Meta의 "Localhost tracking" 기법, 최대 320억 유로(47조원) 벌금 위기

 (zeropartydata.es)
8P by GN⁺ 2일전 | ★ favorite | 댓글 5개
  • Meta는 Android 샌드박스 우회 추적 수단(“localhost tracking”) 을 개발해 VPN이나 시크릿 모드, 쿠키 삭제에도 무관하게 사용자의 실제 신원과 웹 브라우징 활동을 연결 추적함
  • 해당 기법은 Meta 앱(백그라운드)브라우저 내 Meta Pixel 스크립트가 로컬 네트워크 포트를 통해 정보를 교환, 로그인을 하지 않아도 사용자의 _fbp 쿠키를 계정과 연결함
  • 이 기법으로 웹 브라우저 행동과 실제 Facebook/Instagram 계정을 연결해 사용자 동의 없이 대규모 개인정보 통합이 이루어짐
  • GDPR, DSA, DMA유럽 주요 개인정보보호법을 동시 위반, 제재가 누적 적용될 수 있어 최대 320억 유로(약 4%, 6%, 10% 매출 비율) 벌금 가능성이 있음
  • 9개월 이상, 실제 22%의 세계 주요 웹사이트(미국 내 1만 7천여 개 등)에서 사용자 동의 없이 대규모 추적이 이뤄졌고, 수억 명의 개인정보가 ‘명시적 설명 없이’ 연동 수집됨
  • 반복적 위반·시장지배력 남용·기술적 회피 의도가 명백하여, 사상 최초 누적 최고벌이 부과될 가능성까지 논의됨
  • iOS·PC·앱 미설치 사용자 등 일부만 영향에서 벗어남

Meta의 "localhost tracking" 기술

  • Meta는 “localhost tracking” 이라는 혁신적이지만 논란이 많은 기법을 통해, Android 샌드박스 시스템이 의도적으로 막은 사용자 자원식별 보호책을 우회함
  • 페이스북/인스타그램 앱이 백그라운드에서 휴대폰 내 특정 TCP/UDP 포트를 열어 ‘리스닝(수신 대기)’ 상태로 유지됨 (로그인 필수)
  • 사용자가 같은 기기에서 브라우저로 웹사이트 접속(예: 뉴스, 쇼핑몰) 시, 해당 사이트에 Meta Pixel이 설치되어 있으면 쿠키와 활동 정보가 즉시 수집됨
    • VPN, 시크릿 모드, 쿠키 삭제 등 사생활 보호 수단을 써도 효과 없음
  • 브라우저의 Meta Pixel 스크립트는 WebRTC(원래는 영상/음성 통신용)SDP Munging이라는 트릭을 활용, _fbp 쿠키를 앱에 직접 전송
  • 동시에 동일 정보를 Meta 서버에도 별도로 송신해, 온라인·오프라인 양방향 연동 추적 가능
  • Facebook/Instagram 앱은 _fbp 값을 받아, 계정 고유 식별자와 함께 Meta GraphQL 서버에 다시 전송
    • 그 결과 웹브라우저 방문 ID와 실제 Facebook/Instagram 사용자 계정이 웹 방문 활동과 실제 신원을 1:1 매핑하여 강력하게 결합

왜 문제가 심각한가

  • 안드로이드 설계상 금지된 로컬포트청취/앱간 은닉 통신을 편법적으로 우회
  • 사용자가 앱을 켜지 않아도, 웹브라우저에 로그인하지 않아도, VPN·시크릿모드·쿠키삭제 등 방어수단 소용 없음
  • GDPR 등 개인정보 규정 준수를 위한 명확하고 충분한 사전 동의 없이 정보 수집·연계
  • 22%의 세계 Top 사이트가 영향권, 9개월(메타)/8년(Yandex) 동안 수십억 명 동의 없는 추적
  • 수집·결합 정보: 전체 브라우징 히스토리, 장바구니·구매내역, 웹사이트 폼 작성, 시간대별 행동패턴, 실명 계정 연결 등
  • iOS 및 PC 사용·앱 미설치·Brave/DuckDuckGo 브라우저로만 예외

주요 법 위반 항목

  • GDPR: 광고 목적 개인정보 처리 동의 필요, 데이터 최소화/프라이버시 설계 의무 위반(매출의 최대 4%)
  • DSA(26조): 프로필로 민감정보(성향, 정치관, 건강 등) 기반 맞춤광고 금지(매출의 최대 10%)
  • DMA(5.2조): 핵심 플랫폼간 명시적 동의 없는 개인정보 결합 금지(최대 10%, 반복시 20%)
    • 계정 연동 최소 세 가지 동의 필요(GDPR, ePrivacy, DMA) 중 1개만 요구(강제 "Pay or OK" 대안)
    • 이미 2025년 4월 DMA 위반 관련 2억 유로 벌금 부과 사례 존재

