미국 정치권이 중국산 애플리케이션에 대한 대대적인 퇴출에 나서고 있다. 숏폼(short-form) 동영상 플랫폼 ‘틱톡’에 이어 전자상거래 플랫폼 ‘핀둬둬’에 대해서도 개인정보 유출 의혹을 제기하며, ‘중국산 앱 주의보’를 경고하고 나선 것이다.
핀둬둬(拼多多)는 중국 전자상거래 업체들 가운데 알리바바(阿里巴巴)와 징둥(京東)에 이어 3위 기업이다. 2015년 설립된 이 기업은 2년 만에 2억여 명의 회원을 확보했고, 2018년 미국 나스닥에 상장하기도 했다.
핀둬둬는 2020년 사용자 수 기준으로 7억8800만 명을 기록해 5년 만에 알리바바를 제치고 중국 1위 전자상거래 플랫폼으로 등극하는 등 승승장구해 왔다. 핀둬둬는 저가 상품을 앞세워 공동구매 등으로 소도시와 농촌 고객을 공략해 성장했다. 핀둬둬의 ‘핀’은 ‘모으다’, ‘둬둬’는 ‘많이’라는 뜻으로 가족, 친구 등을 많이 모아 공동구매를 하자는 의미를 담고 있다.
핀둬둬는 생산자와 소비자를 직접 연결하는 C2M 모델을 채택하고 있다. 주요 타깃은 중소도시와 농촌 지역으로, 상품구성기획자(MD) 없이 인공지능(AI)과 빅데이터를 통해 가성비 높은 제품을 발굴해 성공을 거뒀다.
핀둬둬는 2022년 9월 미국 시장을 겨냥해 가전용품과 전자제품 등 주요 생활 제품을 초저가로 판매하는 온라인 쇼핑몰 테무(Temu)라는 자회사를 출범시켰다. 테무는 지난해 11월 안드로이드와 애플 앱스토어에서 다운로드 수 1위를 차지했으며 현재까지 자리를 지키고 있다. 테무는 핀둬둬가 구축해 온 공급망을 활용해 중국의 제조업체가 미국 소비자에게 직접 배송하는 방식으로 영업해 왔다.
핀둬둬, 개인정보 침해…악성코드 탑재 ‘파문’
핀둬둬의 안드로이드 앱에 사용자의 개인정보에 접근할 수 있는 악성코드가 가 탑재됐던 것으로 드러나 상당한 파문을 일으키고 있다. 미국 CNN 방송은 아시아, 유럽, 미국의 사이버 보안팀 6곳과 핀둬둬 전·현직 직원에게 확인한 결과 핀둬둬에서 악성코드가 발견됐다면서 핀둬둬가 이를 이용해 소비자의 동의 없이 방대한 양의 사용자 데이터를 수집하면서 개인정보 보호 및 데이터 보안을 위반했다고 보도했다.
CNN 방송은 “핀둬둬의 악성코드가 기존 수준을 뛰어넘어 전례 없는 수준의 개인정보 침해를 자행했다”면서 “이 악성코드는 이용자 염탐뿐만 아니라 경쟁사를 모니터링하는 데 활용됐다”고 지적했다. CNN에 따르면 핀둬둬는 악성코드를 이용해 사용자의 위치정보, 연락처, 달력, 사진앨범은 물론 소셜네트워크서비스(SNS) 계정과 채팅 메시지까지 접근할 수 있는 것으로 드러났다. 핀둬둬는 이런 정보를 수집해 사용자에게 특화된 개인 알림 광고를 보내 상품 구매를 유도하는 마케팅 기법을 사용했다.
게다가 이 악성코드는 사용자 휴대전화 보안을 뚫고 다른 앱을 통한 활동을 감시할 수 있다. 휴대전화에 저장된 개인 메시지와 스케줄 알람도 확인 가능하다. 심지어 휴대전화의 설정도 바꿀 수 있는데, 구글 플레이(앱장터)의 악성 앱 탐지 프로세스를 건너뛰고 사용자에게 업데이트 푸시(push·알림)를 넣을 수도 있다. 또 이 악성코드는 한번 휴대전화에 설치되면 지우기도 쉽지 않다. 이 앱은 주로 중국 내 전자상거래에 쓰이지만 다른 국가에서도 이 앱을 다운로드하고 사용할 수 있어 전 세계적으로 파장이 확산되고 있다. 중국 정부가 자국 기업들의 앱을 이용해 전 세계 사용자의 정보를 수집하고 악용하려 한다는 우려가 현실화된 것이다.
핀둬둬가 탈취한 개인정보가 중국 정부에 넘어갔다는 증거는 아직 없다. 하지만 중국 정부는 정보기술(IT) 서비스 업체의 데이터에 언제든 접근할 수 있다. 핀둬둬의 정보도 중국 정부가 필요로 하면 얼마든지 이용자 감시와 사찰에 활용할 수 있다.
