휴대폰이 내 쇼핑을 가로챈다고요?
스마트폰을 쓰면서 "이 회사가 내가 뭘 사는지까지 관여하고 있구나"라는 느낌을 받아본 적 있으세요? 이번 사건은 좀 황당해요. 레노버 소유의 모토로라 스마트폰에서 아마존 앱을 켜면, 사용자도 모르게 모토로라가 자기 제휴 코드(affiliate code)를 슬쩍 끼워넣고 있다는 사실이 발견됐거든요. 제휴 코드라는 게 뭐냐면, 누군가의 추천 링크를 통해 상품이 팔리면 그 추천인에게 일정 수수료가 떨어지는 구조예요. 블로거나 유튜버가 "이 링크로 사시면 저한테 도움이 돼요" 하고 알려주는 그 링크가 바로 제휴 링크죠.
문제는 이 과정이 사용자 동의 없이, 그것도 운영체제 수준에서 이뤄지고 있다는 점이에요. 사용자가 자기 의지로 아마존 앱을 열어서 쇼핑을 하는데, 그 거래의 수수료가 자기도 모르게 폰 제조사로 흘러가는 구조거든요.
어떤 식으로 동작하는 걸까
9to5Google이 분석한 바에 따르면, 모토로라 폰에는 "Smart Connect" 또는 비슷한 이름의 기본 탑재 앱(프리로드)이 깔려 있어요. 이 앱이 백그라운드에서 동작하면서 사용자가 아마존 앱을 실행할 때 URL이나 딥링크를 가로채는 거예요. 가로챈 다음, 자기들 제휴 ID인 tag= 파라미터를 추가해서 다시 띄워주는 식이에요. 사용자 입장에서는 그냥 아마존 앱이 평소처럼 열리는 것처럼 보이지만, 실제로는 모토로라의 추천 링크를 거쳐서 들어간 거나 마찬가지가 되는 거죠.
안드로이드에서는 이런 동작이 기술적으로 가능해요. 다른 앱이 "나는 이런 종류의 URL을 처리할 수 있어요" 하고 인텐트 필터(intent filter)를 등록해두면, 시스템이 어느 앱으로 URL을 보낼지 결정하거든요. 보통은 사용자가 "어느 앱으로 열까요?" 하는 선택창을 보게 되는데, 제조사가 자기 시스템 앱 우선순위를 높게 잡아두면 이 과정이 보이지 않게 처리될 수 있어요. 일반 사용자는 "내 폰에 깔린 시스템 앱이 이런 짓을 하고 있구나"라는 걸 알아채기 거의 불가능한 구조죠.
왜 이게 문제인가
첫째, 투명성 문제예요. 모토로라는 폰을 팔면서 "이 폰은 당신의 아마존 거래에서 우리가 수수료를 받아갑니다"라고 명시한 적이 없거든요. 사용자가 그런 사실을 모르고 폰을 쓰고 있다는 게 핵심이에요.
둘째, 다른 제휴 마케터들이 손해를 봐요. 예를 들어 IT 유튜버가 영상에서 "이 노트북 좋아요, 이 링크로 사세요" 하고 자기 제휴 링크를 걸어놨다고 해봐요. 시청자가 그 링크를 클릭하면 보통 유튜버의 ID로 쿠키가 심어지고, 24시간 안에 구매하면 수수료가 유튜버에게 가요. 그런데 모토로라 폰을 쓰는 사용자가 그 사이에 아마존 앱을 켰다 끄면 모토로라 코드가 덮어쓰는 일이 발생할 수 있어요. 정당한 추천인의 수익을 폰 제조사가 가로채는 셈이죠.
셋째, 아마존 정책 위반 소지예요. 아마존 제휴 프로그램(Amazon Associates)은 약관에서 "사용자를 속이거나 다른 제휴자의 트래픽을 가로채는 행위"를 금지하고 있거든요. 만약 이 동작이 명백한 위반으로 판정되면 모토로라의 제휴 계정 자체가 정지될 수도 있어요.
과거에도 비슷한 사례가 있었어요
이런 문제는 처음이 아니에요. 2017년에 어도비의 Genieo, 2019년의 Honey 익스텐션도 비슷한 논란을 겪었거든요. Honey는 결제 직전에 자기 제휴 코드로 덮어쓰는 동작 때문에 한참 시끄러웠고, 그게 결국 PayPal 인수 후에도 신뢰 문제로 남았어요. 또 Lenovo 본사 차원에서는 2015년에 Superfish 사건이 있었죠. 노트북에 미리 깔린 광고 소프트웨어가 HTTPS 트래픽까지 가로채서 광고를 끼워넣는다는 사실이 밝혀져서 엄청난 비판을 받았어요. 모토로라가 레노버 소속이라는 걸 생각하면 이번 사건이 더 찝찝하게 느껴질 수밖에 없어요. 같은 회사가 또 비슷한 문제를 일으킨 거니까요.
안드로이드 진영에서 제조사들이 수익을 짜내려고 별의별 짓을 하는 건 어제오늘 일이 아니에요. 샤오미 폰에 광고가 뜨는 문제, 삼성 폰의 일부 모델에서 푸시 알림으로 광고가 오는 문제 등이 있었거든요. 하지만 사용자의 외부 쇼핑 행위에 몰래 끼어드는 건 또 다른 차원의 침해예요.
한국 개발자에게 주는 시사점
제휴 마케팅을 활용하는 한국 서비스도 많아요. 쿠팡 파트너스, 네이버 쇼핑 파트너 같은 게 대표적이죠. 만약 우리 서비스가 제휴 트래픽을 보내고 있다면, 사용자가 도중에 어떤 앱이나 익스텐션으로 인해 우리 코드가 덮어쓰일 수 있는지 한 번쯤 점검해볼 가치가 있어요.
또 안드로이드 앱을 개발한다면 딥링크 처리가 얼마나 민감한 보안 포인트인지 다시 생각해볼 필요가 있어요. 인텐트 필터, App Links 검증, 그리고 어떤 URL 패턴을 어떤 앱이 가로챌 수 있는지 정확히 이해해야 사용자 보호 관점에서 안전한 앱을 만들 수 있거든요. android:autoVerify="true"로 도메인 소유권을 증명하는 App Links를 제대로 설정하면 무단 가로채기를 어느 정도 막을 수 있어요.
그리고 우리가 만든 SDK나 라이브러리가 다른 회사 앱에 들어갈 때, 의도치 않게 사용자 행동을 변조하는 동작을 하지 않는지 코드 리뷰 단계에서 확인하는 문화도 중요해요.
마무리
스마트폰 제조사가 사용자의 쇼핑 행위에 몰래 손을 대는 건 단순한 마케팅 꼼수가 아니라 신뢰의 문제예요. 여러분은 만약 폰 제조사가 "앞으로 아마존 거래의 1%를 우리가 가져갑니다, 대신 폰 가격을 5만원 깎아드릴게요" 하고 투명하게 제안한다면 받아들이시겠어요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공