에 걸쳐 통합되어 있다)를 위한 개인정보보호 페이지에 따르면 다음과 같은 사실을 알 수 있다.

사용자가 본인 기기에서 사용하는 앱들, 스마트폰에서 재생하는 음악, 방문하는 웹사이트, 검색 내용, 사진을 찍는 장소와 시간 등의 정보에 접근할 수 있다. 또한 삼성에서 제작한 캘린더 및 인터넷(브라우저) 유틸리티 같은 앱을 활용해 이러한 사용자 정보를 분석한다. 그런 다음 ‘사용자가 관심을 가질 만한 제품 및 서비스에 대한 맞춤형 광고’를 보여주기 위해 그 모든 정보를 이용한다. 삼성과 제3자는 ‘사용자의 관심사에 맞춘 광고와 다이렉트 마케팅’을 제공하기 위해 ‘정보를 수집, 분석, 공유’할 권리를 갖는다.

광고 이야기가 나와서 하는 말이지만, 여기에는 전혀 다른 복잡한 문제가 존재한다.
 
구글은 절대 사용자의 정보를 팔거나 제3자와 공유하지 않는다

그런데 잠깐만! 이 모든 일은 이미 구글에서도 일어나고 있지 않는가? 그렇게 생각할 수 있겠지만 사실은 아니다. 구글은 절대 사용자의 정보를 팔거나 그 어떤 제3자와도 공유하지 않는다. 구글의 광고 네트워크에서 타깃에 따라 어떤 광고를 보여줄지 결정하기 위해 개인정보를 이용하는 경우에도 마찬가지이다. 그렇기 때문에 삼성이 정보를 타 회사에게 ‘판다’는 점에서 필자는 우려스럽다.

그러나 구글이 광고 개인화에 개인정보를 사용한다는 것은 잘 알려져 있다. 호불호가 갈리겠지만, 구글은 어떤 종류의 정보를 수집하고 있으며 수집된 정보를 정확히 어떻게 사용하고 있는지 놀랄 정도로 솔직하게 밝히고 있다. 이를 전담하는 웹사이트는 전문 용어를 배제한 일상적인 언어로 해당 내용을 설명하고 있다. 

또한 정확히 어떤 정보가 보관되고 있는지 확인하는 것과 원한다면 광고 개인화 시스템을 포함해 정보를 활용하는 어떤 형태의 활동에서든 탈퇴하는 것이 가능하다. 물론 사용자에게 제공되는 기능이 영향 받을 수 있다는 것을 이해한다는 전제에서 그렇다.

반면 삼성의 고객정보 사용 방식은 약간 속이는 듯한 느낌이 든다. 물론 처음 스마트폰을 설정할 때 서비스 화면에 여러 조건이 뜨긴 하지만(다들 클릭은 해 봤어도 내용은 기억 못 할 것이다) 삼성은 사용자의 정보로 정확히 무슨 일을 하고 있는지 굳이 사용자에게 이해시키거나 사용자가 통제할 수 있도록 허용하지 않고 있다. 

그리고 삼성은 안드로이드에 통합된 삼성의 앱들을 통해 사실상 접근권을 갖고 있다. 예를 들면 캘린더 앱에 있는 세부 일정 같은 정보이다. 삼성이 그 정보로 무엇을 할 수 있는지 알게 된 이상 이제 삼성의 안드로이드 통합 앱을 완전히 다른 관점에서 보기가 어렵게 됐다.

필자는 1월 20일 이 사안에 관해 삼성 측이 더 해명하거나 남길 말이 있는지 확인하고자 접촉을 시도했다. 추가 정보를 입수하면 업데이트할 예정이다.
 
안드로이드와 개인정보보호 측면에는 2가지 판이한 현실이 존재한다

그러나 결국 사안의 핵심은 이렇다. 안드로이드 또는 어떤 구글 서비스의 경우에도 사용자는 구글의 개인정보 보호 방식을 받아들이고, 구글이 사용자 정보를 안전하게 유지하도록 믿고 맡긴다. 그것이 구글의 전체 사업이기도 하다. 또한 짐작건대 구글 사용자는 자신의 개인정보 또는 업무 관련 정보가 전체적으로는 상당히 잘 보호되리라는 믿음을 갖고 있다. 일부는 광고 개인화에 사용된다고 해도 말이다.  

이 상황에 삼성의 소프트웨어가 추가되면, 기존의 계층 위에 또 하나의 계층이 생기고, 그 결과 개인정보 접근권과 함께 이를 보호해야 할 책임이 있는 회사의 수가 2배가 된다. (그런 회사 중 한 곳은 사용자의 정보를 자체 광고 제공 시스템에 사용할 뿐만 아니라 자체적인 판단에 따라 정보 일부를 넘길 권리를 드러내 놓고 주장하고 있다.) 즉, 개인정보 노출 범위가 2배가 되는 셈이며 제3자 공유를 감안하면 2배 그 이상이 된다.

