틱톡 관련 뉴스 접하셨나요? iOS 14의 새로운 개인 정보 보호 기능이 중국 소셜 미디어 앱이 아이폰 클립보드를 지속적으로 열람하고 있다는 사실을 드러냈습니다. 하지만 이는 새로운 문제는 아닙니다. 사실상 모든 앱이 스마트폰 클립보드에 자유롭게 접근할 수 있습니다.
이미 알고 있었어야 할 사실
틱톡의 행위 자체는 새로운 것이 아닙니다. 달라진 점은 애플의 iOS 14 업데이트가 애플리케이션이 클립보드 내용을 (붙여넣기 없이) 획득할 때 사용자에게 알려준다는 점입니다.
사람들이 인지하기 시작하면서, 틱톡은 여론 악화를 우려하여 데이터를 저장하지 않고 클립보드 읽기를 중단하는 업데이트를 배포했다고 주장했습니다. 그러나 엔가젯은 틱톡 외에도 수많은 다른 앱들이 클립보드에서 지속적으로 데이터를 읽어들이고 있다고 지적합니다.
알겠습니다. 틱톡은 키 입력 1~3회마다 클립보드 내용을 가져옵니다. iOS 14는 새로운 붙여넣기 알림으로 이를 감시합니다. pic.twitter.com/OSXP43t5SZ
— 제레미 버지(@jeremyburge) 2020년 6월 24일
스마트폰은 왜 앱의 클립보드 접근을 허용할까?
클립보드에 내용을 복사하면, “붙여넣기”를 명시적으로 선택하지 않더라도 앱이 해당 내용을 읽을 수 있습니다. 이는 시스템의 의도된 동작입니다.
예를 들어, 아이폰이나 아이패드에서 택배 운송장 번호를 복사한 후 택배 추적 앱을 실행하면, 앱은 클립보드에 운송장 번호가 있음을 인식하고 자동으로 추가를 제안할 수 있습니다. 마찬가지로 웹 주소(URL)를 복사한 후 브라우저를 실행하면 자동으로 해당 주소로 이동할 수 있습니다.
이 기능은 다른 앱으로 데이터를 옮길 때마다 “붙여넣기” 버튼을 누르는 번거로움을 덜어주어 사용자 편의성을 향상시킵니다.
이러한 메커니즘은 애플의 아이폰 및 아이패드뿐만 아니라 안드로이드에도 동일하게 적용됩니다. 어떤 스마트폰 운영 체제를 사용하든 앱은 클립보드에 접근할 수 있습니다.
복사된 텍스트는 외부 서버로 전송될 위험이 있다
틱톡이 보여준 것처럼 앱은 백그라운드에서 클립보드 내용을 수집하여 원하는 대로 활용할 수 있습니다. 클립보드 데이터를 원격 서버로 전송하는 것도 가능합니다.
특정 앱을 비난하려는 것은 아닙니다. 다만, 기술적으로 가능하며, iOS나 안드로이드에서 이를 막을 방법이 없다는 사실을 강조하고 싶을 뿐입니다. 연락처, 사진, 위치 정보와 달리 클립보드 접근 권한은 별도의 허가를 요구하지 않습니다.
개인 정보 복사는 위험할 수 있다
만약 암호 관리 앱을 사용하여 온라인 뱅킹 암호나 신용 카드 번호를 복사하여 다른 앱에 붙여넣는다고 가정해 봅시다. 클립보드에 남아있는 개인 정보는 틱톡과 같은 다른 앱이 읽고 악용할 수 있습니다.
이름, 주소, 개인 사진 등 다른 민감한 데이터도 마찬가지입니다. 실행 중인 앱은 클립보드에 있는 모든 정보를 열람할 수 있습니다.
데이터를 복사한 후 자신을 보호하는 유일한 방법은 다른 데이터를 복사하여 클립보드 내용을 덮어쓰는 것입니다. 예를 들어 웹페이지나 앱에서 단어를 선택하여 “복사”를 수행하면 됩니다.
애플의 iOS 및 iPadOS는 물론 안드로이드도 윈도우 10처럼 클립보드 기록을 저장하지 않습니다. 앱은 마지막으로 복사된 클립보드 내용만 접근할 수 있습니다.
이러한 이유로 많은 암호 관리 앱은 일정 시간이 지나면 클립보드를 자동으로 지우는 옵션을 제공합니다. 예를 들어, 아이폰용 1Password 앱은 설정 > 보안 메뉴에서 90초 후 클립보드를 자동 삭제하는 옵션을 제공합니다. 따라서 암호와 개인 정보는 클립보드에 장시간 노출되지 않지만, 처음 90초 이내에 사용하는 앱은 여전히 클립보드를 읽을 수 있습니다.
데스크탑 및 노트북 환경은 다르다
기술적으로는 윈도우 PC나 맥에서 실행되는 모든 앱도 언제든지 클립보드 내용을 읽을 수 있습니다.
하지만 전통적인 데스크탑 시스템에서는 대부분 웹 브라우저를 통해 서비스를 이용합니다. 웹 앱은 사용자 동의 없이 클립보드에 자동으로 접근할 수 없습니다. 웹사이트에 클립보드 내용을 제공하려면 사용자가 수동으로 “붙여넣기”를 해야 합니다.
아이폰, 아이패드, 안드로이드 기기에서는 웹사이트와 유사한 많은 앱을 사용합니다. 페이스북 웹사이트는 클립보드를 감시할 수 없지만, 스마트폰에 설치된 페이스북 앱은 분명히 가능합니다.
클립보드는 생각보다 안전하지 않다
iOS 14의 새로운 복사-붙여넣기 알림은 우리 휴대폰 앱이 얼마나 많은 접근 권한을 가지고 있는지 일깨워줍니다. 안드로이드에는 앱이 백그라운드에서 클립보드를 읽을 때 알려주는 알림 기능이 없으므로, 안드로이드 사용자에게는 이러한 사실이 다소 생소할 수 있습니다.
궁극적으로, 개인 정보를 복사하여 붙여넣을 때 주의하고, 앱을 설치하고 신뢰할 때도 신중해야 한다는 점을 기억해야 합니다.
클립보드 접근 권한을 막을 수 있는 방법은 없지만, 스마트폰에 앱을 설치할 때 충분한 주의를 기울여야 합니다.