새로운 연구 결과는 메타와 얀덱스 앱이 어떻게 안드로이드의 개인정보 보호를 우회하여 수십억을 감시했는지를 밝혀냈습니다. 숨겨진 추적이 어떻게 작동했는지, 앞으로의 계획은 무엇인지 알아보세요.
| 메타의 픽셀 | 5.8백만 개 사이트에서 사용자 추적 |
| 영향을 받은 사용자 | 전 세계 수십억 대의 안드로이드 기기 |
| 시크릿 모드? | 안전하지 않음—비공식 브라우징 중에도 추적 지속 |
| 즉각적 중단 | 메타, 2025년 6월 3일 노출 후 기법 중단 |
스크롤하고, 좋아요를 누르고, 탐색하며—당신이 통제하고 있다고 생각하나요? 다시 생각해보세요. IMDEA 네트워크 연구소의 획기적인 연구는 엄청난 개인정보 보호의 맹점을 밝혀냈습니다: 페이스북과 인스타그램 앱이 안드로이드 사용자가 온라인에서 하는 모든 행동을 은밀하게 추적하고 있다는 사실입니다—개인정보 설정에 관계없이, 심지어 시크릿 모드로 브라우징할 때조차도 말이죠.
메타의 숨겨진 추적기는 어떻게 작동했나요?
당신의 스마트폰을 숨겨진 라디오 타워가 있는 분주한 도시라고 상상해보세요. 페이스북이나 인스타그램을 설치할 때마다 이 앱들은 조용히 비밀 “리스너”를 활성화합니다—특수 네트워크 포트를 통해 대기 중인 백그라운드 서비스입니다.
메타의 추적 픽셀이 심어진 웹사이트를 방문할 때마다 (5.8백만 개 웹사이트가 이를 포함하고 있습니다), 내장된 자바스크립트가 이러한 비밀 채널에 접속합니다. 당신이 시크릿 모드에 있거나 브라우저에서 페이스북에 로그인하지 않았더라도—당신의 독특한 브라우징 세션과 기기 아이디는 조용히 앱으로 흐릅니다. 페이스북 또는 인스타그램 앱은 이 개인적인 웹 활동을 메타의 서버로 직접 전달하여 당신의 로그인된 프로필과 연결됩니다.
이 방법이 그렇게 위험한 이유는 무엇인가요?
전통적인 웹 추적기는 쿠키에 의존하며, 이는 삭제하거나 차단할 수 있습니다. 그러나 이 요령은 그렇지 않습니다. 메타의 앱은 안드로이드의 권한 시스템을 이용하여 브라우저 제어 및 개인정보 설정을 완전히 우회했습니다. 쿠키를 삭제한다고? 소용없습니다. 브라우저에서 로그인하지 않았다고? 무관합니다. 당신의 활동은 여전히 페이스북과 인스타그램의 데이터 은행으로 조용히 흐릅니다.
IMDEA의 테스트에서 가장 인기 있는 100,000개의 웹사이트 중 78%가 메타의 픽셀을 사용해 비밀 로컬 채널을 통해 소통하려고 했습니다—결코 당신에게 물어보지 않고 말이죠.
Q: 안드로이드의 개인정보 보호 도구가 나를 보호하지 않았나요?
아니요. 이 방법은 운영 체제 수준의 네트워크 소켓을 이용했기 때문에, 안드로이드의 개인정보 보호 시스템은 이를 전혀 감지하지 못했습니다. 강력한 기능인 시크릿 모드나 추적 보호기능조차도 무력했습니다.
얀덱스의 전략은 얼마나 정교했나요?
그리하여 러시아 대기업 얀덱스는 판돈을 올렸습니다. 그들의 맵, 브라우저 및 검색 앱은 AppMetrica SDK을 사용한 “명령 및 제어” 방식의 시스템을 활용했습니다. 얀덱스 앱을 설치한 후, 감시는 지연되었습니다—때때로 며칠 격차를 두어 탐지를 더 잘 피했습니다. 연구자들은 이 시스템의 유연성을 악성 코드와 비교했으며, 앱이 얀덱스의 서버에서 직접 추적 지침을 가져오고 수백만 사용자를 300만 개 추적된 웹사이트에 걸쳐 감시한다고 경고했습니다.
더 나쁜 것은: 얀덱스가 암호화되지 않은 통신을 사용했기 때문에, 모든 악성 앱이 도청하고 웹 활동의 실시간 로그를 빼낼 수 있었습니다.
Q: 악성 앱이 상황을 더 악화시킬 수 있는 방법은 무엇인가요?
메타와 얀덱스가 들을 수 있다면, 악성 소프트웨어도 마찬가지입니다. IMDEA 팀은 같은 포트를 이용해 증명 개념 앱을 개발했습니다. 결과: 어떤 불법 앱도 귀하의 전체 브라우징 기록을 훔칠 수 있는 가능성이 있었습니다—개인정보에 주의하는 사용자가 기대하는 것보다 훨씬 더 멀리 말이죠.
웹사이트 운영자들은 어떻게 반응했나요?
웹사이트 운영자들은 혼란스러웠습니다. 개발자들이 메타 픽셀 라이브러리에서 설명할 수 없는 로컬 연결을 발견하자 포럼 게시물은 혼란과 불만으로 가득했습니다—그러나 메타나 얀덱스의 공식 문서나 지원을 찾을 수 없었습니다.
Q: 현재 플랫폼과 브라우저들은 무엇을 하고 있나요?
반응은 신속했습니다. 연구 결과가 공개된 후, 메타 추적 파이프라인은 2025년 6월 3일 전 세계적으로 즉각적으로 중단되었습니다. 구글 크롬의 버전 137부터는 포트를 차단하고 이러한 연결을 숨기던 요령(“SDP munging”)을 비활성화합니다. 다른 브라우저 개발자들도 유사한 허점을 신속하게 패치하고 있습니다.
그럼에도 불구하고, 근본적인 약점은 여전합니다: 현재 모바일 운영 체제는 로컬호스트 연결에 대한 제어 및 감사 기능이 거의 제공되지 않으며, 정교한 추적자와 공격자에게 열린 문을 제공합니다.
사용자들은 앞으로 어떻게 자신을 보호할 수 있나요?
현재로서는 확실한 방어는? 페이스북, 인스타그램, 그리고 얀덱스의 주요 앱을 제거하세요. 연구에서 강조한 바와 같이, 지속적인 보호는 새로운 샌드박스 전략, 더 엄격한 플랫폼 규칙, 그리고 더 나은 앱 스토어 심사를 요구합니다.
비밀 감시가 당신의 이야기가 어떻게 전달될지를 결정하게 하지 마세요—지금 더 강력한 개인정보 보호를 요구하세요.
—
조치 취하기: 2025년 개인정보 보호 체크리스트
- 브라우저를 최신 버전으로 업데이트하세요 (Chrome 137+ 추천)
- 안드로이드 기기에서 페이스북, 인스타그램, 그리고 얀덱스 앱 사용을 재고하세요
- 정기적으로 앱 권한을 확인하고 신뢰할 수 없는 앱을 제거하세요
- 주요 개인정보 뉴스 출처를 모니터링하고 대형 기술 회사에 책임을 요구하세요
- 독립적인 과학 및 기술 저널리즘을 지원하여 정보를 얻으세요
날카롭게 유지하고, 안전하게 지내세요—그리고 여러분이 받을 자격이 있는 디지털 개인정보 보호를 계속해서 요구하세요.