구글은 3월 21일 핀둬둬 앱에서 악성코드를 발견하고, 보안 예방 조치로 조사를 진행하는 동안 구글 플레이스토어 장터에서 내려받기 서비스를 중단했다고 밝혔다. CNN 방송은 “핀둬둬는 자사 앱에 대한 의혹이 확산되자 긴급 업데이트를 실시하며 악성코드를 삭제했다”고 보도했다.
핀둬둬의 악성코드 문제는 중국에서 개발한 앱 전체에 대한 불신으로 확대되고 있다. 특히 핀둬둬의 자매 회사인 테무가 미국에서 선풍적인 인기를 끌고 있는데, 이 앱에 대한 기피 현상도 나타날 것으로 보인다.
CNN 방송은 “이번 논란에 테무가 직접 연루된 것은 아니지만, 테무의 글로벌 확장에는 악재가 될 것”이라고 지적했다. 핀둬둬의 내부 관계자에 따르면 3월 이 악성코드를 개발한 것으로 추정되는 엔지니어와 제품관리자 팀이 해산했는데, 이들 대부분이 테무로 옮겼다고 한다. 이들은 테무에서 주로 마케팅과 푸시 알람 개발 작업을 수행하고 있다.
특히 이번 사건은 데이터 보안 우려로 중국의 동영상 공유 앱인 ‘틱톡’에 대한 금지 여론이 미국 전역에서 확산하는 상황에서 벌어진 만큼 그 여파가 만만찮을 전망이다.
이와 관련해 퓨 리서치센터가 3월 31일 발표한 여론조사에 따르면 미국인의 59%가 틱톡 등 중국 소셜미디어(SNS) 기업들의 개인보호 정책에 대해 ‘전혀 신뢰하지 않는다’고 답했다. 이는 미국 SNS 기업에 대한 응답률(32%)의 거의 2배에 가깝다. 또 미국 정부의 행정기관 틱톡 금지 조치에 대해 50%가 찬성해 반대(22%)보다 2배 이상 많았다.
미국 정치권, 틱톡 청문회 열어 퇴출 방안 추진
전 세계에서 이용자가 15억 명을 돌파한 틱톡은 중국 IT 회사 바이트댄스가 만든 앱이다. 틱톡은 페이스북이나 인스타그램 같은 소셜미디어 플랫폼으로 15초 내외의 짧은 동영상을 만들어 다른 회원들과 공유하는 모바일 앱이다.
시장조사 업체 센서타워에 따르면 틱톡은 지금까지 40억 회 이상 다운로드 됐다. 지난해 2분기(4∼6월) 전 세계 틱토커들의 하루 평균 이용 시간은 95분으로 유튜브(74분), 인스타그램(51분), 페이스북(49분)을 훌쩍 넘어섰다. 모바일 시장분석 서비스 앱 에이프는 틱톡 전체 이용자 중 77.5%가 13∼34세라고 분석했다. 틱톡이 전 세계 MZ(밀레니얼+Z) 세대의 놀이터라고 해도 과언이 아닌 셈이다.
미국에서 틱톡 월간 이용자 수는 1억5000만 명으로 전체 인구가 3억3000만 명인 것을 고려하면 대략 2명 중 1명이 틱톡을 이용한다고 볼 수 있다. 틱톡의 인기가 이렇게 높은 이유는 전문적인 기술이나 장비 없이도 자신의 스마트 폰을 이용해 재미있는 동영상을 만들어 여러 회원과 쉽게 공유할 수 있기 때문이다.
미국 정부는 그동안 틱톡이 자국 사용자로부터 수집하는 상당한 개인정보에 중국 정부가 접근할 수 있다고 우려해 왔다. 이에 따라 미국 정부와 20개 주 정부가 행정기관에서 틱톡 사용을 금지했다. 20여 개 공립대도 교내 와이파이를 이용해 틱톡을 사용하지 못하게 금지했고, 학생들에게도 틱톡 삭제를 권고하고 있다.
미국 정치권은 초당적으로 틱톡을 퇴출시키려는 방안을 추진하고 있다. 미국 하원은 3월 23일 ‘틱톡 청문회’까지 열고 국가안보 위협 여부를 논의했다. 이 청문회에서 50여 명의 의원들이 틱톡이 국가안보에 위험한 존재일 뿐만 아니라 개인정보를 침해하며, 청소년들의 정신건강에 많은 해를 끼치고 있다고 비판했다.
캐시 맥모리스 로저스 에너지·상업위원장은 “틱톡은 사람들의 위치는 물론이고 회원들의 생물학적 정보 등 상상할 수 있는 모든 자료를 수집한다”면서 “중국 회사에 속한 틱톡이 지속적으로 통제와 감시, 조작을 강화해 중국 공산당이 미국 전체를 조종하는 도구로 사용할 수 있다”고 주장했다.
