구글 전 엔지니어가 실시한 설문 조사에 따르면 사용자가 앱 링크를 클릭한 뒤에도 사용자를 추적할 수 있도록 페이스북과 인스타그램 소유 기업인 메타가 전용 코드를 사용한다고 한다.
메타가 제공하는 페이스북과 인스타그램 앱은 사용자가 게시물에 포함된 외부 링크를 탭하면 인앱 브라우저에서 링크를 연다. 이 외부 링크를 탭했을 때 거동에 대해 전직 구글 개인 정보 보호 연구자인 펠릭스 크라우스(Felix Krause)는 인스타그램은 광고를 클릭했을 때를 포함해 인앱 브라우저에 표시되는 모든 웹사이트에 추적 코드를 삽입해 사용자가 어떤 버튼이나 링크를 탭하고 텍스트를 선택하고 스크린샷을 찍고 비밀번호 같은 양식을 입력했는지 등 모든 사용자 작업을 모니터링할 수 있다며 추적 가능한 정보에는 사용자 주소, 신용카드 번호 등도 포함된다고 지적했다.
그는 브라우저가 웹사이트에 추가하는 모든 추가 코드를 나열할 수 있는 도구를 구축해 메타가 추적 코드를 삽입하는 걸 감지했다. 일반 브라우저나 앱에선 그의 추적 앱이 코드를 감지하지 못한다. 하지만 페이스북이나 인스타그램 같은 앱에선 최대 18행 코드가 검출됐다고 한다. 페이스북이나 인스타그램 같은 앱이 설치되어 있지 않으면 메타는 대신 추적 코드 픽셀을 호출해 웹사이트에서 사용자가 어떤 작업을 하고 있는지 추적한다. 이를 통해 메타는 모든 사용자가 어떤 것에 관심이 있는지 정확하게 프로파일링할 수 있다.
메타는 페이스북과 인스타그램이라는 2가지 앱에 추적 코드를 섭입하고 있다는 걸 사용자에게 공개하지 않았으며 그의 조사에 따르면 메타가 소유한 앱 중 하나인 왓츠앱에선 비슷한 추적 코드가 삽입되지 않았다. 메타가 하는 웹페이지에 사용자 단말에 표시되기 전 추가 코드 추가를 하는 행위는 자바스크립트 인젝션이라고 하며 이는 악의적 공격 일종으로 간주된다. 예를 들어 한 사이버 보안 기업은 자바스크립트 인젝션을 공격자가 웹사이트 또는 웹앱을 조작해 개인을 식별할 수 있는 정보, 결제 정보 같은 민감한 데이터를 수집할 수 있는 것이라고 설명한다.
메타가 언제부터 자사 앱에 추적 코드를 삽입하기 시작했는지는 알 수 없지만 2021년 애플이 광고 목적으로 사용자 추적을 허용할지 여부를 사용자 자신이 선택할 수 있는 ATT(App Tracking Transparency)를 활성화하자 페이스북 광고주는 이전 같은 타깃 광고를 할 수 없었다. 이로 인해 결국 페이스북 주가는 20% 이상 급락했다. 이 상황을 해결하기 위해 메타가 자체 주요 앱 2개에 추적 코드를 삽입했을 수 있다.
이에 대해 메타 측은 이 코드는 자사 플랫폼에서 사용자가 추적 허용을 선택했을 때 작동하도록 의도적으로 개발한 것이라며 이 코드를 통해 타깃 광고 또는 측정 목적으로 데이터를 사용하기 전 단계에서 사용자 데이터를 집계할 수 있으며 이 코드는 픽셀을 추가하지 않고 전환 이벤트를 집계하도록 설계됐다고 밝혔다. 또 상품 구매에 대해선 자동 입력 목적으로 결제 정보를 저장할 수 있도록 사용자에게 동의를 요구하고 있다고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.