안드로이드와 개인정보보호 측면에서 2가지 판이한 현실이 존재한다는 사실을 기억할 필요가 있다. 안드로이드와 소프트웨어 지원 또는 전반적인 사용자 경험을 말할 때와 마찬가지일 수 있겠다.   

하나는 구글이 만들고 자체 안드로이드 스마트폰을 통해 제공하는 현실이다. 다른 한 가지는 다른 회사들이 자체 우선순위와 사업의 이해관계에 맞춰 만드는 현실이다. 구글이라는 태양계를 벗어나 또 다른 '갤럭시'로 진출하고자 한다면, 이러한 2가지 현실의 차이를 유념해야 한다. 그리고 원하지 않는 2차 계층을 비활성화하는 것이 중요하다. 

* JR Raphael은 기술 전문 기고가이다. ciokr@idg.co.kr



2020.01.28

칼럼ㅣ삼성이 당신의 데이터를 팔고 있을 수 있다

JR Raphael | Computerworld
갤럭시 스마트폰에는 구글의 개인정보보호 정책만 적용되진 않는다. 각종 구글 서비스에 의존한다는 것은 (안드로이드 사용자라면 아마 대부분 그렇겠지만) 뚜렷한 대가가 따른다. 큰 비밀은 아니다. 바로 구글이 광고 판매로 돈을 번다는 것이다.

광고는 사용자의 관심사를 만족시킬 때 효과적이다. 관심사는 다음과 같은 정보에서 드러날 수 있다. 이를테면 우리가 검색한 주제들, 구매한 물건(적어도 구글이 그 내역을 알고 있을 때), 그리고 심지어는 위치 추적 기능이 있는 스마트폰을 손에 들고 가는 장소 등이다.

필자가 자주 언급하지만 정보로 대가를 치르는 것은 당연한 일이다. 그 덕분에 구글이 앱을 무료로 제공할 수 있고, 그러한 정보가 없었더라면 불가능했을 기능들이 등장하고 있다.

그런데 여러분이 모를 수 있는 사실이 있다. 만약 순정 OS나 시스템 앱을 상당한 수준으로 수정하는 제조사의 제품을 사용 중이라면 (구글이 만든 픽셀이나 구글과 관련된 안드로이드 원 장치를 제외한 모든 스마트폰이 해당된다) 제조사에 유리한 자체 프로그램이 강제로 깔려 있을 가능성이 크다. 

설령 구글이 사용자의 정보를 누구와도 공유하지 않을지라도 앞서 언급한 그 스마트폰 제조사들은 사용자가 보호되고 있다고 믿는 개인정보에 손을 대고 직접 이익을 취하고 있을 수 있다. 
 
ⓒGetty Images

삼성이 그런 경우인 듯하다. 삼성은 하드웨어 판매로 엄청난 이윤을 남기고 있다. 여기에 삼성은 갤럭시 사용자로부터 각종 정보를 수집한 후 제3자에게 팔아서 추가 매출을 올리거나 혹은 자체 운영하는 광고 네트워크에 활용할 수 있는 시스템을 조용히 만들어낸 것으로 보인다.

누구라도 당혹스러울 만한 일이다. 특히 정보 보호가 우선순위인 기업이라면 경각심을 가질 만한 일이다.

필자는 그동안 삼성이 갤럭시 스마트폰에 각종 구글 서비스와 중복되는 여러 앱을 고집하는 바람에 야기된 복잡함과 혼란에 대해서 꾸준히 불만을 제기해 왔다. 삼성의 이런 정책에 사용자 정보를 이용해 또 다른 수입을 올리기 위한 목적이 있을 것이라곤 전혀 생각지 않았다. 며칠 전 안드로이드 개발자 커뮤니티인 XDA 디벨로퍼스가 삼성페이 앱에 새롭게 생긴 설정을 발견했다는 소식을 듣고서야 비로소 그런 생각이 머리를 스쳤다.
 
ⓒJR

XDA가 발견한 것은 최근 삼성페이 앱 설정에 추가된 ‘판매 금지’ 선택 옵션이다. 위의 그림처럼 사용자가 이 선택 옵션을 찾아 활성화하면(기본적으로 활성화되어 있지 않다) 그제서야 사용자의 결제 관련 정보가 삼성페이 협력업체의 손에 넘어가는 일을 막을 수 있다.
 
