연구진 "자신도 모르게 위치추적 당할 수 있어"
6월 24일 미국 연방대법원이 낙태를 불허하는 판결을 내린 후 구글은 낙태클리닉이나 가정폭력대피소 등 민감한 장소에 대한 사용자의 방문 이력을 삭제하는 서비스가 수 주 안에 시행될 것이라고 지난 1일 발표한 바 있다.
그러나 안드로이드 폰의 경우, 남자친구 등 다른 사람이 간단한 접속을 통해 사용자의 이동상황을 쉽게 추적 관찰할 수 있다는 연구결과가 발표됐다고 가디언이 보도했다.
이번 연구는 비영리단체인 ‘책임감 캠페인(Campaign for Accountability)’의 연구팀인 ‘기술투명성 프로젝트(TTP, Tech Transparency Project)’가 수행한 것이다.
연방 차원에서의 여성의 낙태권을 보장했었던 획기적인 ‘로 대 웨이드(Roe v Wade)’ 사건의 판결을 뒤집은 최근 연방대법원의 결정으로 친척이나 사법당국이 당사자의 방문이력을 추적할 수 있는 자료에 대한 우려가 있어 왔다.
TTP는 두 대의 안드로이드 폰을 사용한 실험에서 두 가지 사실을 발견했다. 첫째, 안드로이드 폰 사용자(가해자)가 다른 사용자(피해자)의 폰에 접속한 후 구글 플레이 같은 구글 앱을 이용해 피해자의 폰에 로그인하면 피해자의 방문이력을 볼 수 있으며, 이 때 피해자에게는 위치 추적당할 수 있다는 어떤 경고도 주어지지 않는다.
둘째, 동일한 실험을 통해 피해자의 낙태클리닉(실험에서는 워싱턴에 있는 ‘플랜드 페어런트후드(Planned Parenthood)’로 설정) 방문이력이 자동으로 삭제되지 않아 가해자가 볼 수 있었다. 또한 피해자의 방문이력이 삭제되더라도 가해자 폰의 것은 삭제되지 않았다.
피해자가 낙태클리닉에 방문하기 위해 이용한 도로와 그 곳에서 머문 시간도 가해자 폰의 구글맵을 통해 볼 수 있었다. 한 주가 지나도 가해자의 폰과 데스크탑 브라우저를 통해 본 피해자의 방문이력은 여전히 남아있었다.
TTP는 “구글이 (낙태관련 방문이력) 정책을 어떻게 시행할지, 그리고 사용자의 민감한 방문이력이 얼마나 오랫동안 지워지지 않는지 명확하지 않다”면서 “TTP가 폰을 낙태클리닉에 가지고 갔고, 구글의 방문이력은 한 주가 넘도록 지워지지 않았다. 구글이 아직 이 정책을 시행하지 않았거나, 민감한 장소를 인식하고 지우는 시스템에 문제가 있는 것이다”라고 주장했다.
TTP의 이번 실험은 2021년 악성소프트웨어 연구가인 피터 아른츠(Pieter Arntz)가 발표한 실험과 같은 것이다. 당시 아른츠는 아내의 안드로이드 폰에 앱을 설치해 그녀의 소재를 ‘엿볼 수’ 있었고, 그녀의 위치정보를 자신의 폰에서 업데이트 받을 수 있었다고 보고했다.
아른츠는 이런 사실을 구글에 보고했고, 구글이 사용자들의 위치정보가 공유되지 않도록 취할 수 있는 방안을 제안했다. TTP의 실험에서와 같이 당시 실험에서도 구글의 방문이력정보인 ‘구글타임라인’은 아른츠의 폰에는 나타났지만, 아내의 폰에는 나타나지 않았다.
아른츠는 “누군가 당신 폰의 구글앱에 로그인 했다”는 명쾌한 경고를 받았어야 한다고 지적했다. 당시 이런 사실을 공개해 많은 관심을 받았음에도 구글로부터 어떤 답장도 없었다고 아른츠는 말했다.
TTP의 케이티 폴(Katie Paul)은 “자신들의 툴들이 스토킹에 사용될 수 있다는 사실을 거의 1년 전에 알았음에도 구글은 아무 것도 하지 않았다. 이제 더욱 시급한 문제가 됐다. 본인도 모른 채 자신들이 쉽게 위치추적 당할 수 있다는 사실을 사람들에게 알려야 한다”고 강조했다.
뉴스통합⦁콘텐츠 평가 및 토론 사이트인 레딧(Reddit)의 포럼에는 구글의 Gmail이나 다른 앱을 통해 자신의 파트너 폰에 로그인해서 파트너가 자신을 속이고 있다는 것을 알 수 있는 방법을 논의하는 포스트들이 있다고 TTP의 연구진은 말했다.
TTP의 폴은 “구글은 사용자의 방문이력에서 낙태클리닉을 삭제해 여성들을 보호하고 싶다고 말한다. 구글이 그 약속을 지킨다고 해도 구글 툴을 사용해 피해자를 추적할 수 있다. 구글은 이런 허점을 해결해야 한다”고 말했다.
한편 구글은 TTP의 실험에 대해 “있을 법하지 않은 시나리오”라고 일축했다. 구글 대변인은 “방문이력은 작동시키지 않는 한 켜지지 않는다. 자신의 데이터를 지울 수 있도록, 또는 자동지움을 설정할 수 있도록 간단한 기능을 제공하고 있다”면서 “이번 달 초에 발표한 대로 낙태클리닉에 대한 방문기록은 방문 후 바로 삭제될 것이다. 이 기능은 현재 시행 중이며 앞으로 비슷한 방문기록에도 적용될 것이다”라고 말했다.