벌금 및 제재 전망

  • GDPR·DMA·DSA는 각기 별도의 법익과 처벌 체계를 가지므로 누적 벌금 산정 가능
  • 이론적 최대 벌금은 320억 유로. Meta의 반복적 위반·규제 협력 미흡·시장 지배력·의도적 회피 정황상 선례적 중징계 전망 가능성 있음

결론

  • Meta의 “localhost tracking” 기법은 사생활 보호 기술적·법적 기준을 악의적으로 우회한 대표적 사례로, 전 세계적으로 매우 폭넓은 파급력과 심각성을 보임.
  • GDPR/DSA/DMA 복수 규정 위반 상황에 시장 지배력, 반복 위반 기록 등이 감안되어 사상 최대 수준의 누적 벌금이 실제 부과될 가능성이 있음
  • 규제 당국이 최초로 GDPR·DSA·DMA 누적 벌금(최대 320억 유로) 부과할지 세계적 관심 집중
luiseok 2일전  [-]

승인해준 관리자급들 내부에선 어떻게 책임지게 하려나 모르겠네요

답변달기
kimjoin2 2일전  [-]

ios 는 안전하려나 궁금하내요..

답변달기
brainer 2일전  [-]

Q: iOS/타 플랫폼도 영향받나?
A: 현재까지 안드로이드에서만 확인, 기술적으로는 iOS/데스크톱/스마트TV 등도 잠재적 위험 있음

답변달기
GN⁺ 2일전  [-]
Hacker News 의견

  • 이전에 논의됐던 관련 주제로 웹-투-앱 추적 이슈와 Meta 및 Yandex의 프라이버시 문제를 모아둔 링크 모음집 공유. 다음과 같은 주제 언급: Washington Post의 프라이버시 팁(Chrome 사용 중지, Meta 앱 및 Yandex 삭제), Meta가 Android 이용자를 Instagram과 Facebook을 통해 은밀하게 추적, 연구자 항의 후 Android에서 모바일 포트 추적 기술 중단, Yandex와 Meta가 WebRTC 통한 추적 데이터 유출 등 소개

  • 2014년에 Android Twitter 앱이 내 기기에 설치된 모든 앱 목록을 Twitter 서버로 전송하기 시작한 사건 회상. 그 이후로 브라우저로 쓸 수 있는 서비스는 네이티브 앱 대신 웹버전 고집. Facebook이나 Instagram은 사용하지 않아서 최근엔 어떻게 동작하는지 모름. 그때 Facebook Messenger도 일부러 브라우저 환경에서 기능 제한한 결과 경험. 지난 10년간 네이티브 앱들이 수많은 권한 요청하고, 사용자들은 별 생각 없이 클릭해 동의해옴. 왜 Facebook이 내 Wi-Fi나 블루투스 정보를 볼 수 있어야 하는지 의문. 오프라인 매장에서도 비콘으로 사람 추적하는 사례 존재 https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . 안타까운 점은 네이티브 앱이 웹 앱보다 훨씬 쾌적하고 성능 좋다는 사실

    • Facebook Messenger를 브라우저에서 의도적으로 불편하게 만든 경험 공유. Messenger Lite도 사용하다 결국 서비스 중단. 이벤트나 연락처 때문에 Facebook을 계속 써야 하는데 Messenger 앱은 절대 설치하지 않으며, 결국 데스크톱 모드로 억지로 사용하는 불편함 토로. 피드엔 "당신에게 추천"만 잔뜩 나와서 예전처럼 중독되지 않는 상황. 왜 이용자를 내쫓으려는지 이해불가지만, 실제로 그런 느낌

    • 최근 수년간 웹 앱 자체가 너무 심하게 방해 받는 상황 언급. 반은 "앱을 설치하세요" 팝업에 시달리고, 나머지 반은 아예 동작하지 않음. 더욱 실망스러운 건 요즘 네이티브 앱 대부분이 사실상 웹뷰라 네이티브 UI도 안 쓰는 경우 많음. 실질적으로 Safari나 다름없다면 그냥 Safari 쓰게 해달라는 불만

    • 당시엔 유난스럽게 느껴졌지만 브라우저 버전만 고집했고, 지금도 후회 없는 선택. 알림 같은 산만함에서 벗어나기도 했음. Apple이나 Google이 프라이버시에 진지했다면 달라졌을 것. F-Droid에 없는 앱은 그냥 기다림

