최근 Avast의 공동 조사 결과에 따르면, Avast는 사용자의 인터넷 검색 활동을 수집하여 이 데이터를 제3자에게 판매하는 것으로 드러났습니다. 이 사실은 PCMag와 마더보드와 같은 매체들을 통해 보도되었습니다. 이는 무료 백신 소프트웨어가 데이터를 수집하는 또 다른 사례를 보여줍니다. 결국, 무료 백신 프로그램은 어떤 방식으로든 수익을 창출해야 하기 때문입니다.
업데이트: 2020년 1월 30일, Avast는 사용자 브라우징 기록을 마케팅 회사에 판매한 자회사인 점프샷(Jumpshot)을 폐쇄한다고 발표했습니다. 이는 데이터 판매 논란에 대한 대응 조치로 보입니다.
Avast의 검색 기록 수집과 판매 실태
Avast 백신을 사용하고 계신가요? 기본적으로 Avast는 사용자의 웹 검색 활동 데이터를 수집하여 자회사인 점프샷을 통해 마케팅 회사에 제공합니다. Avast에 비용을 지불하는 기업들은 이러한 “클릭스트림 데이터”를 통해 Avast 사용자들이 온라인에서 어떤 활동을 하는지 상세히 파악할 수 있습니다. PCMag의 Michael Kan은 이를 다음과 같이 설명했습니다.
수집되는 데이터는 매우 상세하여, 클라이언트는 사용자가 웹 검색 과정에서 발생시킨 개별 클릭을 밀리초 단위까지 확인할 수 있습니다. 물론 수집된 데이터는 개인의 이름, 이메일, IP 주소와 같은 개인 식별 정보와는 연결되지 않지만, 각 사용자 기록은 ‘장치 ID’라는 식별자에 할당되어 Avast 백신 사용을 중단하지 않는 한 계속 유지됩니다.
Avast는 이러한 데이터가 “익명화”되었다고 주장하지만, PCMag와 마더보드에서는 이 데이터를 특정 개인과 연결시킬 수 있었음을 밝혀냈습니다. 예를 들어, 특정 날짜 및 시간에 특정 제품을 구매한 Amazon 사용자를 안다면, 그 “익명화된” 개인을 특정하고 다시 검색 기록을 추적할 수 있습니다.
데스크톱 백신을 통한 데이터 수집
Avast를 기본 설정대로 설치했다면, 사용자의 검색 기록은 이미 점프샷을 통해 마케터들에게 판매되고 있을 가능성이 큽니다. 이 데이터는 Avast의 브라우저 확장 프로그램을 통해 수집되는 것이 아니라, 데스크톱 Avast 백신 애플리케이션을 통해 수집됩니다.
Avast 설치 과정에서 데이터를 공유할 것인지 묻는 메시지가 표시됩니다. ‘동의함’을 선택한 사용자 대부분은 실제로 무엇에 동의했는지 제대로 알지 못했을 수 있습니다.
Avast가 설치된 경우, Avast 애플리케이션을 실행한 후 ‘메뉴’ > ‘설정’ > ‘일반’ > ‘개인 정보 보호’ 순으로 이동하여 수집 및 공유되는 데이터 설정을 변경할 수 있습니다. 여기서 데이터 공유 옵션을 비활성화하는 것이 좋습니다.
Avast를 제거하는 것이 가장 좋지만, 설치된 상태로 유지하면서 데이터 수집을 비활성화하려면 위 단계를 따라 설정 변경을 해주십시오.
브라우저 확장의 문제점
백신 소프트웨어는 마케팅 목적으로 상세한 사용자 데이터를 수집하는 브라우저 확장 프로그램을 함께 제공하는 경우가 많습니다. 2019년 10월, Adblock Plus 개발자인 Wladimir Palant는 여러 Avast 브라우저 확장 프로그램이 사용자의 검색 기록 데이터를 수집하여 전송하는 방식을 분석했습니다. AVG 브라우저 확장 프로그램 또한 동일한 기능을 수행하고 있었는데, 이는 Avast가 몇 년 전에 AVG를 인수했기 때문에 놀라운 일은 아닙니다.
