테크레시피

데이터 몰래 판매하던 어베스트, 美 FTC서 거액 벌금 부과

무료 보안 소프트웨어인 어베스트 안티바이러스로 잘 알려진 어베스트(Avast)가 사용자 웹사이트 브라우징 데이터를 판매했다며 미연방거래위원회 FTC로부터 1,650만 달러 지불을 명령받았다.

어베스트는 추적을 차단하는 개인정보보호 기능을 갖춘 바이러스 백신 소프트웨어, 모바일앱, 브라우저 확장 기능을 제공하는 전통적인 보안 기업. 하지만 실제로는 자회사인 점프샷(Jumpshot)을 통해 데이터를 다른 기업에 판매하고 있던 게 2020년 1월 발각됐다. 이후 어베스트는 점프샷 업무를 중단했다.

FTC는 지난 2월 22일 어베스트와 자회사가 추적으로부터 소비자를 보호한다고 약속하면서 데이터를 제3자에게 판매했다는 고발을 해결하기 위해 양사에 대해 1,650만 달러 지불, 광고 목적으로의 브라우징 데이터 판매와 라이선스 공여를 금지하는 걸 의무화한다고 발표했다.

FTC에 따르면 어베스트는 2014년부터 2020년 1월까지 체코 자회사를 통해 자사 제품에서 추출한 브라우징 데이터를 판매했으며 그 중 일부는 사용자 정치적 경향, 위치, 경제 상황, 종교적 신념, 건강상 우려 등이 포함됐다고 한다. 어베스트는 이런 데이터를 수집하고 판매하고 있다는 걸 소비자에게 알리지 않았을 뿐 아니라 오히려 자사 제품이 인터넷에서 추적을 억제한다고 주장했다.

광고사나 마케팅 기업, 데이터 분석 기업과 데이터 브로커를 포함한 100개 이상에 판매된 사용자 데이터는 방대하며 점프샷이 2014년부터 2020년까지 판매한 데이터는 8TB 이상이라고 한다. FTC 측은 어베스트가 자사 제품이 브라우징 데이터 프라이버시를 보호한다고 사용자에게 약속했지만 실태는 반대였다며 이는 소비자 프라이버시를 침해하고 법을 위반했다고 지적했다.

어베스트는 고객에게 사용자 데이터를 전송하기 전에 특수 알고리즘을 사용해 식별 정보를 삭제했다고 하지만 FTC는 익명화가 충분하지 않다고 지적한다. 예를 들어 점프샷이 광고사 옴니콤과 체결한 계약에선 옴니콤이 어베스트 데이터와 데이터 브로커에서 얻은 데이터를 개별 사용자 단위로 연결할 수 있었다고 한다.

FTC와 어베스트는 어베스트가 소비자에 대한 보상금으로 1,650만 달러를 지불하기로 합의하고 있으며 화해안에는 앞으로 어베스트 브랜드에서의 데이터 판매가 금지될 것이며 다른 제품으로부터 광고 목적으로 열람 데이터를 취득하는 경우 사전에 명시적 동의를 얻는 것 등이 포함되어 있다.

데이터 판매가 발각된 뒤 어베스트는 노턴, AVG 등을 소유하고 있는 미국과 체코를 기반으로 한 다국적 기업인 젠디지털(Gen Digital)에 흡수 합병됐다. 젠디지털 측은 FTC 주장과 사실 인정에는 동의하지 않지만 다만 이 문제를 해결할 수 있던 걸 기쁘게 생각하는 동시에 앞으로도 전 세계 수백만 사용자에게 서비스를 계속 제공할 수 있기를 바란다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독