ⓒJR

삼성은 ‘판매 금지’ 선택 옵션을 활성화할 경우 삼성페이 기능 중 일부가 제대로 동작하지 않을 것이라고 경고하고 있다. 구체적으로 앱의 어떤 부분을 말하는지는 불명확하다.

이는 미국 캘리포니아주에서 시행된 신규 개인정보보호 규정과 연관된 것으로 보인다. 캘리포니아 소비자 개인정보보호법(CCPA)은 올해 초 발효되었는데, 같은 날 삼성의 개인정보보호 정책도 업데이트됐다. 미국 외 지역의 갤럭시 기기에도 똑같은 삼성페이 ‘판매 금지’ 선택 옵션이 제공되는지는 확실하지 않다. 단, 그전까지는 삼성이 이 옵션을 누구에게도 제공한 적이 없고, 결제 관련 정보를 제3자에게 판매 중인 사실을 명시한 적도 없는 듯하다는 점은 확실하다.

삼성의 개인정보보호 정책을 깊게 파고들면, 이 부분 외에도 개인정보 침해 관행이 이루어지고 있는 듯하다. 삼성은 CCPA에 대응하는 자체 프라이버시 정책에서 다음과 같이 밝히고 있다. (이제는 이러한 내용을 캘리포니아 거주자에게 구체적으로 공개하는 것이 법으로 의무화되어 있다.) 

· 당사는 특정 제3자(예: 광고 협력업체)가 사용자의 개인 정보를 수집하도록 허용할 수 있다. 사용자는 이러한 본인 정보 공개를 거부할 권리가 있다.

또한 이 정책에 의하면 CCPA가 통과되기 전 여러 범주의 정보를 ‘판매했을 수 있다’는 내용을 캘리포니아 거주자에게 경고하고 있다. 그 정보의 예는 다음과 같다.

· 고유 개인 식별자와 같은 식별자(예: 장치 식별자, 쿠키, 비콘, 픽셀 태그, 모바일 광고 식별자 및 유사 기술, 기타 형태의 영구 식별자 또는 확률적 식별자), 온라인 식별자, 인터넷 프로토콜 주소
· 상업적 정보(구매/취득했거나 구매를 고려한 제품/서비스의 기록 또는 기타 구매/소비 이력이나 성향 포함)
· 인터넷 및 다른 네트워크 활동 정보(브라우징 이력, 검색 이력, 웹사이트나 애플리케이션 또는 광고와 사용자 간의 인터랙션 정보 등이 포함되나 여기에 국한되지 않음)
· 선호, 특성, 심리, 성향, 행동, 태도, 지능, 능력, 적성을 반영하는 사용자 프로필을 작성할 목적으로 위에서 파악한 정보에서 도출한 추론들 


맙소사! 그러나 이는 빙산의 일각에 불과하다. 삼성은 이보다 더 민감한 개인 정보를 ‘사업상의 목적’으로 ‘업체들’에게 ‘공개’했었을 수 있다고 밝히고 있다. 공개 대상 정보는 사용자의 이름, 주소, 전화번호부터 서명, 은행 계좌, 신용카드 번호, 구매 이력, 브라우징 이력, 검색 이력, 위치 정보, 그리고 역시 그 모든 정보에서 ‘도출한 추론들’에 이르기까지 모든 것을 망라한다.

여기서 끝이면 좋겠지만 계속 확인할수록 더욱 당황스러운 내용이 드러난다. 삼성의 맞춤형 서비스(갤럭시 기기의 소프트웨어 및 그와 관련된 삼성 브랜드의 앱 전반에 걸쳐 통합되어 있다)를 위한 개인정보보호 페이지에 따르면 다음과 같은 사실을 알 수 있다.

사용자가 본인 기기에서 사용하는 앱들, 스마트폰에서 재생하는 음악, 방문하는 웹사이트, 검색 내용, 사진을 찍는 장소와 시간 등의 정보에 접근할 수 있다. 또한 삼성에서 제작한 캘린더 및 인터넷(브라우저) 유틸리티 같은 앱을 활용해 이러한 사용자 정보를 분석한다. 그런 다음 ‘사용자가 관심을 가질 만한 제품 및 서비스에 대한 맞춤형 광고’를 보여주기 위해 그 모든 정보를 이용한다. 삼성과 제3자는 ‘사용자의 관심사에 맞춘 광고와 다이렉트 마케팅’을 제공하기 위해 ‘정보를 수집, 분석, 공유’할 권리를 갖는다.

광고 이야기가 나와서 하는 말이지만, 여기에는 전혀 다른 복잡한 문제가 존재한다.
 
