Hacker News 2026.04.18 25

광고 입찰 데이터가 감시 도구로 변신하는 방법, Webloc의 민낯

광고판에서 흘러나온 위치 정보, 그게 어디로 가고 있을까요

시민랩(Citizen Lab)이 최근 공개한 보고서 하나가 업계에 묵직한 질문을 던졌어요. 미국의 법 집행 기관용 포렌식 업체인 Penlink가 'Webloc'이라는 서비스를 통해 광고 생태계에서 흘러나오는 위치 데이터를 수집·판매하고 있다는 내용이거든요. 쉽게 말해, 우리가 앱에서 광고를 볼 때마다 뒤에서 오가는 입찰 데이터가 수사기관이나 첩보 기관이 사용할 수 있는 감시 도구로 재활용되고 있다는 얘기예요.

이게 뭐냐면, 'RTB 입찰 데이터'에서 시작합니다

스마트폰 앱에서 광고가 하나 뜨기 전에는 눈 깜짝할 사이에 경매가 열려요. 이걸 Real-Time Bidding(실시간 입찰, RTB) 이라고 하는데요. 광고주들한테 "이 사용자에게 광고 보여줄 기회가 있는데 얼마 낼래?" 하고 물어보는 거예요. 이때 뿌려지는 정보에는 광고 ID, 기기 종류, IP 주소, 대략적 위치, 때로는 정밀 GPS 좌표까지 들어가 있어요.

문제는 이 입찰 요청이 수십, 수백 개의 광고 네트워크에 동시에 뿌려진다는 점이에요. 낙찰받지 못한 업체들도 그 데이터를 이미 받아본 거거든요. Webloc 같은 서비스는 이런 '낙찰받지 못했지만 이미 본' 데이터를 수집하는 위치에 자리 잡고 있어요. 돈 한 푼 안 쓰고 전 세계 사용자 위치를 긁어 모을 수 있는 구조인 거죠.

Webloc의 동작 방식을 뜯어보면

시민랩의 분석에 따르면 Penlink는 광고 SDK 제공 업체나 광고 거래소에 직접 파트너로 들어가서 입찰 스트림에 접근하는 방식을 써요. 여기서 수집된 위도·경도 데이터는 기기 식별자와 묶여서, 특정 기기가 오늘 어디를 다녔는지 타임라인으로 재구성할 수 있어요. 군 기지 주변, 대사관, 특정 개인의 자택까지 추적 가능하다는 거예요.

더 무서운 건 이게 '익명 데이터'로 포장된다는 부분이에요. 광고 ID는 이름이 붙어 있지 않으니 익명처럼 보이지만, 매일 저녁 같은 좌표에서 끝나는 기기가 누구 집인지 추론하는 건 식은 죽 먹기거든요. 과거에도 Gravy Analytics, Venntel, X-Mode 같은 회사들이 비슷한 사업으로 논란이 됐었는데, Webloc은 그 연장선에서 훨씬 체계화된 형태로 발전한 사례라고 보면 돼요.

개발자로서 짚고 가야 할 지점

앱을 만드는 입장에서 이 사건은 남의 일이 아니에요. 여러분이 붙인 광고 SDK가 어떤 서드파티로 데이터를 넘기는지, 그 체인 끝에 누가 앉아 있는지 대부분 모르거든요. 유저한테 "위치 권한 주세요" 팝업 한 번 띄워 받은 좌표가 수사·첩보 목적의 조회 가능한 데이터베이스로 들어가 있을 수도 있다는 의미예요.

실무에서 당장 해볼 수 있는 일은 세 가지 정도예요. 첫째, 앱에 박힌 SDK 목록을 다시 들여다보세요. 광고·분석·어트리뷰션 SDK의 개인정보 처리 방침을 하나씩 확인하고, 입찰 스트림에 GPS 좌표가 실리는지 설정에서 꺼둘 수 있는지 봐야 해요. 둘째, 위치 정밀도를 낮춰 전달하는 선택지를 고려해보세요. iOS는 CLLocationAccuracy, 안드로이드는 PRIORITY_BALANCED_POWER_ACCURACY 같은 옵션으로 위도·경도 해상도를 도시 수준으로 떨어뜨릴 수 있어요. 셋째, 위치가 꼭 필요한 순간에만 요청하는 on-demand 방식으로 바꾸는 거예요.

업계 흐름과 한국 상황

유럽은 이미 디지털서비스법(DSA)과 GDPR로 RTB 생태계에 제동을 걸고 있고, 미국에서도 FTC가 Gravy Analytics에 위치 데이터 판매 금지 명령을 내린 바 있어요. 한국은 개인정보보호법상 위치 정보 자체는 민감하게 다뤄지지만, 광고 생태계 뒷단의 데이터 유통은 상대적으로 회색 지대에 있어요. 그만큼 우리 앱이 어떤 데이터 파이프라인 위에 앉아 있는지 개발자가 먼저 인식해야 하는 시점인 거죠.