러시아판 구글로 불리는 얀덱스(Yandex0가 iOS와 안드로이드 사용자 수백만 명 데이터를 모아 러시아로 전송했을 가능성이 있다는 보도가 나왔다.
1997년 설립된 얀덱스는 러시아어 검색 엔진으로 점유율 60%를 차지하고 있으며 광고 도구 외에 배차 서비스나 자율주행 배송 로봇까지 다루는 기술 기업이다. 이런 얀덱스 서비스에는 많은 개발자가 앱 분석 데이터를 쉽게 얻을 수 있게 해주는 앱메트리카(AppMetrica) API가 포함되어 있다.
보도에 따르면 보안 연구원 자크 에드워즈(Zach Edwards)는 얀덱스 분석 코드가 앱스토어와 구글플레이 5만 2,000개 앱에 내장되어 있다는 사실을 발견했다는 것. 여기에서 소비자 수억 명에 도달하고 있다는 것이다.
얀덱스는 자사 API와 기타 서비스를 통해 수집된 데이터가 러시아 서버로 전송된다는 걸 인정한다. 한편 정부로부터 데이터 요구에 대해선 관련 절차상 벌률상 요건에 따르지 않는 요구를 거부하는 등 엄격한 대처 방법을 취하고 있다고 덧붙이고 있다.
하지만 보안 전문가는 일단 데이터가 러시아에 저장되면 얀덱스는 러시아 정ㅇ부가 데이터를 얻는 걸 막을 수 있는 방법은 거의 없다고 경고한다. 러시아 치안 당국은 해외 기업인 애플과 구글에도 야당 지원 앱을 삭제하지 않으면 형무소에 넣겠다고 위협해 지웠다는 보도도 있었다.
더구나 얀덱스 API가 모이는 중 사용자 식별에 사용할 수 있는 메타데이터가 포함되어 있다고 한다. 위협이 높은 사람이나 주목받는 일을 하는 사람에게 데이터를 모스크바에 전송하는 앱을 사용하는 건 위험하며 홈네트워크에 대한 공격과 기타 디지털 감시로 이어질 수 있다는 경고다.
문제가 된 앱메트리카 API를 사용하는 앱 중에는 VPN 앱 수백 개가 포함되어 있으며 그 중 7개는 우크라이나 사용자를 명확하게 노리고 있다고 한다. API를 이용한 앱 총 다운로드 수는 수억에 달한다고 한다.
얀덱스는 앱메트리카가 사용하는 앱이 사용자에 대한 정보를 제공한 적이 없으며 이런 요청을 받은 적도 없다고 밝히고 있다. 하지만 이게 사실이라고 해도 앞으로 러시아 정부 요구를 거부하는 건 곤란할 것으로 보인다. 이 건에 대해 애플은 앱메트리카 API를 자사 앱추적투명서 ATT(App Tracking Transparency)로 막을 것이라고 밝히고 있다. 앞으로 더 조사가 진행되어 만일 실제로 ATT로 사용자 데이터를 러시아 내로 보내는 걸 막았다는 결과가 나오면 iOS 신뢰도는 더 높아질 수도 있다. 관련 내용은 이곳에서 확인할 수 있다.