백악관 공식 앱의 네트워크 트래픽을 까봤더니, 요청의 77%가 외부로 나가고 있었다

정부 공식 앱도 서드파티 트래커에서 자유롭지 않다

미국 백악관 공식 앱의 네트워크 트래픽을 실제로 가로채서 분석한 결과가 공개됐어요. 보안 리서치 회사 Atomic이 이 앱이 어디로 데이터를 보내는지 낱낱이 살펴봤는데, 결과가 꽤 충격적이에요. 앱에서 발생하는 전체 네트워크 요청 중 무려 77%가 백악관 서버가 아닌 서드파티(제3자) 서버로 향하고 있었거든요.

서드파티라는 건 쉽게 말해 앱을 만든 조직이 아닌 다른 회사의 서버를 뜻해요. 예를 들어 광고 네트워크, 분석 도구, 소셜 미디어 SDK 같은 것들이죠. 정부 기관의 공식 앱이라면 당연히 보안과 프라이버시에 더 민감해야 할 텐데, 현실은 그렇지 않았던 거예요.

어떤 서드파티로 데이터가 흘러갔을까

분석 결과를 보면, 앱은 Google Analytics, Firebase, 그리고 다양한 광고 추적 서비스들과 통신하고 있었어요. 이게 뭐냐면, 사용자가 앱을 열고 어떤 화면을 보고 어떤 버튼을 누르는지 같은 행동 데이터가 구글을 비롯한 여러 외부 회사의 서버로 전송된다는 뜻이에요.

분석 방법도 흥미로운데, 중간자(MITM) 프록시를 설정해서 앱이 보내는 모든 HTTPS 요청을 가로채 분석했어요. 이게 뭐냐면, 앱과 서버 사이에 가짜 중간 서버를 하나 끼워넣는 건데요. 앱은 진짜 서버와 통신하는 줄 알지만 실제로는 리서처의 컴퓨터를 거쳐가기 때문에 어떤 데이터가 오가는지 전부 볼 수 있는 거예요. mitmproxy 같은 도구를 쓰면 개발자라면 누구나 이런 분석을 해볼 수 있어요.

특히 우려되는 부분은, 일부 요청에서 기기 식별자와 사용자 행동 패턴이 함께 전송된다는 점이에요. 이런 데이터가 조합되면 특정 사용자가 정부 앱에서 어떤 정보를 주로 찾아보는지 프로파일링이 가능해지거든요.

이건 비단 백악관만의 문제가 아니에요

사실 이런 현상은 모바일 앱 생태계 전반에 걸친 구조적인 문제예요. 앱을 빠르게 개발하려면 Firebase 같은 BaaS(Backend as a Service)를 쓰게 되고, 사용자 행동을 분석하려면 Google Analytics나 Amplitude 같은 분석 SDK를 붙이게 되고, 푸시 알림을 보내려면 또 다른 서드파티 서비스를 연동하게 되죠. 편의를 위해 하나둘 붙이다 보면 어느새 앱의 네트워크 요청 대부분이 외부로 나가는 구조가 되어버리는 거예요.

유럽에서는 GDPR 때문에 이런 서드파티 트래커 사용에 엄격한 제한이 있어요. 한국도 개인정보보호법이 강화되면서 이런 부분에 점점 더 주의를 기울여야 하는 상황이고요. 특히 공공기관 앱이라면 더더욱 민감한 문제가 될 수 있어요.

한국 개발자에게 주는 시사점

이 분석은 우리가 만드는 앱에서도 한 번쯤 점검해볼 만한 이야기를 던져줘요. 여러분이 지금 개발하고 있는 앱에 서드파티 SDK가 몇 개나 들어가 있는지 확인해보신 적 있나요? 각 SDK가 어떤 데이터를 어디로 보내는지 정확히 알고 계신가요?

실무에서 바로 해볼 수 있는 것들이 있어요. Charles Proxy나 mitmproxy를 설정해서 내가 만든 앱의 네트워크 트래픽을 한번 분석해보세요. 의외로 불필요한 데이터가 외부로 나가고 있을 수 있어요. 앱 출시 전 네트워크 트래픽 감사를 CI/CD 파이프라인에 포함시키는 것도 좋은 방법이에요.

개인정보보호법 준수 차원에서도 중요한데, 앱이 수집하는 데이터와 개인정보 처리방침에 명시된 내용이 실제로 일치하는지 확인하는 건 개발자의 책임이기도 하거든요.