마이크 매콜 하원 외교위원장이 “틱톡은 스마트폰에 침투한 정찰 풍선”이라고 비판하기도 했다. 이에 대해 싱가포르 화교 출신인 저우서우쯔(周受資) 틱톡 최고경영자(CEO)는 “우리는 중국 정부의 요청에 따라 콘텐츠를 홍보하거나 삭제하지 않는다”면서 “미국 이용자 관련 데이터는 미국 땅에 있고, 미국인 회사가 운영하는 서버에 저장되고 미국인 회사가 감독한다”고 항변했다.
월스트리트저널(WSJ)은 틱톡 사용 금지 문제는 개인정보와 사이버 보안 문제보다 미국과 중국 간의 신냉전과 더 관련이 있다고 지적했다. 뉴욕타임스(NYT)는 “틱톡만큼 미국 사회를 점령한 중국 기업은 없었다”면서 “이 앱이 미국 최대의 지정학적 경쟁자 제품이라는 사실이 우리를 더 놀라게 한다”고 강조했다.
틱톡 사용 금지 조치, 전 세계로 확대
틱톡 사용 금지 조치는 각국에서 계속 확대되고 있다. 가장 최근 틱톡 사용 금지 조치를 내린 국가는 호주다. 호주 정부는 4월 3일 안보 위험을 이유로 연방 공무원이 사용하는 모든 기기에서 틱톡 사용을 금지하기로 결정했다.
마크 드레퓌스 호주 법무부 장관은 “이 금지령은 연방부서와 기관에서 제공·사용하는 모든 장치에 적용된다”고 밝혔다. 이로써 호주를 비롯해 미국, 캐나다, 영국, 뉴질랜드로 구성된 영미 정보동맹체 ‘파이브 아이즈(Five Eyes)’ 회원국 전체가 정부 기관에서 틱톡 사용을 금지하게 됐다.
영국과 캐나다는 정부기관 공용 전자 기기에서 틱톡 사용을 금지하는 법률을 제정했고, 뉴질랜드는 의회 업무와 관련된 장치에서의 틱톡 사용을 금지했다. 프랑스는 정부 관리들의 휴대전화에 틱톡을 다운로드하는 것 자체를 금지했으며, 노르웨이는 의회의 와이파이를 사용해 접속하는 모든 전자 기기에서 틱톡 사용을 전면 금지했다. 또 벨기에는 정부에서 사용하는 모든 모바일 기기에서의 틱톡 다운로드 및 접속을 금지했다.
스웨덴 국방부는 군부대 내에서 업무용 휴대전화에서의 틱톡 설치 및 사용을 금지했다. 덴마크 국방부와 라트비아 외교부 등도 비슷한 조치를 내렸다. 나토와 유럽연합(EU) 집행위원회, 유럽 의회도 직원들에게 지급한 업무용 기기에서 틱톡 사용을 금지했다. 인도는 틱톡을 포함해 중국의 앱 200여 개를 금지했다. 베트남도 틱톡의 유해성 여부를 조사할 계획이다.
그런가 하면 각국은 틱톡에 대한 제재 조치도 내리고 있다. 영국 데이터 감독 기구인 정보위원회(ICO)는 부모 동의 없이 아동의 개인정보를 사용하는 등 데이터 보호법을 위반한 혐의로 틱톡에 벌금 1270만 파운드(208억7524만 원)를 부과했다.
ICO는 틱톡이 2018년 5월부터 2020년 7월까지 아동 개인정보 불법 사용 등 데이터 보호법을 위반했다면서 틱톡이 ‘만 13세 미만은 계정을 만들 수 없다’는 자체 규정이 있는데도 해당 연령대 아동 최대 140만 명의 이용을 허용했다고 지적했다. 영국 데이터 보호법에 따르면 만 13세 미만 아동의 개인정보를 사용할 때는 부모의 동의가 반드시 필요하다. 미국 연방거래위원회도 틱톡이 부모 동의 없이 13세 미만 어린이들의 개인정보를 불법 수집한 혐의로 570만 달러(75억 원)의 벌금을 부과했다.
틱톡은 이처럼 각국의 규제 움직임으로 사면초가에 빠진 상태다. 그럼에도 불구하고 틱톡은 MZ세대의 인기를 바탕으로 계속 성장하고 있다. 바이트댄스는 틱톡 덕분에 창사 이래 지난해 최대 이익을 내며 알리바바와 텐센트를 제쳤다.
파이낸셜타임스(FT)는 바이트댄스의 2022년 세전 순익(EBITDA)은 250억 달러로 전년의 140억 달러에서 79% 급증했다고 보도했다. 매출은 850억 달러로 전년보다 30% 늘었다. 바이트댄스의 지난해 이익은 알리바바(239억 달러)와 텐센트(225억 달러)를 처음 추월했다. 하지만 미국 정부는 바이트댄스에 중국 창업자들의 보유 지분을 매각하지 않으면 미국에서 틱톡 사용을 전면 금지하겠다고 압박하고 있다. 미국 정부가 앞으로 틱톡을 완전히 퇴출할 수 있을지 국제사회가 주목하고 있다.
글 이장훈 국제문제 애널리스트