GN⁺: 앱 내 광고를 통한 위치 추적: 모든 사람이 나의 위치를 알고 있음

• 앱스토어와 Google Play에서 발견된 2000개 이상의 앱이 사용자 동의 없이 위치 정보를 수집한 정황이 발견됨
• 본 글의 저자는 이러한 위치 정보를 직접 구매하여 스스로를 추적할 수 있을지 실험해보았음
• 결론적으로 IP 주소나 위치 정보가 여기저기서 유출되고, 광고 프로토콜(예: OpenRTB)을 통해 엄청난 사용자 정보가 오간다는 사실을 확인함
• 그러나 실제로 데이터를 구매하려면 수만~수십만 달러에 달하는 비용이 필요하며, 유럽 사용자 데이터가 특히 더 고가임
• 그럼에도 불구하고 어디서든 구입이 가능함을 재확인했음

시작점

• 실험용 iPhone 11을 공장 초기화하고 새 Apple ID로 설정해두었음
• 네트워크 트래픽을 분석하기 위해 Charles Proxy와 SSL 인증서를 설치해 HTTPS 요청을 복호화했음
• 예시 앱으로 “Stack”이라는 간단한 게임을 선택해 실행하자, 매우 짧은 간격으로 광고 및 분석용 요청이 다수 발생함

대량의 요청

• 앱을 실행한 지 1분 만에 어마어마한 수의 네트워크 요청을 확인했음
• 요청마다 위치 정보, IP 주소, 광고 식별자, 디바이스 세부 정보 등 다양한 데이터가 포함됨
• 하나하나 살펴본 결과, 사용자 동의를 하지 않아도 민감 정보가 여러 곳으로 전송되는 양상이 드러남

Unity [ads]

• Unity Ads SDK가 앱에 탑재되어 있을 경우, 위치 정보와 IP 주소 등 여러 정보를 Unity 서버에 전송함
• “ifv”(ID For Vendor)라는 식별자를 포함해 Wi-Fi 연결 시 위치 정보(경도·위도), 타임스탬프 등이 수집됨
• Unity가 Moloco Ads 등 DSP 업체와 연계하면서 광고 입찰 과정에서 이러한 정보가 제3자에게까지 넘어감

Facebook은 왜 등장함?

• Meta나 Facebook 관련 앱을 전혀 설치하지 않았음에도, 앱 내 광고 통신 과정에서 Facebook에 IP 주소와 타임스탬프가 전송됨
• Facebook이 다른 경로를 통해 동일 IP를 사용하는 계정을 파악할 경우, 유저의 메타 서비스 이용 기록과 결합 가능성이 높음
• 이는 사용자에게 사전에 제대로 고지되지 않으며, 사실상 동의 절차도 부재함

화면 밝기는 왜 필요한 것임?

• Unity Ads가 화면 밝기, 배터리 상태, 메모리 용량, 헤드셋 연결 여부 등 디바이스 상태 정보를 요청함
• 이런 정보는 맞춤 광고 및 동적 요금 제안 등에 악용될 수 있다는 우려가 있음
• Uber가 배터리 상태를 기준으로 요금을 조정한다는 루머처럼, 기술적으로 가능성이 열려 있음

ID에 대해 알아보기

• ifv(ID for Vendor)는 앱 개발사 단위로 부여되는 식별자임
• advertisingTrackingId(IDFA)는 여러 앱에 걸쳐 동일 사용자를 추적할 수 있게 해주는 식별자임
• 추적 거부를 설정하면 IDFA는 “0000…” 형태로 발급되지만, IP나 기타 다양한 ID가 여전히 전송되어 사실상 우회 추적이 가능함

추적 허용 여부의 차이

• 광고 추적을 “허용”으로 하든 “거부”로 하든, 위치와 IP, 브라우저 정보 등은 계속 전송됨
• 단지 IDFA가 노출되지 않을 뿐이며, 다른 식별 요소가 충분히 많아 동일 사용자를 판별할 수 있는 여지가 큼
• Facebook 같은 플랫폼은 IP를 통해 사용자를 간접 식별하는 능력이 있음

데이터는 어떻게 흘러감?

• 앱 → Unity [ads] → Molocoads → 광고주(Bwin 등) 순으로 데이터가 전달됨
• Unity처럼 SSP(Supply-Side Platform)가 앱 내 SDK에서 데이터를 수집하고, DSP(Demand-Side Platform)인 Molocoads가 이를 바탕으로 광고 입찰을 수행함
• 데이터 중개 과정에서 광고주 이외에도 수많은 브로커가 위치 정보, 기기 정보 등을 얻을 수 있음

데이터 브로커

• Datarade나 Databricks 등 시장에서는 MAID(광고 ID) 기반 사용자 위치 정보를 거래하고 있음
• Redmob 같은 업체는 실시간 위치 데이터(5초 이내 업데이트)를 판매하기도 함
• AGR Marketing Solutions 등은 MAID와 실제 PII(개인 식별 정보)를 매칭해 이름, 주소, 전화번호 등을 넘기는 데이터도 판매함

직접 스스로 추적하기

• 앱을 설치해 일상적으로 위치 정보가 수집되도록 함
• IP+위치+광고 ID 데이터를 광고사나 브로커들이 확보함
• 그 후 MAID <> PII 데이터세트를 구매해 본인의 IDFA 또는 IP를 기반으로 실제 신상 정보를 결합함
• 결과적으로 유저 스스로 자신의 위치 데이터를 구매·조합해 추적할 수 있음

마무리

• 전 세계 광고 생태계에서 이뤄지는 데이터 거래는 각 단계를 따로 보면 합법적으로 보이지만, 전체를 보면 심각한 사생활 침해 요소가 됨
• 이러한 문제는 최근 Gravy Analytics 등 대규모 유출 사건으로 재조명되었음
• 광고 추적 거부를 설정해도 완벽한 보호가 보장되지 않음
• 이용자가 앱 사용 시 정보가 어디로, 어떻게 흘러가는지 알기 어렵다는 한계가 분명함