    • 이런 앱 추적은 지금도 완전히 합법임. 모든 앱이 “보안 목적으로” 현재 설치 앱 리스트와 최근 실행 앱을 훑을 수 있음. 연락처도 마찬가지. WhatsApp(내가 관리하는 Meta 제품 중 유일하게 쓰는 것)이 아주 짧은 주기로 연락처 정보를 확인하고, 변경이 감지되면 그 차이만 서버로 업로드함. 이번 논란의 핵심은, Meta가 Google에 “쿠키 매칭” 비용을 지불하지 않고 사용자 매칭을 웹에서 우회한 점

  • 이번 시스템은 메타의 엔지니어들이 코드 커밋, 프로덕트 매니저들이 티켓으로 요청 처리한 기록이 남아 있음. 이런 담당자들 연봉의 일정 비율만큼 Facebook이 매출의 일정 비율로 과징금 받는 것처럼 그들에게도 개인적 책임을 물어야 한다는 주장

    • 사실 진짜 책임져야 할 사람들은 이런 시스템을 허락한 관리자들임을 강조

    • 아이디어는 동의하지만, 말단 직원만 책임지고 윗선은 면제되는 방향은 옳지 않음. 책임은 위까지 올라가야 한다는 견해

    • 이 이야기는 CS Lewis의 유명한 인용구를 떠올리게 함. “최악의 악은 깨끗하고 조용한 사무실의 양복 입은 사람들에 의해 계획된다”라는 내용의 현대판 사례로 Meta 같은 대형 기업을 비유

    • 윤리적으로 확실히 문제있는 일임을 인정하지만, 어떤 엔지니어들은 월급만 준다면 뭐든 만들어냄. 그들이 하지 않으면 다른 누군가 할 것이고, 때로는 기술적으로 도전적인 일이라는 점에서 흥미를 느끼기도 함. 결국 관리자나 자금을 대는 윗선, 즉 Zuck 등 돈과 이득을 챙기는 사람들에게 책임을 물어야 하며 돈의 흐름을 쫓아야 한다고 강조

    • 미국 거주 미국인 엔지니어에게 EU가 벌금을 부과하는 게 가능한지에 대한 의문 제기

  • Meta라면 이런 식의 일 벌이는 게 놀랍지 않다고 생각. 예전 2010년대 초엔 iOS App Store의 HTTPS 트래픽을 감시해서 인기 앱을 선제적으로 파악했고, 그래서 WhatsApp이나 Instagram 인수를 결정할 수 있었음. 현 상황에서 Zuckerberg의 승부수는 다음 플랫폼(AR, VR)이 오기 전까지 Meta가 계속 살아남아주길 바라는 것이라 봄. Meta가 새로운 플랫폼을 장악하면 더는 합리적 규정을 안 지켜도 되고 광고 머신의 인터넷 촉수를 마음껏 뻗을 수 있다는 계산. 바람직하진 않지만, 현실적으로 그들이 해낼 가능성이 높아 보임

    • AR/VR이 차세대 플랫폼이 되길 기업들이 굉장히 원하지만, 소수의 게임 팬을 제외하면 일반 대중이 정말 원하는지 의문임. 영화 3D 안경과 비슷한 정도의 지속력밖에 못 보여줄 것이라는 회의감

    • 예전 iOS 앱 감시 때는 사용자가 직접 엔터프라이즈 인증서로 배포된 VPN을 설치해야 했고, 이는 App Store에 올라오지 않는 방식. 사용자가 iOS의 무서운 경고 여러 번을 지나고 설치해야 했지만, 소소한 상품권만 줘도 실제로 많은 사람이 참여했음

    • Meta가 이런 짓을 반복할 수 있었던 건, 과거부터 적절한 처벌이 누적 위반자를 막을 수 없었기 때문임

    • Meta의 VR 플랫폼 Quest는 누적 2천만대 정도 판매됐는데 Facebook처럼 대규모 유저 층이 필요한 회사 입장에서선 한참 부족한 수치. Quest 2(1,400만대)처럼 잘 팔린 제품도 단종된 지 9개월 됨. 폭발적 성장과는 거리가 멀어 보임

  • 이런 시스템을 구현했던 엔지니어도 어쩌면 Hacker News에 있는 우리 중 한 명일 거라는 생각. Zuck이 직접 개발한 건 아닐 것이라고 추정

    • 이곳(Hacker News)에서는 엔지니어들에게 자신이 하는 일에 윤리적 고민을 하라고 하면 “나는 쿨한 기술을 만들고 싶을 뿐이고, 회사가 그걸 어디에 쓰든 내 알 바가 아니다”라는 반박을 자주 받음. “나는 그냥 코드몽키일 뿐, 관리자가 Torment Nexus(고문 기계)를 만들라면 만들 뿐”이라는 냉소적 태도도 존재

