애플과 구글이 당신의 푸시 알림을 몰래 들여다보고 있다

도입: 푸시 알림이 그냥 알림이 아니라고요?

스마트폰을 쓰면서 하루에도 수십 번씩 받는 푸시 알림. 카톡 메시지, 이메일 도착, 인스타 좋아요, 배달 도착 같은 거요. 우리는 보통 "앱이 직접 내 폰에 알림을 쏘는 거겠지" 정도로만 생각하잖아요. 그런데 사실은 그렇지 않아요. 모든 푸시 알림은 반드시 애플의 APNs(Apple Push Notification service)나 구글의 FCM(Firebase Cloud Messaging) 서버를 거쳐서 우리 폰에 도착해요. 이 글이 짚는 핵심은 그 과정에서 애플과 구글이 알림 내용을 들여다볼 수 있다는 거예요. 그리고 실제로 정부 기관이 이걸 통해 사용자 정보를 수집해 왔다는 사실이 드러났죠.

핵심 내용: 어떻게 작동하는 건데요?

푸시 알림의 구조를 잠깐 풀어볼게요. 예를 들어 카카오톡이 여러분에게 "새 메시지가 왔어요"라는 알림을 보낸다고 해봐요. 카카오 서버는 그 알림을 직접 여러분 폰으로 보내는 게 아니에요. 카카오 서버 → 애플 APNs 서버(아이폰의 경우) 또는 구글 FCM 서버(안드로이드의 경우) → 여러분의 폰. 이렇게 무조건 중간 다리를 거쳐요.

왜 이런 구조냐면, 폰은 배터리를 아끼려고 모든 앱이 동시에 서버랑 계속 연결을 유지할 수 없거든요. 그래서 OS가 단 하나의 연결만 유지하고, 그 채널로 모든 앱의 알림을 받아서 분배해요. 효율적인 설계예요. 문제는 이 구조 때문에 애플과 구글이 "누가, 언제, 어떤 앱에서, 어떤 내용의 알림을 받았는지"를 다 알 수 있다는 거예요.

많은 개발자가 "알림 내용은 암호화되어 있으니까 괜찮지 않나?" 하고 생각하는데, 사실 대부분의 앱은 알림 페이로드를 평문으로 보내요. 메시지 본문, 보낸 사람 이름, 미리보기 내용까지 다 그대로요. APNs와 FCM이 전송 구간은 TLS로 암호화하지만, 서버에 도착한 순간 애플과 구글은 내용을 볼 수 있는 상태가 돼요.

정부가 이걸 이미 이용해왔다

2023년 미국 상원의원 Ron Wyden이 폭로한 내용이 핵심이에요. 외국 정부와 미국 정부가 애플과 구글에 "이 사용자가 받은 푸시 알림 메타데이터를 넘겨라"라고 요청해 왔다는 사실이에요. 알림을 받은 시각, 어떤 앱에서 왔는지, 어떤 계정으로 보내졌는지 같은 정보예요. 메타데이터만으로도 "이 사람이 시그널 메신저를 새벽 3시에 자주 쓴다" 같은 행동 패턴을 추적할 수 있어요.

게다가 애플과 구글은 "법적 요청이 있으면 응한다"는 정책을 유지해 왔고, 사용자에게 통보하는 것도 제한되어 있었어요. 이 폭로 이후로 두 회사는 "투명성 보고서에 푸시 알림 요청도 포함하겠다"고 했지만, 근본 구조는 그대로예요.

이번 글이 추가로 짚는 건, 애플과 구글이 푸시 알림 데이터를 자체적으로도 분석하고 있을 가능성이에요. 광고 타겟팅, 사용자 행동 모델링, 앱 추천 알고리즘 같은 용도로요. 명시적으로 "수집한다"고 약관에 적혀 있지는 않지만, 기술적으로는 충분히 가능하고, 그 정보의 가치는 어마어마하거든요.

그럼 어떻게 막을 수 있나요?

개발자 입장에서 할 수 있는 게 있어요. iOS에서는 "mutable-content" 플래그를 써서 알림 페이로드를 암호화한 상태로 보내고, 폰에 도착한 후 Notification Service Extension에서 복호화하는 방식이 가능해요. Signal 메신저가 이 방식을 쓰는 대표적인 예예요. 알림이 오면 "새 메시지"라는 더미 텍스트만 APNs를 거치고, 실제 메시지 내용은 디바이스에서 별도 복호화 과정을 거쳐 보여줘요.

FCM에서도 비슷하게 데이터 메시지(data message)로 보내고 앱에서 복호화하는 패턴이 가능하지만, 안드로이드는 백그라운드 제약 때문에 구현이 더 까다로워요. 그리고 솔직히, 메신저 앱이 아닌 대부분의 일반 앱은 이런 처리를 안 해요. 비용과 복잡도 때문에요.

한국 개발자에게 주는 시사점

국내에서 메신저, 헬스케어, 금융 같은 민감한 정보를 다루는 앱을 만든다면 푸시 알림 페이로드를 한번 점검해볼 만해요. "OO병원 진료 결과가 도착했습니다" 같은 알림이 평문으로 애플 서버를 지나가고 있다면, 이론적으로 그건 의료 정보 유출의 통로가 될 수 있거든요. 개인정보보호법상 민감정보로 분류되는 데이터일수록 더 신경 써야 해요.

또한 알림 내용을 최소화하는 설계도 중요해요. "새 메시지가 도착했습니다"처럼 메타 정보만 보내고, 실제 내용은 사용자가 앱을 열었을 때 서버에서 받아오는 패턴이 안전해요. UX는 살짝 떨어지지만 프라이버시 측면에서는 큰 차이가 나요.

프로젝트에 따라서는 자체 푸시 채널을 고민할 수도 있어요. 중국 시장 앱들은 구글 FCM을 못 써서 자체 푸시 서버를 운영하는 경우가 많은데, 프라이버시 민감 서비스라면 이런 옵션도 검토할 가치가 있어요. 다만 배터리/안정성 트레이드오프는 크고요.

마무리

한 줄 정리하면, 우리가 매일 받는 푸시 알림은 절대 "앱 ↔ 폰"의 직통 라인이 아니고, 빅테크의 서버를 반드시 거치는 감시 가능한 채널이라는 거예요.

여러분의 앱은 푸시 알림에 어떤 정보를 담아 보내고 계세요? 이번 기회에 한번 들여다볼 만하지 않을까요?