테크레시피

무료 생리관리 앱, 외부 정보 공유 논란

미국에서 여성 낙태를 인정하는 로 대 웨이드 판결을 뒤집는 판결을 대법원이 내린 뒤 생리 관리 앱인 스타더스트(Stardust) 인기가 급상승하며 앱스토어 상에서 1위에 올랐다. 스타더스트는 사용자 개인 정보를 암호화해 정부 기관과 공유하지 않겠다고 약속했다.

미국 대법원이 로 대 웨이드 판결을 뒤집은 건 낙태 권리에 대한 헌법상 보호를 뒤집는 것이며 미국 개별 주가 낙태를 범죄로 삼는 법률을 만들 수 있도록 하는 것이다. 이 판결로 사용자는 생리 관리 앱을 스마트폰에서 삭제할 수 없는 상황에 몰리고 있다. 이유는 생리 관리 앱에서 수집한 데이터를 사용자가 불법으로 낙태를 했다는 걸 증명하는데 사용할 수 있기 때문이다. 따라서 생리 관리 앱 데이터를 다루는 방법에 시선이 쏟아졌다.

여기에서 주목받은 게 엔드투엔드 암호화를 구현해 사용자 개인 정보를 정부 기관과 공유할 수 없게 한다고 발표한 스타더스트였다. 하지만 보도에 따르면 스타더스트 네트워크 트래픽을 분석해 앱에 들어오고 나가는 데이터를 살펴보면 사용자가 전화번호를 이용해 앱에 로그인할 경우 해당 전화번호를 믹스패널(Mixpanel)이라는 타사 분석 기업과 공유하는 것으로 나타났다.

믹스패널은 앱 개발자가 앱 사용을 추적하고 오류와 앱을 개선하는 방법을 파악하는데 널리 사용되는 분석 서비스 제공 기업이다. 이곳 분석 서비스는 누군가가 앱을 사용하는 방법을 추적하고 데이터를 믹스패널 서버로 재전송해 수행된다. 또 스타더스트가 믹스패널과 공유하고 있는 건 전화번호 뿐 아니라 앱이 설치된 단말 모델과 소프트웨어 버전, 전화가 사용하는 휴대전화 회사 등도 포함된다고 한다. 스타더스트가 믹스패널과 공유하는 건강 관련 데이터에 대해선 확인할 수 없었지만 기업과 공유하면 스타더스트가 개인 정보를 공유할 수 없다고 주장하더라도 검찰관은 믹스패널을 통해 데이터를 강제 입수할 수 있다는 지적이다.

한편 스타더스트 창업자인 레이첼 모라니스(Rachel Moranis)는 스타더스트 현재 버전은 새 버전에서 무효화되거나 제거된 믹스패널 관련 데이터 수집 메커니즘을 사용한다며 믹스패널에 보내지 않는 것 외에도 사용자를 식별하는데 사용되는 메타 데이터로부터 사용자를 보호하기 위해 IP 추적을 비활성화하고 있다고 밝혔다. 또 스타더스트는 앱에 로그인할 때 전화번호를 입력하지 않아도 되도록 익명 로그인 방법을 구축하기 위해 노력 중이라고 트윗했다.

스타더스트는 2022년 6월 26일 개인정보취급방침을 업데이트했으며 이를 보면 앱이 주장할 정도로 보호되지 않고 있다는 걸 알고 있다는 지적이다. 따라서 스타더스트는 쿠키와 기타 추적 기술을 통해 사용자 기기 활동과 위치 정보에 대한 다양한 데이터를 수집하고 있다며 사용자 동의를 얻어 법률로 의무화된 경우에는 법 집행기관 또는 법적 절차를 준수하거나 대응해야 하는 경우 비개인화된 데이터를 공개하는 경우가 있다는 점에 주의해야 한다는 지적이다.

앱 조사 기업인 센서타워에 따르면 스타더스트가 엔드투엔드 암호화를 실시한다고 발표한 6월 24일 이 앱 신규 설치 수는 13만 5,000회로 전일 대비 설치 수는 무려 4,400%나 증가했다. 더구나 다음날인 25일에는 앱 신규 설치 수는 20만 회까지 증가했으며 앱스토어 순위에서도 119위에서 1위로 단번에 상승했다.

스타더스트는 256암호화 구현을 이용해 아마존 RDS로 후속 데이터 스토리지를 경유하며 이는 전송 중 아마존 서버에 저장된 동안 데이터를 암호화하는 방법에 대해 설명한다. 하지만 이 구현이 진정한 엔드투엔드 암호화로 간주되는지 여부는 분명하지 않다는 지적도 나온다. 또 엔드투엔드 암호화 구현이 끝나면 타사 감사와 함께 구현을 완전히 공개할 예정이라고 밝혔지만 정보 공개에 관한 타임라인은 아직 공개되지 않았다.

이런 보도 이후 스타더스트는 개인정보취급방침을 업데이트해 자사는 데이터를 판매하지 않는다고 밝혔다. 또 스타더스트는 프라이버시 정책을 갱신한 뒤 엔드투엔드 암호화에 관한 언급을 삭제했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사