    • Meta가 이런 걸 구현하는 데 AI가 필요한 이유는, AI는 거부하지 않기 때문이라는 농담

  • 두 가지 문제가 보임. 첫째, Android는 앱이 별도의 권한 없이 포트를 열 수 있음. 그리고 앱끼리도 별도의 권한 없이 통신 가능. 둘째, 브라우저가 아무 도메인이나 로컬호스트 서비스를 접근할 수 있도록 허용함. 과거에도 로컬호스트에 떠 있는 개발자 서비스에 접근한 보안 이슈가 있었음. 뭔가 개선이 필요해 보임

    • 문제를 더 칼같이 나누면, 첫째는 임의 앱이 별도 권한 없이 포트 리스닝 할 수 있고, 둘째는 임의 앱이 별도 권한 없이 로컬 포트를 접근할 수 있다는 점임. 나는 개인적으로 이런 이유로 데스크톱에서 브라우저를 네트워크 네임스페이스에 가둬서 실험해봤음. 웹사이트가 내 로컬호스트 서비스에 마음대로 접근하지 못해야 한다고 생각

    • 기술적 이슈 두 가지는 맞지만, 그게 있더라도 Facebook이 이런 짓을 해선 안된다는 입장

    • Android 앱이 포트를 열려면 android.permission.INTERNET 권한이 필요함. 이 권한은 기본적으로 설치 시 자동 부여되며, GrapheneOS처럼 별도로 차단 가능한 버전도 존재. 현재로선 "내부 통신만 허용" 같은 세밀한 제어는 지원되지 않는 것으로 알고 있음

    • 사이트가 별다른 허락 없이 사용자의 로컬 네트워크에 접근하지 못하도록 제한하는 제안도 있음 https://github.com/explainers-by-googlers/local-network-access

  • Facebook 또는 Instagram 앱이 Android 폰에 설치돼 있고, 계정에 로그인 상태이며, 추적 픽셀 같은 걸 차단하는 설정을 따로 하지 않은 경우 지금 사안에 영향을 받을 수 있음. VPN이나 시크릿 모드를 돌파하는 부분이 특히 심각한 문제로 보임. 많은 사람들이 이런 모드로 완전 프라이버시를 지켰다고 착각하지만 실제로는 단순히 새로운 세션이나 다른 위치에서 온 것처럼 속이는 효과가 더 큼

    • 일반 사용자 입장에선 VPN과 프라이빗 브라우징을 쓸 때 이 정도면 충분하다고 생각할 만함. 브라우저가 내 폰의 앱과 몰래 통신하며 모든 행동을 내 계정과 묶는 건 너무 과함

    • Facebook이나 Instagram 앱을 실제로 백그라운드에 두고 있을 때 추적 악화 가능. 일부 사용자는 앱이 백그라운드에서 돌아가는 걸 극도로 싫어해서, 쓸 일 끝나면 무조건 종료하는 방식 선택

  • 실제 문제는 WebRTC에 있다고 지적. WebRTC는 기본 비활성화되어야 하며, 최소한 권한 요청 다이얼로그 뒤에 숨겨져 있어야 함. 물론 Facebook은 채팅 등 일부 기능을 빌미로 WebRTC 활성화를 요구할 테고, 결국 99% 사용자가 동의하게 될 것

  • Meta가 굳이 이런까지 할 필요가 있었는지 이해 불가. 이미 지문인식(fingerprinting) 같은 추적 기술이 있으니 굳이 더 위험 감수하지 않아도 될 것 같음. 아마도 이 기법은 다른 추적 기술이 잘 먹히는지 실험군 역할(테스트셋)로 활용하거나, 여러 추적 방법 중 한 가지가 들통나거나 보완될 때 곧바로 다른 기법으로 갈아타려는 흔적일 것이라 예상. 이렇게 대놓고 들킬만한 방식을 계속 쓰는 건 정말 어리석어 보임

    • 이런 행동은 회사가 소시오패스적 사고로 굴러가고 있어서임. “안 된다” 하면 그걸 도전과제로 여기고, 들키지 않고 해내려고 애쓰는 성향

  • "Meta Pixel 스크립트가 _fbp 쿠키를 WebRTC(STUN) SDP Munging을 통해 인스타그램 또는 Facebook 네이티브 앱으로 전송한다"는 설명이 진짜 말도 안 되는 해킹임을 언급

    • 이런 방식이 어떻게 승인을 받았는지 의문
답변달기