Google과 Mozilla는 이러한 문제를 인식하고 조치를 취하여 Avast가 일부 변경 작업을 진행할 때까지 Chrome 웹 스토어 및 Mozilla 부가 기능 사이트에서 브라우저 확장 프로그램을 삭제했습니다. 현재는 다시 다운로드할 수 있지만 데이터 수집이 얼마나 제한되었는지 정확히 알 수 없습니다. Avast는 개인 정보 보호 정책에서 조금 더 ‘투명’해졌다고 합니다.
Google과 Mozilla는 백신 회사의 브라우저 확장 프로그램에 대해서는 조치를 취할 수 있지만, Avast와 같은 회사가 데스크톱 애플리케이션을 통해 데이터를 수집하는 것을 막을 수는 없습니다. 이러한 점이 Avast가 데스크톱 애플리케이션을 통한 대량 데이터 수집에 집중하는 이유일 수 있습니다.
백신 프로그램의 브라우저 확장을 설치하지 않는 것이 좋지만, 브라우저 확장 프로그램을 피한다고 해서 개인 정보 문제에서 완전히 벗어날 수 있는 것은 아닙니다.
무료 백신 소프트웨어의 수익 구조
무료 백신 소프트웨어는 어떤 방식으로든 수익을 창출해야 하므로 Avast와 같은 기업이 사용자 데이터를 수집하고 판매하는 것은 놀라운 일이 아닙니다.
과거에 Avast는 사용자가 웹 서핑을 할 때 다른 웹페이지에 광고를 추가하는 ‘쇼핑’ 기능을 제공하기도 했습니다. 현재는 더 이상 이러한 기능을 제공하지 않지만, 데이터 수집은 이와 크게 다르지 않습니다.
2015년에 이미 지적되었듯이, 무료 백신 소프트웨어는 더 이상 ‘무료’가 아닙니다. 많은 백신 회사들이 사용자의 기본 검색 엔진이나 홈페이지를 변경하거나, 설치 프로그램에 추가 소프트웨어를 포함시키는 등의 방식으로 수익을 창출합니다. 오늘날 다른 많은 백신 프로그램 또한 사용자의 검색 활동을 추적하고 데이터를 판매할 가능성이 높습니다.
개인 정보를 침해하지 않는 백신은 무엇일까요?
모든 무료 백신 프로그램이 반드시 사용자 데이터를 수집하는 것은 아닙니다. 모든 백신을 조사하지는 않았지만, 일부는 사용자 데이터를 수집하여 판매하는 대신 유료 백신 제품을 판매하기 위한 무료 평가판을 제공할 수도 있습니다.
예를 들어, Avast와 AVG의 브라우저 확장 프로그램에서 데이터 수집을 밝혀낸 Wladimir Palant는 답변을 통해 Kaspersky의 무료 백신에서는 사용자 감시의 징후를 발견하지 못했다고 언급했습니다. 하지만 2019년에는 Kaspersky도 이전에 웹 브라우징 트래픽에 고유 식별자를 삽입하여 사용자를 식별할 수 있도록 한 전력이 있습니다.
Windows 10에 내장된 Microsoft의 Windows Defender를 사용하는 것을 권장합니다. Microsoft의 백신은 컴퓨터에서 악성 코드를 차단하는 것 외에 다른 목적이 없습니다. 웹 검색 활동을 추적하지 않으며, 추가 소프트웨어 판매를 강요하지 않습니다. Microsoft는 기업용 보안 소프트웨어도 제공하지만, 이는 사용자의 선택 사항입니다.
또한, 저희는 Malwarebytes도 추천합니다. Malwarebytes는 불필요한 소프트웨어를 감지하고 제거하는 데 효과적입니다. Malwarebytes의 무료 버전은 백그라운드에서 실행되지 않으며, 수동 검색만 제공합니다. Malwarebytes는 사용자를 추적하는 대신 프리미엄 구독을 통해 수익을 창출하고 있습니다.