구글은 절대 사용자의 정보를 팔거나 제3자와 공유하지 않는다

그런데 잠깐만! 이 모든 일은 이미 구글에서도 일어나고 있지 않는가? 그렇게 생각할 수 있겠지만 사실은 아니다. 구글은 절대 사용자의 정보를 팔거나 그 어떤 제3자와도 공유하지 않는다. 구글의 광고 네트워크에서 타깃에 따라 어떤 광고를 보여줄지 결정하기 위해 개인정보를 이용하는 경우에도 마찬가지이다. 그렇기 때문에 삼성이 정보를 타 회사에게 ‘판다’는 점에서 필자는 우려스럽다.

그러나 구글이 광고 개인화에 개인정보를 사용한다는 것은 잘 알려져 있다. 호불호가 갈리겠지만, 구글은 어떤 종류의 정보를 수집하고 있으며 수집된 정보를 정확히 어떻게 사용하고 있는지 놀랄 정도로 솔직하게 밝히고 있다. 이를 전담하는 웹사이트는 전문 용어를 배제한 일상적인 언어로 해당 내용을 설명하고 있다. 

또한 정확히 어떤 정보가 보관되고 있는지 확인하는 것과 원한다면 광고 개인화 시스템을 포함해 정보를 활용하는 어떤 형태의 활동에서든 탈퇴하는 것이 가능하다. 물론 사용자에게 제공되는 기능이 영향 받을 수 있다는 것을 이해한다는 전제에서 그렇다.

반면 삼성의 고객정보 사용 방식은 약간 속이는 듯한 느낌이 든다. 물론 처음 스마트폰을 설정할 때 서비스 화면에 여러 조건이 뜨긴 하지만(다들 클릭은 해 봤어도 내용은 기억 못 할 것이다) 삼성은 사용자의 정보로 정확히 무슨 일을 하고 있는지 굳이 사용자에게 이해시키거나 사용자가 통제할 수 있도록 허용하지 않고 있다. 

그리고 삼성은 안드로이드에 통합된 삼성의 앱들을 통해 사실상 접근권을 갖고 있다. 예를 들면 캘린더 앱에 있는 세부 일정 같은 정보이다. 삼성이 그 정보로 무엇을 할 수 있는지 알게 된 이상 이제 삼성의 안드로이드 통합 앱을 완전히 다른 관점에서 보기가 어렵게 됐다.

필자는 1월 20일 이 사안에 관해 삼성 측이 더 해명하거나 남길 말이 있는지 확인하고자 접촉을 시도했다. 추가 정보를 입수하면 업데이트할 예정이다.
 
안드로이드와 개인정보보호 측면에는 2가지 판이한 현실이 존재한다

그러나 결국 사안의 핵심은 이렇다. 안드로이드 또는 어떤 구글 서비스의 경우에도 사용자는 구글의 개인정보 보호 방식을 받아들이고, 구글이 사용자 정보를 안전하게 유지하도록 믿고 맡긴다. 그것이 구글의 전체 사업이기도 하다. 또한 짐작건대 구글 사용자는 자신의 개인정보 또는 업무 관련 정보가 전체적으로는 상당히 잘 보호되리라는 믿음을 갖고 있다. 일부는 광고 개인화에 사용된다고 해도 말이다.  

이 상황에 삼성의 소프트웨어가 추가되면, 기존의 계층 위에 또 하나의 계층이 생기고, 그 결과 개인정보 접근권과 함께 이를 보호해야 할 책임이 있는 회사의 수가 2배가 된다. (그런 회사 중 한 곳은 사용자의 정보를 자체 광고 제공 시스템에 사용할 뿐만 아니라 자체적인 판단에 따라 정보 일부를 넘길 권리를 드러내 놓고 주장하고 있다.) 즉, 개인정보 노출 범위가 2배가 되는 셈이며 제3자 공유를 감안하면 2배 그 이상이 된다.

안드로이드와 개인정보보호 측면에서 2가지 판이한 현실이 존재한다는 사실을 기억할 필요가 있다. 안드로이드와 소프트웨어 지원 또는 전반적인 사용자 경험을 말할 때와 마찬가지일 수 있겠다.   

하나는 구글이 만들고 자체 안드로이드 스마트폰을 통해 제공하는 현실이다. 다른 한 가지는 다른 회사들이 자체 우선순위와 사업의 이해관계에 맞춰 만드는 현실이다. 구글이라는 태양계를 벗어나 또 다른 '갤럭시'로 진출하고자 한다면, 이러한 2가지 현실의 차이를 유념해야 한다. 그리고 원하지 않는 2차 계층을 비활성화하는 것이 중요하다. 

* JR Raphael은 기술 전문 기고가이다. ciokr@idg.co.kr

X