테크레시피

감시툴 패턴즈, 인앱 광고로 데이터 수집해왔다

현대인에게 스마트폰은 일이나 일상에서 필수적이며 스마트폰을 감시하면 대상을 자세하게 알 수 있다. 새롭게 전 세계에서 스마트폰 수십억 대를 감시하고 있다고 주장하는 스파이 도구인 패턴즈(Patternz)에 대한 조사 결과가 보고됐다. 이에 따르면 패턴즈는 앱 수십만 개에 채택된 앱 내 광고를 통해 데이터를 수집하고 있다고 한다.

패턴즈라고 불리는 스마트폰용 대량 감시 도구에 대해 분석을 실시했다. 패턴즈 측은 과거 유튜브에 게시된 영상 중 패턴즈는 인앱 광고를 포함한 앱 60만 개를 통해 데이터를 수집하고 있으며 스마트폰이 사실상 추적용 팔찌가 될 것이라고 설명한다. 이 영상은 보도 이후 삭제됐다고 한다.

영상에선 어디까지나 코로나19 감염증에 대한 대책으로 패턴즈를 어필하고 있었지만 인터넷상에서 공개되고 있는 패턴즈 마케팅 자료를 확인하면 국가안보기관이 대상 행동 패턴을 분석하기 위해 패턴즈가 유용하다는 게 밝혀졌다.

영상에선 실제로 패턴즈로 추적할 수 있는 정보를 나타내는 데모도 실시하고 있다 톤이 특정 프로필을 클릭하면 다음 화면에 사용자가 쓰는 기기와 GPS 위치 기록이 표시된다. 패턴즈에선 최고로 오차 1m 범위까지 사용자 위치 정보를 조사할 수 있다고 한다.

또 패턴즈에선 사용자가 쓰는 앱, 집이나 직장에서 가까이 있던 사람 목록, 취미와 흥미 등 정보까지 조사할 수 있으며 특정 인물이 특정 장소에 방문 등 중요한 이벤트를 지정하고 경고를 설정할 수도 있다.

데모에서 제시된 인물에 대해선 근처 병원을 자주 방문하고 있다, 러시아 항공사에 근무하는 객실 승무원, 비디오나 컴퓨터 게임이 취미라는 등 정보를 알 수 있다고 주장했다. 패턴즈 마케팅 자료는 패턴즈사 매일 90TB 이상 데이터를 분석하고 있으며 50억 개 이상 사용자 ID 프로필을 보유하고 있다고 기록한다. 프레젠테이션에서 모든 기기에는 고유 ID가 있으며 이에 대한 프로필을 만들 수 있다고 밝히고 있다.

패턴즈가 전세계에서 대규모 스마트폰 감시망을 형성하는데 사용하는 건 다양한 앱에 광고를 게재하는데 사용되는 실시간 입찰이라는 메커니즘이다. 실시간 입찰은 특정 유형 사용자에게 광고를 출고하려는 여러 광고주간 실시간으로 입찰을 수행해 게재 위치를 결정하는 메커니즘이다.

실시간 입찰은 사용자 위치 정보와 기기에 대한 데이터 등을 기업과 공유한다. 패턴즈는 인앱 광고 네트워크와 플랫폼을 활용해 전세계에 존재하는 스마트폰을 감시하고 있다. 패턴즈가 분석하는 광고 형식은 배너 광고, 네이티브 광고, 영상 광고 등 다방면에 걸쳐 전체 60만 개 앱이 패턴즈와 연결되어 있다고 한다. 덧붙여 패턴즈 데모에선 17만 7,431개 안드로이드 앱과 6만 1,894개 iOS 앱 데이터가 포함되어 있다고 주장되고 있었다고 한다. 패턴즈가 이용하는 앱 중에는 밈 수집 플랫폼(9gag), 메신저 앱(Kik), 발신자 정보를 통지해주는 앱(Truecaller) 등 수많은 인기 앱이 포함되어 있다고 한다.

실시간 입찰을 이용한 모니터링에서 중요한 점은 앱에 모니터링 코드를 삽입하는 다른 방법과 달리 패턴즈가 앱 개발자와 직접적 관계를 맺을 필요가 없다고 한다. 패턴즈는 실제로 미디어를 거래하는 상업적이고 운용 가능한 애드테크 부문을 갖고 있다고 주장하고 있으며 온라인 생태계에 적극적으로 진입하고 있다고 한다. 패턴즈가 데이터 수집에 사용하는 19개 광고사에 대한 설명을 보면 중심에는 이스라엘에 본사를 둔 누비애드(Nuviad)라는 기업이 있다 영상에 따르면 패턴즈와 겸임해 누비애드 CEO도 겸임하고 있다고 한다. 누비애드 사장은 보도에 대해 양사는 별도 회사이며 패턴즈 잠정 CEO를 맡고 있는 건 맞지만 데이터 공유는 하지 않았다고 주장했다.

2023년 12월부터 시작된 조사를 통해 구글은 자체 광고 네트워크와의 상호 작용을 허용하는 인증 구매자에서 누비애드를 삭제하기로 결정했다. 구글 측은 자사는 개인 정보를 보호할 책임을 무겁게 받아들이고 있으며 업계에서 가장 엄격한 제한을 두고 있으므로 정확한 위치 정보와 기밀성 높은 개인 데이터를 실시간 입찰로 구매자와 공유하지 않으며 구글 정책은 기밀 데이터를 기반으로 개인을 식별하거나 프로필을 만들려는 시도를 금지한다고 밝혔다. 또 인앱 광고 플랫폼인 펍매틱(PubMatic)도 누비애드와의 관계를 일시 중단했으며 마이크로소프트도 광고 플랫폼(Xandr)에서 누비애드를 차단 목록에 추가했다고 한다.

덧붙여 프라이버시 전문가 사이에선 이전부터 패턴즈가 알려져 있고 미국 민주당 론 와이든 상원 의원은 2021년 6월 패턴즈에 대해 구글에 문의를 했다고 한다. 이후에도 종종 구글에 추가 조사 결과를 보냈지만 지금까지 대응되지는 않았다고 한다. 마침내 구글이 누비애드를 삭제한 것에 대해 와이든 의원은 오랜 시간이 걸렸지만 구글이 사용자 데이터에 대한 액세스에서 모니터링 기업을 분리했다는 걸 기쁘게 생각한다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

뉴스레터 구독